Las empresas corren un mayor
riesgo de convertirse en blanco de ciberincidentes debido al Shadow IT por
parte de los empleados: se trata del uso
de aplicaciones, dispositivos y/o servicios de nube pública, que no están
autorizados o no cumplen con las políticas de seguridad de los departamentos de
TI. Un reciente estudio de Kaspersky revela que 77% de las empresas en todo el
mundo sufrió incidentes cibernéticos en los últimos dos años, el 11% a raíz del
uso de Shadow IT por parte de los empleados. Las consecuencias del uso de
plataformas no autorizadas pueden ser diversas en su gravedad, pero nunca son
insignificantes, ya sea por la filtración de datos confidenciales o por daños
tangibles al negocio.
La investigación de
Kaspersky reveló que la industria de TI ha sido la más afectada, sufriendo el
16% de los incidentes cibernéticos debido al uso no autorizado de Shadow IT en
2022 y 2023. Otros sectores afectados por el problema fueron el de infraestructuras
críticas, así como las organizaciones de transporte y logística con un 13% de
los incidentes en cada rubro.
El reciente caso de Okta
demuestra claramente los peligros de utilizar Shadow IT. El año pasado, un
empleado que utilizaba su cuenta personal de Google en un dispositivo propiedad
de la empresa, permitió involuntariamente a los actores de amenazas acceder sin
autorización al sistema de atención al cliente de la compañía. Ahí los
ciberdelincuentes lograron secuestrar archivos que contenían tokens de sesión
que luego podían utilizarse para realizar ataques. Este incidente cibernético
duró 20 días y afectó a 134 clientes de la empresa, según el informe de Okta.
Cuando se habla de Shadow
IT, puede tratarse de aplicaciones no autorizadas instaladas en los equipos de
los empleados, o de memorias USB y dispositivos móviles no solicitados, entre
otros. Pero también hay algunas opciones que son menos llamativas. Un ejemplo
es el hardware que queda abandonado tras la modernización o reorganización de
la infraestructura informática. Puede ser utilizado por otros empleados,
adquiriendo vulnerabilidades que tarde o temprano encontrarán su camino en la
infraestructura de la empresa.
En cuanto a los
programadores, como ocurre a menudo, ellos mismos pueden crear programas a la
medida para optimizar el trabajo dentro de un equipo/departamento, o para
resolver problemas internos, haciendo que el trabajo sea más rápido y eficaz.
Sin embargo, no siempre piden autorización al departamento de TI para
utilizarlos, y esto podría tener consecuencias desastrosas.
"Los empleados que
utilizan aplicaciones, dispositivos o servicios en la nube no autorizados por
el departamento de TI creen que, si esos productos informáticos proceden de
proveedores de confianza, deben estar protegidos y seguros. Sin embargo, en los
’términos y condiciones’, los proveedores externos utilizan el llamado ’modelo
de responsabilidad compartida’. En éste, al elegir ’Acepto’, los usuarios
confirman que realizarán actualizaciones periódicas de ese software y que
asumen la responsabilidad de los incidentes relacionados con su uso (incluidas
las fugas de datos corporativos). Las empresas necesitan herramientas para
controlar el Shadow TI cuando sus empleados lo utilizan”, comenta Alexey Vovk,
responsable de Seguridad de la Información de Kaspersky.
No hay comentarios:
Publicar un comentario