Shadow IT

Shadow IT se refiere a la práctica de los usuarios que implementan recursos tecnológicos no autorizados para eludir su departamento de IT. Los usuarios pueden recurrir al uso de prácticas de Shadow IT cuando sienten que las políticas de IT existentes son demasiado restrictivas o les impiden hacer su trabajo de manera efectiva.

Un fenómeno de la vieja escuela

Shadow IT no es nuevo. Ha habido innumerables ejemplos de uso generalizado de Shadow IT a lo largo de los años. A principios de la década de 2000, por ejemplo, muchas organizaciones se mostraron reacias a adoptar Wi-Fi por temor a que pudiera socavar sus esfuerzos de seguridad. Sin embargo, los usuarios querían la comodidad del uso de dispositivos inalámbricos y, a menudo, implementaban puntos de acceso inalámbricos sin el conocimiento o consentimiento del departamento de IT.

Lo mismo sucedió cuando el iPad se hizo popular por primera vez. Los departamentos de IT prohibieron en gran medida el uso de iPads con datos comerciales debido a la incapacidad de aplicar configuraciones de políticas de grupo y otros controles de seguridad a los dispositivos. Aun así, los usuarios a menudo ignoraban la IT y usaban iPads de todos modos.

Por supuesto, los profesionales de IT eventualmente descubrieron cómo asegurar iPads y Wi-Fi y finalmente adoptaron la tecnología. Sin embargo, el uso de Shadow IT no siempre tiene un final feliz. Los usuarios que se involucran en el uso de Shadow IT pueden, sin saberlo, causar un daño irreparable a una organización.

Aun así, el problema del uso de Shadow IT continúa hasta el día de hoy. En todo caso, el uso de Shadow IT ha aumentado en los últimos años. En 2021, por ejemplo , Gartner descubrió que entre el 30 % y el 40 % de todo el gasto en IT (en una gran empresa) se destina a financiar la Shadow IT.

Shadow IT está en aumento en 2022

Trabajo remoto pospandemia

Una de las razones del aumento del uso de Shadow IT es el trabajo remoto. Cuando los usuarios trabajan desde casa, es más fácil para ellos escapar de la notificación del departamento de IT que si intentaran usar tecnología no autorizada desde la oficina corporativa. Un estudio de Core encontró que el trabajo remoto derivado de los requisitos de COVID aumentó el uso de Shadow IT en un 59%.

La tecnología es cada vez más simple para los usuarios finales

Otra razón del aumento de la Shadow IT es el hecho de que es más fácil que nunca para un usuario eludir el departamento de IT. Supongamos por un momento que un usuario desea implementar una carga de trabajo en particular, pero el departamento de TI rechaza la solicitud.

Un usuario determinado puede simplemente usar su tarjeta de crédito corporativa para configurar una cuenta en la nube. Debido a que esta cuenta existe como inquilino independiente, IT no tendrá visibilidad de la cuenta y es posible que ni siquiera sepa que existe. Esto permite al usuario ejecutar su carga de trabajo no autorizada con total impunidad.

De hecho, un estudio de 2020 encontró que el 80 % de los trabajadores admitieron haber usado aplicaciones SaaS no autorizadas. Este mismo estudio también encontró que la nube de Shadow IT de la empresa promedio podría ser 10 veces más grande que el uso de la nube sancionado por la empresa.

Conozca su propia red

Dada la facilidad con la que un usuario puede implementar recursos de Shadow IT, no es realista que IT asuma que el Shadow IT no está sucediendo o que podrá detectar el uso de la Shadow IT. Como tal, la mejor estrategia puede ser educar a los usuarios sobre los riesgos que plantea la Shadow IT. Un usuario que tiene una experiencia limitada en IT puede introducir riesgos de seguridad sin darse cuenta al participar en la Shadow IT. Según un informe de Forbes Insights, el 60 % de las empresas no incluyen la Shadow IT en sus evaluaciones de amenazas.

Del mismo modo, el uso de Shadow IT puede exponer a una organización a sanciones reglamentarias. De hecho, a menudo son los auditores de cumplimiento, no el departamento de IT, quienes terminan siendo los que descubren el uso oculto de IT.

Por supuesto, educar a los usuarios por sí solo no es suficiente para detener el uso de Shadow IT. Siempre habrá usuarios que opten por ignorar las advertencias. Del mismo modo, ceder a las demandas de los usuarios para usar tecnologías particulares tampoco siempre puede ser lo mejor para la organización. Después de todo, no hay escasez de aplicaciones desactualizadas o mal escritas que podrían representar una amenaza significativa para su organización. No importa las aplicaciones que son conocidas por espiar a los usuarios.

La solución de confianza cero para Shadow IT

Una de las mejores opciones para hacer frente a las amenazas de Shadow IT puede ser adoptar la confianza cero. La confianza cero es una filosofía en la que nada en su organización se asume automáticamente como digno de confianza. Las identidades de usuario y dispositivo deben probarse cada vez que se utilizan para acceder a un recurso.

Hay muchos aspectos diferentes en una arquitectura de confianza cero, y cada organización implementa la confianza cero de manera diferente. Algunas organizaciones, por ejemplo, usan políticas de acceso condicional para controlar el acceso a los recursos. De esa manera, una organización no solo otorga a un usuario acceso sin restricciones a un recurso, sino que considera cómo el usuario intenta acceder al recurso. Esto puede implicar la configuración de restricciones en torno a la ubicación geográfica del usuario, el tipo de dispositivo, la hora del día u otros factores.

Confianza cero en el servicio de asistencia

Una de las cosas más importantes que una organización puede hacer con respecto a la implementación de Zero Trust es asegurar mejor su servicio de asistencia. Las mesas de ayuda de la mayoría de las organizaciones son vulnerables a los ataques de ingeniería social.

Cuando un usuario llama y solicita un restablecimiento de contraseña, el técnico de la mesa de ayuda asume que el usuario es quien dice ser, cuando en realidad, la persona que llama podría ser un pirata informático que está tratando de usar una solicitud de restablecimiento de contraseña como una forma de obtener acceso. a la red Otorgar solicitudes de restablecimiento de contraseña sin verificar las identidades de los usuarios va en contra de todo lo que representa la confianza cero.

Secure Service Desk de Specops Software puede eliminar esta vulnerabilidad haciendo imposible que un técnico del servicio de asistencia técnica restablezca la contraseña de un usuario hasta que se haya comprobado su identidad . Puede probarlo de forma gratuita para reducir los riesgos de Shadow IT en su red.

Fuente y redacción: thehackernews.com

Compartir