Gestión del Saas
Cómo gestionar y mitigar los riesgos
de Shadow IT en tu empresa
La TI en la sombra -las aplicaciones no autorizadas que acechan en tu cartera corporativa- podría estar exponiendo a tu empresa a riesgos ocultos. Detéctalo ahora, antes de que te lleve a una costosa sorpresa.
Es fácil pasar por alto la TI en la sombra, que incluye software no autorizado y servicios en la nube que los empleados adoptan sin la aprobación de TI. Pero cuanto más tiempo pasen desapercibidas estas herramientas, más peligrosas se vuelven.
Muchos empleados se registran en estas aplicaciones sin pedir permiso, pensando que aumentarán la productividad o atenderán mejor sus necesidades. Aunque eso puede funcionar a corto plazo, abre la puerta a graves riesgos de seguridad.
Estas herramientas no aprobadas no se supervisan para detectar vulnerabilidades ni se contrastan con los protocolos de seguridad de la empresa. Como resultado, se convierten en objetivos principales de violaciones de datos y ciberataques.
De hecho, un reciente Gestión de Servicios de Ataque se descubrió que aproximadamente 70% de las organizaciones han experimentado incidentes de seguridad relacionados con tecnología no autorizada. En este artículo, veremos ejemplos comunes de TI en la sombra, los riesgos que conlleva y cómo gestionarla eficazmente.
¿Qué es la TI en la sombra?
La TI en la sombra se produce cuando los empleados utilizan tecnología no aprobada -software, dispositivos o servicios- sin el consentimiento de TI. Esto incluye a menudo herramientas SaaS que adoptan por su cuenta para agilizar el trabajo.
Aunque estas aplicaciones pueden aumentar la productividad a corto plazo, tienen graves inconvenientes: lagunas de seguridad, riesgos de cumplimiento y costes ocultos debidos a la falta de supervisión informática.
Incluso con buenas intenciones, los empleados que recurren a herramientas externas exponen sin saberlo a la empresa a violaciones de datos y fallos de cumplimiento al trabajar al margen de las medidas de seguridad aprobadas.
A continuación, veremos ejemplos comunes de TI en la sombra que suelen pasar desapercibidos en los lugares de trabajo actuales.
Tipos comunes de TI en la sombra
La TI en la sombra suele dividirse en tres categorías principales: software no autorizado, servicios en la nube no autorizados y dispositivos personales que se conectan a las redes corporativas. Éstas son las áreas en las que los departamentos de TI a menudo pierden visibilidad, lo que aumenta el riesgo de filtración de datos e incumplimiento de la normativa.
Además de estas formas habituales, las plataformas personales de almacenamiento y mensajería en la nube están cada vez más extendidas, ya que los empleados buscan formas rápidas y cómodas de colaborar y compartir archivos.
Con el aumento del trabajo a distancia, es aún más fácil que el personal introduzca estas herramientas, lo que aumenta las posibilidades de que los datos sensibles acaben en lugares inseguros fuera del control de TI.
Las organizaciones sin una sólida gobernanza de TI son especialmente vulnerables, ya que los empleados recurren a estas aplicaciones no aprobadas para obtener más flexibilidad en sus flujos de trabajo. Identificar y gestionar estas amenazas de TI en la sombra es el primer paso para reducir sus riesgos.
Riesgos de las TI en la sombra que no puedes ignorar
Con el auge de las aplicaciones basadas en la nube, el software no aprobado se está convirtiendo en una preocupación cada vez mayor para las organizaciones de todos los tamaños. De hecho, Gartner informó de que el El gasto en SaaS superó los $195 mil millones en 2023, lo que supone un aumento de 16,7% respecto al año anterior.
Esta creciente dependencia de los servicios en la nube pone de manifiesto la urgente necesidad de abordar los riesgos que plantean las aplicaciones no autorizadas y no gestionadas. A medida que más empleados recurren a estas herramientas para sus tareas diarias, aumentan las posibilidades de que se produzcan vulnerabilidades de seguridad e ineficiencias financieras.
Hemos identificado cinco grandes riesgos relacionados con la TI en la sombra que toda organización debe conocer. Estos riesgos pueden afectar gravemente a la seguridad de los datos, el cumplimiento normativo y la gestión presupuestaria.
Riesgo #1: Aumento del potencial de violación de datos
Uno de los riesgos más graves de la TI en la sombra es la mayor probabilidad de que se produzcan filtraciones de datos. Cuando los empleados utilizan aplicaciones no aprobadas, a menudo eluden las medidas de seguridad establecidas por TI.
En 2023, la el coste medio de una violación de datos alcanzó los $9,44 millonesSegún IBM, muchos de los incidentes se deben a software no autorizado y sin la debida seguridad.
Estas aplicaciones no autorizadas pueden exponer a los hackers datos empresariales sensibles, como información personal identificable (IPI) o propiedad intelectual. Sin salvaguardas como el inicio de sesión único (SSO) o la autenticación multifactor (MFA), estas herramientas se convierten en objetivos fáciles de los ciberataques.
Riesgo #2: Menor cumplimiento de la normativa sobre datos y privacidad
Para los sectores que se rigen por estrictas leyes de privacidad de datos, como GDPR, HIPAA o la Ley de Privacidad del Consumidor de California (CCPA), utilizar software no aprobado puede suponer un grave riesgo de cumplimiento. Los empleados podrían almacenar sin saberlo información sensible en servicios en la nube no autorizados, infringiendo la normativa y exponiendo a la empresa a multas que pueden llegar a ser millonarias.
Según Gartner, las infracciones de cumplimiento vinculadas a aplicaciones SaaS no aprobadas serán cada vez más frecuentes a medida que las empresas adopten cada vez más herramientas basadas en la nube sin supervisión informática.
Normativas como el GDPR exigen una visibilidad y un control totales sobre cómo se recopilan, almacenan y procesan los datos personales. Las aplicaciones no autorizadas ponen en peligro ese control, dificultando que las empresas cumplan la normativa y eviten costosas sanciones.
Riesgo #3: Costes no controlados y no supervisados
IDC estima que 70% de todas las compras de SaaS se hacen fuera de los presupuestos de TI. Este cambio significa que cada vez más departamentos y empleados contratan y gastan software por su cuenta, lo que alimenta el aumento de la tecnología no autorizada.
¿Cuál es el resultado? Las organizaciones suelen pagar por servicios redundantes o suscripciones que pasan desapercibidas. En empresas con más de 50 empleados, es habitual que distintos departamentos se suscriban sin saberlo al mismo software, provocando una duplicación innecesaria de costes.
Sin un sistema centralizado de gestión de proveedores (B2B SaaS)Si no se hace así, el seguimiento de las suscripciones, las fechas de renovación y el uso real se hace difícil, con el consiguiente despilfarro de recursos y presupuestos de software inflados.
Riesgo #4: Aumento de los costes por duplicidad de gastos
El gasto duplicado es un efecto secundario habitual del uso no autorizado de software. Cuando distintos departamentos o empleados compran las mismas herramientas de forma independiente, la empresa pierde descuentos por volumen y la oportunidad de negociar contratos a nivel empresarial.
Este solapamiento ocurre a menudo con herramientas como las plataformas de comunicación, el software de gestión de proyectos o el almacenamiento en la nube, donde los empleados optan por sus soluciones preferidas en lugar de ceñirse a la pila aprobada por la organización.
Más allá del gasto ineficiente en software, esto puede causar fricciones entre equipos que utilizan herramientas diferentes, dificultando la colaboración y haciéndola menos eficiente.
Riesgo #5: Renovaciones automáticas no planificadas
Muchos contratos de SaaS incluyen cláusulas de renovación automática. Sin una supervisión adecuada, las aplicaciones no aprobadas pueden renovarse automáticamente, acumulando costes inesperados.
Por término medio, una empresa se enfrenta a varias renovaciones al mes, y cuando hay herramientas no autorizadas de por medio, los gastos pueden irse rápidamente de las manos. Si TI no está al tanto de estas renovaciones, es imposible evaluar si las herramientas siguen siendo necesarias o relevantes para la empresa.
Una vez que los responsables de TI comprenden los riesgos de la tecnología no autorizada, pueden empezar a abordar el problema.
Ejemplos peligrosos de TI en la sombra
La TI en la sombra puede adoptar muchas formas, desde software no aprobado hasta dispositivos personales que se utilizan para tareas laborales. Aunque algunos casos pueden parecer inofensivos, otros pueden exponer a la organización a importantes riesgos de seguridad, violaciones de datos y consecuencias financieras.
He aquí ejemplos reales que ilustran los peligros de la tecnología no autorizada y cómo puede socavar los esfuerzos de seguridad y cumplimiento de una organización.
Aplicaciones de TI en la sombra comúnmente vulnerables
Algunas de las aplicaciones no autorizadas más vulnerables y más utilizadas son:
- Aplicaciones de productividad: Herramientas como Slack, Asana y Trello pueden exponer las comunicaciones sensibles a amenazas de seguridad cuando se utilizan sin supervisión informática.
- Almacenamiento en la nube: Los servicios no aprobados, como Google Drive, Dropbox y OneDrive, pueden eludir las medidas de seguridad, lo que puede provocar una fuga de datos.
- Herramientas de comunicación: Plataformas como WhatsApp y las cuentas de correo electrónico personales no suelen cumplir los protocolos de seguridad corporativos, lo que crea importantes lagunas.
- Herramientas de gestión de proyectos: Aplicaciones como Monday.com y Jira pueden almacenar datos sensibles de los proyectos, que pueden estar insuficientemente protegidos fuera de la pila tecnológica aprobada.
- Dispositivos personales: Los portátiles, teléfonos inteligentes y tabletas a los que se accede sin la aprobación de la empresa plantean graves riesgos si no se gestionan de acuerdo con las políticas de seguridad de la organización.
Aunque estas aplicaciones pueden aumentar la productividad, su uso no gestionado presenta amenazas sustanciales para las operaciones de la empresa, como ponen de relieve los siguientes ejemplos del mundo real.
Ejemplos reales de riesgos de la TI en la sombra
La filtración de datos de Truecaller
- Víctimas: 47,5 millones de usuarios
- Edición: Una vulnerabilidad en la aplicación permitía a los ciberdelincuentes modificar los perfiles de los usuarios, insertando enlaces maliciosos que ejecutaban scripts de malware sin el consentimiento del usuario.
- Resultado: La información personal identificable (IPI), incluidos nombres, direcciones de correo electrónico y números de teléfono, se vendía en la web oscura, exponiendo a los usuarios a posibles ataques de phishing y robo de identidad.
Este caso subraya los peligros de las aplicaciones no autorizadas que manejan información confidencial de los clientes. Sin un control informático, aplicaciones como Truecaller pueden introducir vulnerabilidades que provoquen graves violaciones de datos.
La violación de las credenciales de Docker
- Víctimas: 190.000 promotores
- Edición: Una filtración de datos permitió a los piratas informáticos robar credenciales de usuario, permitiendo potencialmente a los ciberdelincuentes alterar o comprometer las aplicaciones creadas en la plataforma.
- Resultado: La violación pone en peligro los datos de los desarrolladores y pone en peligro las aplicaciones que crearon, lo que podría tener efectos en cascada sobre los usuarios finales.
Esta brecha pone de manifiesto cómo pueden existir aplicaciones no autorizadas incluso en entornos de desarrollo en los que la seguridad debería ser una prioridad absoluta. Sin supervisión informática, las herramientas de desarrollo como Docker pueden dar lugar a vulnerabilidades a gran escala.
La histórica violación de datos de Yahoo
- Víctimas: 3.000 millones de usuarios
- Edición: Una serie de violaciones de datos entre 2012 y 2016 expuso datos personales debido a ataques de phishing y prácticas de seguridad deficientes.
- Resultado: Yahoo tuvo que llegar a un acuerdo por $117,5 millones y perdió su posición como proveedor líder de servicios web, lo que demuestra cómo las vulnerabilidades pueden contribuir a un daño financiero y de reputación a largo plazo.
En este caso, la debilidad de los protocolos de seguridad permitió a los ciberdelincuentes explotar las vulnerabilidades de las TI en la sombra, lo que provocó una de las mayores violaciones de datos de la historia.
Los cinco tipos más peligrosos de Shadow IT
Más allá de estos ejemplos del mundo real, el software no aprobado plantea riesgos en varias áreas clave:
- Gestión de vulnerabilidades. Las aplicaciones no aprobadas a menudo carecen de un análisis de vulnerabilidades y una gestión de parches adecuados. Sin la supervisión de TI, estas aplicaciones pueden perder actualizaciones de seguridad críticas, lo que las convierte en objetivos principales para los ciberdelincuentes.
- Gestión de Identidades y Accesos (IAM). El software no autorizado puede dar lugar a cuentas de usuario no gestionadas, incluidas las cuentas huérfanas de antiguos empleados. Estas cuentas deshonestas crean oportunidades de acceso no autorizado, aumentando el riesgo de amenazas internas y de infracciones externas.
- Gestión de Acceso Privilegiado (PAM). Las aplicaciones no conformes pueden conceder a los empleados accesos privilegiados sin el conocimiento de TI. Esto puede dar lugar a permisos excesivos para usuarios que no los necesitan, aumentando la probabilidad de violaciones de la seguridad.
- Pérdida de datos e infracciones de cumplimiento. Muchas aplicaciones no autorizadas no cumplen las políticas de seguridad corporativas ni las normas reguladoras como GDPR e HIPAA. Esto puede llevar a una mala gestión de los datos sensibles, lo que da lugar a multas, pérdida de datos y daños a la reputación.
- Riesgos de la renovación automática. Muchas aplicaciones no autorizadas vienen con funciones de renovación automática que pueden pasar desapercibidas, provocando costes innecesarios. Sin supervisión informática, las empresas pueden seguir pagando por servicios que ya no se utilizan, agotando valiosos recursos financieros.
Cómo detectar y prevenir la TI en la sombra
Detectar y gestionar la tecnología no conforme es crucial para mantener los datos de tu empresa seguros y conformes. Las herramientas no aprobadas pueden infiltrarse fácilmente en las operaciones diarias, provocando lagunas de seguridad y despilfarro económico. He aquí cómo identificar y evitar el software no autorizado en tu organización.
Auditorías periódicas del software. Empieza por auditar todo el software utilizado en la empresa. Este proceso ayuda a localizar cualquier aplicación no autorizada que los empleados puedan haber descargado sin la aprobación de TI. Las revisiones periódicas mantienen actualizada la lista de herramientas, lo que permite a los equipos de TI hacer un seguimiento de todas las aplicaciones en uso.
Educa e implica a los empleados. Los empleados suelen recurrir a aplicaciones no autorizadas cuando consideran que las herramientas aprobadas por la empresa no satisfacen sus necesidades. Educar al personal sobre los riesgos del software no aprobado es esencial. Asegúrate de que comprenden las consecuencias de las violaciones de datos y de cumplimiento, y anímales a consultar con TI antes de adoptar nuevas herramientas. Una comunicación clara puede reducir significativamente el impulso de buscar soluciones no sancionadas.
Utiliza herramientas de gestión SaaS. Software de gestión B2B SaaS proporciona visibilidad en tiempo real de todas las aplicaciones utilizadas por la empresa. Herramientas como Spendbase para Chrome rastrean el uso de aplicaciones cada vez que los empleados inician sesión con sus cuentas corporativas, señalando al instante el software no autorizado. Esto permite a los equipos de TI gestionar la tecnología no autorizada cuando surge, evitando riesgos antes de que se agraven.
Spendbase también ofrece información sobre la adopción de la aplicación, ayudándote a decidir si renuevas o cancelas las suscripciones basándote en datos reales de uso.
Si realizas auditorías periódicas, fomentas la comunicación abierta con los empleados y aprovechas herramientas como Spendbase para Chrome, podrás detectar y prevenir eficazmente la TI en la sombra, garantizando que tu empresa se mantiene segura y cumple la normativa.
Para llevar
Gestionar la TI en la sombra es esencial para proteger a tu empresa de riesgos ocultos y costes inesperados. Comprendiendo los retos y tomando medidas proactivas, puedes mitigar las amenazas potenciales que plantean las aplicaciones y servicios no autorizados.
- Más de 70% de las empresas han sufrido incidentes de seguridad relacionados con la TI en la sombralo que la convierte en una amenaza creciente para organizaciones de todos los tamaños.
- Las aplicaciones no autorizadas y los dispositivos personales a menudo eluden las medidas críticas de seguridad informáticaexponiendo los datos sensibles a infracciones y violaciones de la normativa.
- Las compras duplicadas de software y las renovaciones automáticas de aplicaciones no autorizadas pueden inflar los presupuestos de TI.que conduce a unagastos necesarios.
- El software no supervisado hace que no se apliquen parches de seguridad y que haya cuentas huérfanasque pueden crear vulnerabilidades peligrosas en tu red.
- La educación y las auditorías periódicas del software, combinadas con herramientas de gestión del SaaS, son clave para controlar la TI en la sombra y prevenir futuros riesgos.
Adoptando un enfoque proactivo, las organizaciones pueden garantizar que la TI en la sombra no ponga en peligro su seguridad, cumplimiento o salud financiera.
Quizá quieras leer
Gestión del Saas
Supera la dispersión del SaaS:
Desafíos y métodos para vencerlos
30% del gasto en SaaS se malgasta en suscripciones no utilizadas, herramientas redundantes o licencias duplicadas. También podrías estar quemando tu dinero: es lo mismo.
Gestión del Saas
El despilfarro del SaaS no es un riesgo laboral:
aprende a evitarlo
Innecesario. Ineficiente. No es como quieres que se describa tu servicio. Pero con el SaaS creciendo 20% año tras año, el despilfarro se está convirtiendo en un problema urgente.
Gestión del Saas
¿Es la primera vez que dirige TI? Escuche mucho y genere confianza rápidamente: consejos de J. Travaglione
Una entrevista exclusiva con Joe Travaglione, CISO y CIO de Future State Cyber, revela el lado del liderazgo en TI que ningún manual le enseñará jamás.
Gestión del Saas
Los primeros 90 días como CIO: El plan que los expertos desearían haber tenido cuando empezaron
85% de los CIO son vistos como agentes de cambio críticos, pero ¿cómo puedes demostrar tu valor en sólo 90 días? Tu estrategia podría definir tu legado de liderazgo.