¿Qué es la TI invisible?

¿Qué es la TI invisible?

La TI en la sombra es cualquier recurso de software, hardware o tecnología de la información (TI) empleado en una red empresarial sin la aprobación, el conocimiento o la supervisión del departamento de TI.

Los ejemplos de TI en la sombra incluyen compartir archivos de trabajo en una cuenta personal de espacio en la nube, celebrar reuniones a través de una plataforma de videoconferencia no autorizada cuando la empresa emplea un servicio aprobado diferente o crear un chat grupal no oficial sin la aprobación de TI.

La TI en la sombra no incluye malware u otros activos maliciosos plantados por hackers. Se refiere solo a activos no autorizados desplegados por los usuarios finales autorizados de la red.

Los usuarios finales y los equipos suelen adoptar la TI en la sombra porque pueden empezar a usarla sin esperar la aprobación de TI, o porque sienten que ofrece una mejor funcionalidad para sus propósitos que cualquier otra alternativa que ofrezca la TI. Pero a pesar de estos beneficios, la TI en la sombra puede plantear riesgos de seguridad significativos. Debido a que el equipo de TI desconoce la existencia de TI en la sombra, no monitorea esos activos ni aborda sus vulnerabilidades. La TI en la sombra es particularmente propensa a ser explotada por hackers. 

Causas de la TI en la sombra

Según Cisco, el 80 % de los empleados de la empresa utilizan TI en la sombra. Los empleados individuales a menudo adoptan la TI en la sombra por su conveniencia y productividad: sienten que pueden trabajar de manera más eficiente o efectiva con sus dispositivos personales y software preferido, en lugar de los recursos de TI sancionados de la empresa. Otro estudio, citado por el IBM Institute for Business Value, encontró que el 41 % de los empleados adquirieron, modificaron o crearon tecnología sin el conocimiento de su equipo de TI/SI. 

Esto no hizo más que aumentar con la consumerización de la TI y, recientemente, con el aumento del trabajo remoto. El software como servicio (SaaS) permite a cualquier persona con una tarjeta de crédito y un mínimo de conocimientos técnicos desplegar sistemas de TI sofisticados para colaboración, gestión de proyectos, creación de contenido y más. Las políticas bring your own device (BYOD) de las organizaciones permiten a los empleados usar sus propias computadoras y dispositivos móviles en la red corporativa. Pero incluso con un programa BYOD formal, los equipos de TI a menudo carecen de visibilidad del software y los servicios que los empleados emplean en el hardware BYOD, y puede resultar difícil hacer cumplir las políticas de seguridad de TI en los dispositivos personales de los empleados.

Pero la TI en la sombra no siempre es el resultado de que los empleados actúen solos: los equipos también adoptan las aplicaciones de TI en la sombra. Según Gartner, el 38 % de las compras de tecnología son gestionadas, definidas y controladas por los líderes empresariales en lugar de TI. Los equipos quieren adoptar nuevos servicios en la nube, aplicaciones SaaS y otras tecnologías de la información, pero a menudo sienten que los procesos de adquisición implementados por el departamento de TI y el director de sistemas de información (CIO) son demasiado pesados o lentos. Así que eluden a TI para obtener la nueva tecnología que quieren. Por ejemplo, un equipo de desarrollo de software podría adoptar un nuevo entorno de desarrollo integrado sin consultar al departamento de TI, porque el proceso de aprobación formal retrasaría el desarrollo y haría que la empresa perdiera una oportunidad de mercado.

Boletín de noticias Think

¿Su equipo captaría a tiempo el próximo día cero?

Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprende rápido con tutoriales de expertos y documentos explicativos, que se envían directamente a su bandeja de entrada. Consulte la Declaración de privacidad de IBM.

Su subscripción se entregará en inglés. En cada boletín, encontrará un enlace para darse de baja. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

https://www.ibm.com/mx-es/privacy

Ejemplos de TI en la sombra

El software, las aplicaciones y los servicios de terceros no autorizados son quizás la forma más generalizada de TI en la sombra. Algunos ejemplos comunes son:

  • Aplicaciones de productividad, como Trello y Asana
     

  • Aplicaciones de almacenamiento en la nube, uso compartido de archivos y edición de documentos, como Dropbox, Google Docs, Google Drive y Microsoft OneDrive
     

  • Aplicaciones de comunicación y mensajería, incluyendo Skype, Slack, WhatsApp, Zoom, Signal, Telegram y cuentas de correo electrónico personal

Estos servicios en la nube y ofertas de SaaS suelen ser de fácil acceso e intuitivos de usar, y están disponibles gratis o a muy bajo costo, lo que permite a los equipos implementarlos rápidamente según sea necesario. A menudo, los empleados llevan estas aplicaciones de TI en la sombra al lugar de trabajo porque ya las emplean en su vida personal. Los empleados también pueden ser invitados a emplear estos servicios por clientes, asociados o proveedores de servicios; por ejemplo, no es raro que los empleados se unan a las aplicaciones de productividad de los clientes para colaborar en proyectos.

Los dispositivos personales de los empleados (teléfonos inteligentes, computadoras portátiles y dispositivos de almacenamiento, como unidades USB y discos duros externos) son otra fuente común de TI en la sombra. Los empleados pueden usar sus dispositivos para acceder, almacenar o transmitir recursos de red de forma remota, o pueden usar estos dispositivos en las instalaciones como parte de un programa BYOD formal. De cualquier manera, a menudo resulta difícil para los departamentos de TI descubrir, monitorear y gestionar estos dispositivos con los sistemas tradicionales de gestión de activos.

Riesgos de la TI en la sombra

Si bien los empleados suelen adoptar TI en la sombra para sus beneficios percibidos, los activos de TI en la sombra plantean riesgos potenciales de seguridad para la organización. Esos riesgos incluyen:

Pérdida de visibilidad y control de las TI

Debido a que el equipo de TI generalmente desconoce los activos de TI en la sombra, las vulnerabilidades de seguridad en estos activos no se abordan. Es posible que los usuarios finales o los equipos departamentales no comprendan la importancia de las actualizaciones, los parches, las configuraciones, los permisos y los controles normativos y de seguridad críticos para estos activos, lo que agrava aún más la exposición de la organización.

Inseguridad de los datos

Es posible que se almacenen datos confidenciales, se acceda a ellos o se transmitan a través de dispositivos y aplicaciones de TI en la sombra no seguros, lo que pone a la empresa en riesgo de sufrir filtraciones o fugas de datos. Los datos almacenados en aplicaciones de TI en la sombra no quedarán atrapados durante las copias de seguridad de los recursos de TI autorizados oficialmente, lo que dificulta la recuperación de información luego de la pérdida de datos. Y la TI en la sombra también puede contribuir a la incongruencia de los datos: cuando los datos se distribuyen entre múltiples activos de TI en la sombra sin ninguna gestión centralizada, los empleados pueden estar trabajando con información no oficial, no válida o desactualizada.

Problemas de cumplimiento

Las regulaciones, como la Ley de Portabilidad y Responsabilidad del Seguro Médico, el Payment Card Industry Data Security Standard y el Reglamento General de Protección de Datos tienen requisitos estrictos para procesar información de identificación personal. Es posible que las soluciones de TI en la sombra creadas por empleados y departamentos sin experiencia en cumplimiento no satisfagan estos estándares de seguridad de datos, lo que genera multas o acciones legales contra la organización.

Ineficacia empresarial

Es posible que las aplicaciones de TI en la sombra no se integren fácilmente con la infraestructura de TI autorizada, lo que obstruye los flujos de trabajo que dependen de información o activos compartidos. Es poco probable que el equipo de TI tenga en cuenta los recursos de TI en la sombra al introducir nuevos activos sancionados o aprovisionar infraestructura de TI para un departamento determinado. Como resultado, el departamento de TI puede realizar cambios en la red o en los recursos de la red de manera que interrumpan la funcionalidad de los activos de TI en la sombra en los que confían los equipos.

Beneficios de la TI en la sombra

En el pasado, las organizaciones a menudo intentaban mitigar estos riesgos prohibiendo por completo la TI en la sombra. Sin embargo, los líderes de TI aceptaron cada vez más la TI en la sombra como algo inevitable, y muchos llegaron a adoptar sus beneficios comerciales. Estos beneficios incluyen:

  • Permitir que los equipos sean más ágiles para responder a los cambios en el panorama empresarial y a la evolución de las nuevas tecnologías
     

  • Permitir que los empleados usen las mejores herramientas para sus trabajos
     

  • Optimizar las operaciones de TI al reducir los costos y recursos necesarios para adquirir nuevos activos de TI

Para mitigar los riesgos de la TI en la sombra sin sacrificar estos beneficios, muchas organizaciones ahora tienen como objetivo alinear la TI en la sombra con los protocolos de seguridad de TI estándar en lugar de prohibirla de manera total. Con ese fin, los equipos de TI a menudo implementan tecnologías de ciberseguridad, como herramientas de gestión de superficie de ataque, que monitorean continuamente los activos de TI orientados a internet de una organización para descubrir e identificar TI en la sombra a medida que se adopta. Estos activos ocultos pueden evaluarse en busca de vulnerabilidades y corregirse. 

Las organizaciones también pueden emplear software de agente de seguridad de activos en la nube (CASB), que garantiza conexiones seguras entre los empleados y cualquier activo en la nube que usen, incluidos activos conocidos y desconocidos. Los CASB pueden descubrir servicios en la nube en la sombra y someterlos a medidas de seguridad como el cifrado, las políticas de control de acceso y la detección de malware. 
Soluciones relacionadas
Soluciones de seguridad empresarial

Transforme su programa de seguridad con las soluciones del mayor proveedor de seguridad empresarial.

 Explore las soluciones de ciberseguridad
Servicios de Ciberseguridad

Transforme su negocio y gestione el riesgo con servicios de consultoría de ciberseguridad, nube y seguridad gestionada.

         Explore los servicios de ciberseguridad
    Ciberseguridad de la inteligencia artificial (IA)

    Aumente la velocidad, precisión y productividad de los equipos de seguridad con soluciones cibernéticas potenciadas por IA.

         Explorar la ciberseguridad de IA
    Dé el siguiente paso

    Ya sea que necesite una solución de seguridad de datos, gestión de endpoints o gestión de identidad y acceso (IAM), nuestros expertos están listos para trabajar con usted para lograr una postura de seguridad sólida. Transforme su negocio y gestione el riesgo con un líder global del sector en servicios de consultoría de ciberseguridad, en la nube y de seguridad gestionada.

         Explore las soluciones de ciberseguridad Descubrir los servicios de ciberseguridad