Shadow IT, riesgos, desafios. ¿Qué hacer?

Mucho hemos escuchado de la palabra “shadow IT”, yo mismo he usado la expresión y quizá alguna vez lo hice de manera equivocada. Así que, he hecho un poco de investigación para compartirles con mayor precisión de que se trata y porque reviste relevancia hoy día.

“Shadow IT define el uso de tecnologías -dispositivos, sistemas, software, aplicaciones y/o servicios, etc.-, no controladas, avaladas o aprobadas de manera explícita por la organización”.

Se materializa cuando los colaboradores deciden eludir las políticas establecidas y arrogarse el derecho no adjudicado, de instalar o usar aplicaciones, hardware, software, servicios web o servicios de nube explícitamente no autorizados. Aunque bueno, también converge que muchas organizaciones ni siquiera regulan este sensible tema.

Un poco más simple, Shadow IT es emplear en ambientes laborales controlados, aplicaciones, hardware, software, servicios web o servicios de nube explícitamente no autorizados.

Detalle curioso a los que nos hacemos de la vista gorda: un estudio de RSA informó que el 35 % de los colaboradores sienten que es necesario trabajar alrededor de las políticas de seguridad de su organización, para simplificar la tarea de hacer su trabajo.

Por ejemplo, un colaborador podría descubrir una excelente aplicación para compartir archivos, que aquella que ha sido autorizada oficialmente. Sin estar avalada, una vez que comienzan a usarla, es posible que otros compañeros se unan en su uso, mismo que podría extenderse a más miembros de la empresa. No hay dolo o mala intención en el evento, pero claramente se viola un dogma.

Hay muchos servicios en la nube -tipo SaaS-, que se han convertido en la mayor amenaza de exfiltración de datos, lo que se traduce como una forma de Shadow IT.

Hay que recordar que el número de servicios en nube y aplicaciones como servicio ha aumentado significativamente desde que iniciamos el viaje a la nube, por lo que es casi un hecho que los colaboradores se registran, instalan y utilizan de forma rutinaria estas herramientas sin involucrar al equipo de TI, de seguridad de información y/o de riesgo empresarial. Lo que ha aumentado la adopción de Shadow TI. Aplicaciones como MS-Office 365, G Suite, Slack, Teams, Dropbox, Box, Zoom, entre muchísimas, están disponibles haciendo unos pocos clics y completando algunos “datos”.

Fuente: OneLogin

Ciertas características como compartir o almacenar o colaborar, pueden resultar en fugas de datos sensitivas o que comprometen la resiliencia. La magnitud del desafío para controlar la ingesta de estos servicios en las empresas y la enorme datificación y entrega de boronas digitales a estas plataformas desde los individuos y las empresas, es titánica. Esta es también una forma de Shadow IT.

Ahora bien, el tema acá es ¿cuánta información personal sensible o secretos empresariales estamos cediendo?

Pero el lienzo de Shadow IT se extiende más allá de las aplicaciones de trabajo e invade los dispositivos personales (BYOD) usados para el desarrollo del trabajo, dado que un gran número de colaboradores hoy día trabajan remotamente, lo que promueve el uso de aplicaciones no controladas, avaladas o autorizadas.

Algo mayor se esconde detrás de estas amenazas, pues con cada uso de este tipo de escotillas, se crea un nuevo punto de entrada para que un potencial ciberatacante. Es decir; la superficie de ataque y el riesgo de filtración de datos, tanto de identidad, como de acceso; aumenta sin que se tenga visibilidad de esa superficie ampliada a partir de Shadow IT.

Casi todas las organizaciones pueden ser víctimas de la tecnología en las sombras (Shadow IT), al perder visibilidad para enfrentar un potencial ciberataque.

Otro ejemplo común es, cuando un usuario descarga una aplicación no aprobada, la instala y comienza a usarla. Imaginemos -nada fuera de lo real-, que esa aplicación contiene un malware troyanizado de acceso remoto (RAT), que podría ser el vector inicial para un ciberataque. Esa posible inocente y útil aplicación no solo abrirá la caja de pandora, sino que quizá incluso secuestre credenciales con o sin elevados privilegios, que servirán al actor malicioso para lograr persistencia y desplazarse lateralmente en la infraestructura de la organización.

De hecho, este riesgo se extiende más allá de las aplicaciones, el mismo estudio de RSA también informó que el 63% de los colaboradores envían documentos de trabajo a su correo electrónico personal para trabajar desde casa, exponiendo datos a redes que no pueden ser monitoreadas por los equipos de seguridad de la organización.

Es posible -el margen de duda obedece a que algunas organizaciones aun no lo catalizan-, que su organización este invirtiendo gran cantidad de recursos en ciberresiliencia, mientras sus colaboradores están creando una superficie de ataque no visible, a las sombras o estén dejando entrar adversarios a través de esas aplicaciones aparentemente inofensivas con un supuesto valor agregado para el desarrollo de las actividades laborales o personales.

Curiosamente, una de las mayores razones por las que los colaboradores emplean Shadow IT es simplemente para trabajar de manera más eficiente. Es decir; a pesar de todos los riesgos que presenta, también tiene el potencial de muchas recompensas. Las nuevas aplicaciones pueden revolucionar los procesos y permitir que los colaboradores trabajen más inteligente, eficiente y de manera más productiva. Así que se requiere un equilibrio cuidadoso entre la gestión del riesgo y la flexibilidad.

Shadow IT representa un gran riesgo porque generalmente no está en el radar de nuestros equipos de IT o ciberseguridad; y proporciona muchos puntos de entrada para que ciberataques se consuman en nuestras redes, explotando vulnerabilidades en aplicaciones, hardware, software o servicios web y en nube.

Sí, tenemos que entender que es una batalla que no se puede ganar sin salvaguardas, controles preventivos y controles detectivos. Como sustento, he de decir que Gartner estimó que más de un tercio de los ataques exitosos experimentados emergen desde recursos de Shadow IT, incluyendo aparentes inofensivos artefactos de IoT (cámaras, asistentes virtuales, televisores, sensores, etc.)

La paradoja es que, a pesar de sus riesgos, Shadow IT tiene sus beneficios. Por ejemplo; obtener la aprobación de TI o recibir los recursos adecuados para desarrollar nuestras responsabilidades puede requerir tiempo que no podemos permitirnos. Así que muchas veces la misma organización exige, pero no provee herramientas, por lo que para muchos colaboradores la aprobación del negocio es un cuello de botella para la productividad, especialmente cuando pueden conseguir su propia solución en cuestión de minutos. Buena lectura del entorno, procesos agiles, comunicación eficaz y flexibilidad son por mucho, competencias que las empresas deben gestionar.

Encontrar un punto intermedio permitirá encontrar soluciones que se adecuen, al tiempo que nos permitirán controlar las políticas, la gestión de datos, la debida diligencia y por ende la resiliencia para esas necesidades.

Mis sugerencias para gestionar este tema serian:

1. No basta crear una política de uso aceptable, debes crear una política de shadow IT en la cual se explique claramente ¿qué es Shadow IT?, los riesgos que crea y proporcionar ejemplos concretos. A partir de allí, establecer una guía que oriente al colaborador sobre como abordar esa necesidad emergente.
2. Comunicar -informando el pecado, no el pecador- sobre cualquier incumplimiento; expresando las consecuencias, en caso de tal incumplimiento o desobediencia informada.
3. Asegurarse de concienciar a todos los colaboradores, socios, contratistas y terceros, sobre las políticas y controles de manera que todos entiendan el por qué la política es esencial, los riesgos que encara y por qué la cooperación y el cumplimiento de cada parte interesada es crítica para el éxito.
4. Proporcionar un mecanismo para recomendar y justificar la autorización de cualquier nueva aplicación, dispositivo o servicio. Si la organización autoriza y adopta la recomendación del colaborador, debe proveer reconocer y/o recompensar, destacando los beneficios obtenidos al usar la nueva app.
5. Tener programas de entrenamiento a nuevos colaboradores (NEO, “New employee Orientation / Onboarding”) para la adecuada incorporación a la organización.
6. Implementar controles de seguridad interna -preventivos y detectivos-, con el fin de bloquear descargas ad hoc de aplicaciones o software o el acceso a ciertos servicios web, por ejemplo.
7. Realizar revisiones o escaneos regulares para identificar aplicaciones, software o servicios web no autorizados.
8. Implementar pasarelas de seguridad para el acceso a servicios en la nube (cc: CASB “Cloud Access Security Broker”) que ayuden proporcionando visibilidad y control de aplicaciones de software como servicio (SaaS).
9. Contratar auditorías externas regulares para probar de manera independiente el cumplimiento de las políticas y evaluar las oportunidades de mejora en los controles preventivos y de detectivos, para el tratamiento de riesgos.

Los ecosistemas alrededor de Shadow IT, ayudan a los cibercriminales a cristalizar oportunidades de vulnerar nuestras organizaciones.

Cada vez son más recurrentes las aplicaciones falsas, los ataques a la cadena de suministro, tanto de software de fuentes abiertas, como software propietario y son más las oportunidades para los cibercriminales de estimular a colaboradores e individuos a consumir estas potenciales amenazas, sin la aprobación y/o el conocimiento de la organización.