"El enfoque radical contra el Shadow IT es bloquear el acceso a todos los servicios no corporativos. Sin embargo, puede que no siempre sea realista para todas las empresas, especialmente en esta nueva realidad laboral. A veces, el mismo Shadow IT puede ayudar a los empleados a hacer mejor su trabajo".

* Por Claudio Martinelli, director general para América Latina y el Caribe en Kaspersky

La combinación del uso de servicios web corporativos y personales para el trabajo ya no está en duda, es una realidad. Los diferentes departamentos dentro de una misma compañía acceden a numerosos servicios específicos en la nube, mientras que el personal a menudo usa las redes sociales, plataformas para compartir archivos, servicios de mensajería y diferentes herramientas de Software (SaaS, por sus siglas en inglés) porque son más convenientes. Para ser precisos y de acuerdo con un reciente estudio de Kaspersky, 63% de los latinoamericanos utiliza servicios basados en la nube para guardar archivos relacionados a su trabajo, y 1 de cada 2 admite no tomar medidas para proteger la información que almacena en estos.

La necesidad de trabajar a distancia durante la pandemia hizo que esta práctica fuera aún más común. Después de mudar la operación de las oficinas a sus casas, los empleados se enfrentaron al desafío de hacer las cosas, incluso si su Departamento de TI no les proporcionaba acceso a todos los servicios corporativos. Este cambio también borró las líneas entre la vida corporativa y la vida personal, por lo que la gente comenzó a usar computadoras portátiles corporativas para hacer cosas distintas al trabajo, como jugar videojuegos, ver películas o contenidos a través de servicios de streaming, e incluso, ver pornografía.

Si bien parece que este comportamiento actual está creando una nueva norma, aún queda una pregunta: ¿qué deben hacer las empresas con respecto al Shadow IT? Analicemos los riesgos, las recompensas y las posibles soluciones.

Seguridad de los datos: ¿Por qué es importante estar atento al Shadow IT? Se supone que los servicios corporativos autorizados para comunicación, colaboración, almacenamiento e intercambio de archivos deben estar configurados correctamente por los equipos de TI de la empresa y tienen el nivel requerido de control de acceso, protección de datos y gestión de incidentes. Significa que una compañía tiene un buen nivel de transparencia y garantiza que nadie ajeno a la corporación pueda acceder al espacio corporativo y su contenido (al menos sin herramientas maliciosas avanzadas).

Cuando se trata de servicios no corporativos como mensajería, intercambio de archivos, correo electrónico o CRM, como Zoom, Stream Yard u otros, no está claro si los datos que los empleados comparten a través de ellos son seguros. Ante este escenario surge la duda sobre si los trabajadores están usando contraseñas seguras, o cómo acceden al servicio y desde qué dispositivos, o quién administra el acceso si las personas dejan de colaborar en la empresa.

Es un factor humano natural que un empleado pueda olvidarse de configurar una contraseña o limitar el círculo de lectores y editores de un documento compartido. Alternativamente, las aplicaciones pueden estar expuestas a acciones maliciosas. Los estafadores pueden abusar o incluso apoderarse de las cuentas de los usuarios a través del phishing o la ingeniería social, como en 2019 cuando los actores maliciosos abusaron de la popular plataforma de intercambio de archivos WeTransfer. En esa ocasión, enviaron archivos maliciosos a través de WeTransfer que, cuando se descargaban, redirigían a las víctimas a una página de inicio de sesión falsa de Microsoft Office 365 que capturaba los detalles de inicio de sesión si una víctima los ingresaba en el formulario.

Además, las empresas deben tener en cuenta que la práctica del Shadow IT puede conllevar a la violación de las leyes de protección de datos vigentes en la región, lo que puede resultar en sanciones, multas y la perdida de reputación.

Si el Shadow IT es inevitable, ¡sácalo a la luz! El enfoque radical contra el Shadow IT es bloquear el acceso a todos los servicios no corporativos. Sin embargo, puede que no siempre sea realista para todas las empresas, especialmente en esta nueva realidad laboral. A veces, el mismo Shadow IT puede ayudar a los empleados a hacer mejor su trabajo, por lo que una prohibición puede afectar la eficiencia empresarial. Por ejemplo, una vicepresidenta pagó un software de CRM de su propio bolsillo, sin pasar por el sistema autorizado sugerido por su equipo de TI. Cuando la empresa tomó conocimiento, se enfrentó a una acción disciplinaria, a pesar de que gracias a este CRM pudo aumentar los ingresos de la empresa en $ 1 millón de dólares por mes.

Por lo tanto, el equilibrio es crucial: es importante no imponer la tiranía de las TI, pero tampoco exponer a una empresa a los riesgos de usar software no autorizado. En lugar de combatir, las empresas deben liderar el proceso haciendo que la práctica del Shadow IT en las sombras salga a la luz. Pero, ¿cómo pueden hacer eso exactamente?

En primer lugar, la conciencia del personal sobre el uso seguro de los servicios digitales: desde el correo electrónico corporativo hasta el software de ingeniería dedicado o incluso el WhatsApp, es clave para mejorar la ciberseguridad dentro de la empresa. Si existe una política corporativa que no permite a los empleados compartir documentos comerciales a través de aplicaciones no autorizadas, deben saberlo. Al administrar cualquier herramienta, los empleados deben tener en cuenta aspectos básicos, como la administración de acceso y las contraseñas. También deben aprender las reglas básicas de seguridad, como no abrir archivos adjuntos o hacer clic en enlaces en correos electrónicos de remitentes desconocidos, no descargar software de fuentes no oficiales y siempre verificar la URL de las páginas web que solicitan detalles de inicio de sesión.

Cuando se habla de ciberseguridad, es mejor usar el tono de voz correcto: no castigar, sino educar, recordar, probar y recordar nuevamente. Explica a tu personal por qué es tan importante y cómo respalda el negocio y su tranquilidad. El equipo puede seguir usando los servicios para trabajar, pero es fundamental que sigan las reglas y no infrinjan la política de protección de datos.

En segundo lugar, es fundamental lograr visibilidad sobre el Shadow IT e integrarla con los recursos corporativos. Existen herramientas dedicadas que permiten a los equipos administrar el acceso a las nubes públicas. Destacan qué servicios se utilizan con más frecuencia, cuáles de ellos tienen el potencial de transferencia y almacenamiento de datos y qué tan riesgoso es, y toman las medidas necesarias. Esta herramienta puede ser una solución independiente o integrada con una seguridad de Endpoint.Por ejemplo, con la ayuda de este descubrimiento en la nube, encontramos  que YouTube es una de las aplicaciones a la que más acceden los empleados en los dispositivos corporativos. YouTube no ofrece opciones para compartir archivos ni procesar datos comerciales, por lo que el riesgo es mínimo. A menos que ver videos de YouTube afecte la eficiencia del personal, pero esa es otra historia.

Por último, es importante tener procesos claros y la cultura corporativa debe animar a los empleados a solicitar mejoras. Una historia similar a la de la vicepresidenta y el CRM "en la sombra" puede suceder en cualquier empresa. Por ejemplo, el equipo de TI puede mostrarse reacio a considerar las demandas entrantes. Es posible que simplemente no tengan suficiente tiempo o recursos, o que la propia empresa carezca de una cultura corporativa propicia para el cambio. Establecer prácticas definidas que ayuden a los empleados a ponerse en contacto con los equipos de soporte y obtener ayuda puede ser una salida. Incluso si el servicio de asistencia técnica no puede proporcionar lo que se requiere, tus empleados deberían poder consultar sobre soluciones alternativas.

El Shadow IT es muy común porque es parte de la naturaleza humana buscar siempre la forma más fácil y conveniente de hacer algo, incluido nuestro trabajo. Debe tratarse con cuidado, y estas simples recomendaciones solo muestran que las organizaciones pueden administrarlas. Esto no solo reducirá la exposición a los riesgos de protección de datos, sino que también fomentará una mejor comunicación entre el departamento de TI y los empleados. También conduce a otro resultado positivo: la confianza de una empresa en sus colaboradores y viceversa.