Las modalidades de trabajo remoto e híbrido han provocado que los empleados pasen más tiempo conectados a Internet en sus dispositivos corporativos y ello ha incrementado un fenómeno llamado “Shadow IT”, que se produce cuando los colaboradores descargan programas sin previa autorización del departamento de TI en laptops, desktops, tablets y teléfonos móviles que usan para realizar sus labores diarias.
De acuerdo a la encuesta de Kaspersky, Infodemia y los impactos en la vida digital, las aplicaciones que más descargan los empleados mexicanos en sus dispositivos de trabajo son las apps de mensajería (69%), seguidas por las aplicaciones de medios noticiosos (53%) y las Redes Sociales (51%). Sin embargo, al preguntarles si solicitaron la autorización del departamento de TI antes de instalarlas, el 44% dijo que no y 52% asegura que no lee los permisos que la app solicita para su instalación.
La suma de todos estos factores pone la seguridad de una empresa en riesgo al no saber qué datos corporativos están siendo compartidos fuera de su infraestructura y por qué medios. Justamente, uno de los objetivos de esta encuesta es llamar la atención de los líderes empresariales para que analicen la mejor manera de enfrentar el Shadow IT.
Y es que la protección tradicional utiliza políticas que bloquean o permiten acceso a la red corporativa de forma generalizada. Sin embargo, en un mundo que se ha digitalizado rápidamente para sobrevivir, esa mentalidad ya no tiene cabida. Las directrices y políticas de seguridad y la gama de programas permitidos deben centrarse en el negocio y adoptar un enfoque más personalizado sobre qué datos necesitan mayor protección y quién necesita permiso para acceder a ellos.
Desde Kaspersky hemos observado que son varios los factores que generan el Shadow IT; no es sólo la iniciativa de los empleados, sino también la falta de procesos en las organizaciones que no han mapeado o detectado qué programas necesita cada área para desarrollar su trabajo y acaban atendiéndolos de forma reactiva e individual.
Por ejemplo, cuando una persona se va o es despedida, sólo se bloquean los accesos estándar y no aquellos instalados sin previa autorización, lo que representa un riesgo real para las empresas. Para enfrentar esta situación, es necesaria una mejor cultura de seguridad de los datos en todos los ámbitos para entender el flujo de intercambio de información y, por ende, cómo protegerlo.
Algunas de las prácticas más recomendables para atender los efectos negativos del Shadow IT tienen que ver con informar cada cierto tiempo a los colaboradores sobre las normas de seguridad que sigue la empresa, para que sepan cómo proteger los datos corporativos y sean conscientes de que un descuido puede poner en riesgo a toda la compañía.
También sugerimos revisar periódicamente la política de accesos a los archivos de la empresa, incluidos correos electrónicos, carpetas compartidas y documentos en línea. Esto permitirá mantener una política actualizada que responda a las necesidades de la organización. Una tercera recomendación es mantener un inventario actualizado de todos los programas utilizados en cada área. Así, serán más eficientes los procesos tanto de integración de nuevos empleados como cuando dejan la empresa.
Finalmente, hay que utilizar la encriptación para proteger la información confidencial porque de esta forma, aunque se comparta, no hay manera de que terceros la puedan visualizar sin autorización. Una sólida cultura de la seguridad de los datos en cualquier empresa debe considerar todos los aspectos relacionados con el intercambio de información, pero tomando en cuenta lo que realmente necesitan los empleados para realizar sus tareas diarias. Recordemos que la única manera de disminuir riesgos es concientizar a los colaboradores en materia de ciberseguridad.
