Por Jaime Berditchevsky
En materia de ciberseguridad, la pandemia ha traído muchos cambios en las prácticas corporativas: actividades que antes eran impensables hoy forman parte del día a día en muchas empresas que han decidido mantener a sus colaboradores ya sea trabajando desde casa, o bien, en un esquema híbrido. Una de estas prácticas es conocida como Shadow IT: el uso de servicios o plataformas tecnológicas que no cuentan con la autorización del departamento de Sistemas.
Un ejemplo muy concreto es que, según un estudio de Kaspersky, 59% de los mexicanos utiliza servicios basados en la nube para guardar archivos relacionados con su trabajo, ya sea para compartir con alguien más o para acceder a ellos de manera sencilla. Sin embargo, 1 de cada 2 admite no tomar medidas para proteger dicha información, debido a que no sabe cómo o simplemente no lo considera necesario.
La investigación reveló además que un 43% de los empleados mexicanos no borra los documentos que “sube a la nube”, pues prefiere mantenerlos almacenados o, simplemente, borrarlos no está dentro de sus prioridades.
Sin embargo, en la realidad laboral actual, puede que no sea realista para todas las empresas bloquear el acceso a todos los servicios no corporativos. Por ello, mantener un equilibrio es crucial: es importante no adoptar una actitud radical sobre el uso de Shadow IT, pero tampoco exponer a una empresa a los riesgos de usar software no autorizado. Pero, ¿cómo hacerlo?
Primero, si en la empresa existe una política corporativa que prohíbe a los empleados compartir documentos a través de aplicaciones no autorizadas, deben saberlo. De igual manera, si la empresa decide autorizar su uso, también debe ofrecer reglas básicas de seguridad, tales como: no abrir archivos adjuntos o no hacer clic en enlaces de correos electrónicos de remitentes desconocidos, no descargar software de fuentes no oficiales y siempre verificar la URL de las páginas web que solicitan detalles de inicio de sesión.
Segundo, es fundamental lograr visibilidad sobre la práctica de Shadow IT e integrarla con los recursos corporativos. Existen herramientas dedicadas que permiten a los equipos administrar el acceso a las nubes públicas y conocer qué servicios se utilizan con más frecuencia, cuáles de ellos tienen el potencial de transferencia y almacenamiento de datos y qué tan riesgosas son para tomar las medidas necesarias.
Tercero, los empleados deben tener claro a quién recurrir en caso de tener alguna duda en temas de seguridad. Para ello, recomendamos establecer prácticas definidas que les ayuden a ponerse en contacto con los equipos de soporte y obtener asistencia ante cualquier inquietud o incidente, por menores que estos sean. Como hemos dicho antes en este espacio, los empleados son el eslabón más débil en la cadena de ciberseguridad de una empresa y por ello es tan importante que estén debidamente capacitados.
La necesidad de trabajar a distancia ha hecho que el Shadow IT se convirtiera en una práctica común. Aun así, las organizaciones pueden administrar esta tendencia siguiendo estas recomendaciones que les permite mantener un equilibrio sobre el uso de herramientas útiles para el desempeño de sus empleados y minimizar la exposición a los riesgos de protección de datos.
Director general para México en Kaspersky
