Shadow IT

El término Shadow IT (en español: “TI en las sombras” o “TI invisible”) se refiere a una situación que se da en la mayoría de las organizaciones, en la que los usuarios implementan aplicaciones conectadas a la nube o usan servicios en la nube dentro del entorno empresarial sin el conocimiento o consentimiento del departamento de informática. Algunas instancias de uso de Shadow IT pueden ser inocuas o hasta útiles. Pero también pueden crear nuevos riesgos de ciberseguridad.

Muchos trabajadores utilizan aplicaciones basadas en la nube en entornos corporativos con buena intención. Han descubierto una aplicación que funciona excelentemente y la usan y la comparten con sus colegas. Pero no ha sido aprobada por el personal de seguridad de informática porque estos no se han enterado de su existencia.

El departamento de seguridad de informática puede pensar que tendrán unas 20 o 30 de estas aplicaciones “invisibles” dentro de su red, cosa que suena manejable. Pero cuando realizan una comprobación de descubrimiento de Shadow IT, se horrorizan al descubrir que tienen 1.300 aplicaciones de cuya existencia ni siquiera sabían. Mientras más aplicaciones desconocidas haya en la red, mayor será el riesgo de Shadow IT. Y no se puede proteger lo que no se conoce.

Considerando que vivimos en un mundo de “la nube primero”, es de vital importancia controlar el acceso de sus usuarios a las aplicaciones, tanto las que TI ha autorizado como las que no (Shadow IT). Las corporaciones tienen una media estimada de 1.000 aplicaciones en la nube en uso constante. Y algunas de estas tienen serios problemas de seguridad, que podrían potencialmente poner en peligro a las organizaciones y violar las normativas y leyes de cumplimiento.

Uno de los ejemplos de Shadow IT más comunes, es cuando un usuario otorga permisos amplios de OAuth a aplicaciones externas. Esto infringe, inadvertidamente, las normativas de protección de datos, como el RGPD. Además, los atacantes suelen emplear complementos externos y la ingeniería social para engañar y convencer a las personas para que les otorguen acceso a sus aplicaciones SaaS aprobadas ─como Office 365, G Suite y Box─, que suelen contener datos delicados.

Una solución de CASB protege del Shadow IT y le ayuda a controlar las aplicaciones y servicios usados en la nube por su personal, ofreciéndoles una vista centralizada de su entorno en la nube. Le permite conocer más acerca de quién está accediendo a qué aplicaciones y datos en la nube, desde dónde y desde qué dispositivo.

Los CASB catalogan a los servicios basados en la nube (incluyendo las aplicaciones de OAuth externas), califican el nivel de riesgo y fiabilidad general de los servicios basados en la nube y les asignan una puntuación. Los CASB incluso suministran controles automatizados de acceso de y hacia servicios basados en la nube según las calificaciones de riesgo basadas en la nube y otros parámetros, tales como la categoría de la aplicación y los permisos de datos.