`TI debe conocer la existencia y uso de estas herramientas para que no supongan riesgo para la empresa', Eusebio Nieva, Check Point
- IT User
Eusebio Nieva, director Técnico de Check Point para España y Portugal, nos explica las implicaciones de seguridad del Shadow IT.
¿Es el Shadow IT un problema? ¿Por qué?
El hecho de utilizar aplicaciones sin que la empresa lo sepa se puede convertir en un problema grave. Lo más habitual es que los empleados compartan archivos personales y corporativos entre ellos por lo que envían datos a servidores externos a la compañía. Pueden parecer gestos inocentes que, desde luego, no esconden ninguna mala intención, pero debemos ser conscientes de las consecuencias que acarrean. Es importante tener en cuenta que si los ficheros salen del entorno seguro, es mucho más sencillo para los ciberdelincuentes robar la información.
¿Cuáles son las principales tecnologías en la sombra? (almacenamiento, redes sociales...)
Las principales tecnologías de Shadow IT son los servicios de almacenamiento cloud como Google Drive, Dropbox, Evernote o OneNote.
Con respecto a las redes sociales, excepto en casos muy específicos, el uso es principalmente de ámbito privado por lo que, por lo general, no se debería considerar, según algunas calificaciones, estrictamente como Shadow IT. Pero de nuevo, una falta de control sobre estas tecnologías puede suponer una pérdida de datos inadvertida o incluso, en algunos casos, un conflicto en el cumplimiento de normativas. Por ejemplo, el uso de herramientas de correo privado para enviar información corporativa (como forma de saltarse las normas o agilizar la compartición de datos con agentes externos) puede suponer un problema grave si no existe ningún tipo de control.
¿Qué consecuencias trae su uso? (tanto positivas como negativas)
Como consecuencia positiva destaca la posibilidad de compartir datos de manera rápida e intuitiva. Es cierto que, por lo general, las versiones corporativas, si existen, carecen de algunas de las características, especialmente la facilidad de uso y agilidad, de estas aplicaciones shadow IT, por lo que pierden puestos entre las preferencias de los usuarios.
En la otra cara de la moneda, nos encontramos con el principal efecto negativo: si el Shadow IT se utiliza sin ningún control por parte del empleado ni de la empresa, los archivos se pueden convertir fácilmente en públicos y están disponibles después de su descarga.
¿En qué casos estaría justificado el uso de herramientas (hard y soft) que no hayan sido aprobadas por el departamento de sistemas?
Nunca está justificado y debemos tener este punto muy claro. El departamento de sistemas debe conocer la existencia y uso de estas herramientas para que su uso no suponga ningún riesgo para la empresa. Es cierto que hay momentos en los que puede ser “aceptable” si el usuario es plenamente consciente de qué es lo que está compartiendo y lo hace de forma segura. Para ello, sería importante definir quién está autorizado a acceder al archivo, encriptarlo para reforzar su seguridad y borrar el fichero una vez ha llegado a su destino.
Algunos empleados hacen uso del Shadow IT porque es más ágil y rápido que esperar la aprobación corporativa. ¿Cómo pueden los CIO resolver esta ecuación?
Los CIO tienen que ser conscientes de esta necesidad de los empleados y ofrecerles aplicaciones equivalentes, ágiles e intuitivas. Existen herramientas corporativas, opensource o no, que permiten proporcionar a los usuarios las mismas funcionalidades, pero bajo el control y seguimiento del departamento de IT. En cualquier caso, el seguimiento del uso de estas aplicaciones "shadow" es importante para que los CIO se hagan una idea del estado actual.
De hecho, algunos analistas aseguran que el Shadow IT fomenta la innovación en las empresas. ¿Está de acuerdo? ¿Por qué?
Hasta cierto punto. El Shadow IT agiliza las tareas y además da al usuario la posibilidad de acceder a un archivo y modificarlo desde cualquier dispositivo. Sin embargo, no hay que olvidar el peligro que conlleva utilizarlo. Sin duda es una herramienta con muchos aspectos positivos, pero su uso sin control puede comprometer la seguridad de una compañía.
¿Puede el CIO perder parte de su influencia (también económica) por el Shadow IT? ¿Cuál debe ser el papel del CIO respecto a su utilización?
Si el CIO sabe atender la demanda de los trabajadores no tiene por qué perder influencia. Debe adaptarse y ofrecer nuevas aplicaciones que les permitan compartir información sin poner en riesgo la seguridad de su empresa.
Además, es muy importante tener control y visibilidad de los diferentes flujos de información desde los usuarios corporativos hacia agentes externos, con información específica del uso de estas aplicaciones y los datos corporativos involucrados.
¿Qué alternativas existen? ¿Tecnologías centralizadas? ¿Un responsable técnico por departamento?
Una buena opción es promover un uso del Shadow IT controlado bajo procedimientos. Por ejemplo, usar tecnologías que permitan controlar lo que pueden hacer los empleados desde el navegador lo que permite a los usuarios descargarse archivos de Dropbox o de Google Drive, pero no subirlos. También permite que el CIO pueda ver y controlar qué entra y qué sale de los servidores corporativos.
Esta entrevista forma parte del reportaje En Portada de IT User 17, de noviembre de 2016. Quizá también te interesen otras entrevistas de este mismo reportaje:
