¿Qué preocupa a las empresas de 'shadow IT'?

Recomendados:  Informe IT Trends: 2020, el año de la consolidación digital Leer Ciberseguridad en 2020, ¿qué podemos esperar? Registro.  Tendencias TI 2020, visionando el futuro. Webinar ondemand.

Se consideran dispositivos “shadow IT” todos aquellos dispositivos conectados a la red que no están dentro de los esquemas de gestión del departamento de TI, ya sean dispositivos personales no corporativos como portátiles, teléfonos móviles, tablets, rastreadores de actividad física o dispositivos inteligentes para el hogar, como asistentes de voz o dispositivos IoT instalados sin la autorización o conocimiento del departamento, y que van desde puntos de acceso hasta sensores o todo tipo de equipamiento industrial.

Éste es un fenómeno que crece a nivel mundial, y que preocupa a los equipos de TI que lo ven como un riesgo para la seguridad, Sobre este tema es sobre lo que versa el estudio de Infoblox, “What’s Lurking in the Shadows 2020”, que analiza los importantes retos de gestión y seguridad que la irrupción de BYOD y el fenómeno de “Shadow IT” suponen para la seguridad de la red y los activos de TI de las organizaciones.

Según sus datos, son pocos los profesionales de tecnología que son ajenos al riesgo que entraña tener un alto nivel de ‘shadow IT’: un 28% se ha mostrado muy preocupado, un 38% moderadamente preocupado, un 23% algo preocupado y sólo 8% manifiesta no estar preocupado en absoluto.

La preocupación entre los profesionales españoles es mayor: un 76% manifiesta estar muy o moderadamente preocupado por la amenaza que suponen los dispositivos no controlados. Un 19% dice estar algo preocupado y menos del 4% dice no estar preocupado en absoluto. Alemania es el país en que el grado de preocupación es menor.

A aquellos responsables de TI que han manifestado su preocupación por las amenazas de red se les ha preguntado también por las principales causas de dicha preocupación. En general, es precisamente la presencia de dispositivos IoT no controlados o securizados la preocupación (25%) más importante después de la falta de personal cualificado para gestionar este tipo de entornos (28%). Les sigue la presencia de dispositivos BYOD en la red (19%) y equipamiento industrial (sistemas de aire acondicionado, videocámaras, equipos médicos, 18%). En España, los resultados son similares, aunque la preocupación por la falta de personal cualificado es ligeramente superior (33%).

A raíz de esta inquietud, la mayoría de las empresas están implementando políticas de seguridad para toda la organización. En términos globales, el 89% de los encuestados han manifestado contar con políticas de seguridad específicas para dispositivos BYOD/IoT personales que se conectan a la red, frente al 8% que manifiesta no tenerlas. Estos porcentajes son bastante similares en nuestro país (88,82% frente al 7,19%).

Sobre la eficacia de dichas políticas, el 46% de los encuestados considera que son muy efectivas, otro 46% que en general son efectivas, un 7% que son medianamente efectivas y sólo el 0,5% que no son efectivas en absoluto. En España, los porcentajes varían: la mayoría, un 62% consideran que son efectivas en general, mientras que solo el 34% las considera muy efectivas. Casi un 4% las considera medianamente efectivas y ninguno las considera inútiles del todo.

Seguridad en entornos distribuidos
A medida que las empresas se internacionalizan, el número de sucursales y ubicaciones remotas continúa aumentando. Esta proliferación de los entornos distribuidos tiene serias implicaciones de seguridad, ya que las delegaciones y oficinas remotas son a menudo menos ágiles a la hora implementar políticas de seguridad. En cuanto a la preocupación por la seguridad en este tipo de entornos y cómo gestionarla, los profesionales se muestran en su mayoría muy o moderadamente preocupados (65%). Un 23% se muestra algo preocupado y sólo el 8% manifiesta falta de preocupación. En el caso español, la preocupación es mayor. Un 75% se muestra muy o moderadamente preocupado por este problema, un 18% poco preocupado y sólo un 4% no se muestra preocupado en absoluto.

En cuanto a las políticas de seguridad que tienen implementadas para gestionar las oficinas remotas, un 89% de los encuestados manifiesta disponer de políticas de seguridad corporativas para toda la red, tanto en la sede central como en las oficinas remotas, frente al 8% que manifiesta carecer de ellas. Los porcentajes son muy similares a nivel local.

Grado de dispositivos no controlados
Tras encuestar a 2.650 profesionales de TI de empresas y organizaciones de diferentes países, incluyendo 501 profesionales españoles, de diferentes sectores y Comunidades Autónomas,  los autores llegan una serie de conclusiones, algunas de ellas preocupantes. Así, en términos globales, un 62% de los profesionales encuestados manifiesta tener más de 1.000 dispositivos “Shadow IT” conectados en su red. Por países, las cifras varían considerablemente.

El país que presenta menor número de dispositivos no controlados es Estados Unidos, ya que sólo un 48% de los encuestados manifiesta tener más de 1.000 dispositivos no controlados, seguido de España, con un 58%. En el otro extremo están Alemania y Países Bajos, en el que el 70% de los encuestados dice tener más de 1.000 dispositivos no controlados.

Haciendo un análisis más granular de los datos relativos a España, se puede ver que en los dos segmentos con menor número de dispositivos no controlados (“menos de 1.000” y “entre 1.000 y 2.000”) nuestro país supera la media. En el resto de segmentos está por debajo. “Esto significa que las empresas españolas tienen a priori un menor riesgo potencial para las organizaciones de estos países, bien porque la cifra de dispositivos conectados sea menor o porque hay un mayor control sobre dichos dispositivos BYOD”, dice el informe.

Se ha interrogado también a los profesionales de TI sobre el crecimiento del fenómeno de “Shadow IT” en sus redes. Esto es especialmente importante por la amenaza que supone para la red y los activos de TI la aparición de nuevos casos de dispositivos “Shadow IT” en la red. El fenómeno está ampliamente extendido. El 75% de los encuestados manifestaron haber detectado algún caso en los últimos 12 meses. De nuevo, por países las cifras varían. Mientras que en Estados Unidos y Reino Unido el porcentaje de empresas en las que se dio el fenómeno fue del 63% y 71% respectivamente, en Países Bajos fue del 89%. En el caso de España, el porcentaje está de nuevo ligeramente por debajo de la media, con un 74%.