Noticias

Opinión

Suscriptores

Estilo de vida

Marcas EE

EE Play

Newsletters

Servicios

Más

Contenido Patrocinado

Últimas Noticias

Política

Congreso a la mano

Judicial

Economía

Finanzas personales

Macroeconomía

Empresas

Emprendimiento y Liderazgo

Mundo

Venezuela

América

Europa

Más países

Bogotá

Entretenimiento

Música

Cine y TV

Gente

Horóscopo

Tarot de Mavé

Deportes

Fútbol Colombiano

Millonarios

Santa Fe

América de Cali

Atlético Nacional

Júnior

Otros equipos

Selección Colombia

Fútbol mundial

Ciclismo

Más deportes

Analistas

Colombia

Más regiones

Medellín

Cali

Barranquilla

Cartagena

Cundinamarca

El Magazín Cultural

La suma de las voces

Salud

Ambiente

Ruta a la COP16

BIBO

Fascículos BIBO

Premio BIBO

Encuentros por el Agua

Amazonas

Blog El Río

Investigación

Educación

Ciencia

Género y Diversidad

La Disidencia

Las Igualadas

Tecnología

Gadgets y Apps

Actualidad

Reportajes

Historias visuales

Colecciones

Podcast

Novedad

Cromos

Tendencias

Sexualidad

Maternidad

Vida sana

Moda

Famosos y vida social

Astrología

Novedad

Vea

Lo último

Famosos

Realeza

Películas, series y novelas

Cocina

Los astros y las estrellas

Términos y condiciones Política de privacidad
Publicidad

Home

Economía
Emprendimiento y Liderazgo

Emprendimiento y liderazgo

‘Shadow IT’, el peligro de que los empleados usen la tecnología por su cuenta

Las herramientas tecnológicas han permitido a las empresas multiplicar la productividad de sus empleados, pero si las adoptan por su cuenta introducen un peligroso factor de riesgo. Consejos que todo tipo de compañía, desde un emprendimiento hasta las de mayor tamaño, deberían seguir.

BBVA*
09 de octubre de 2024 - 02:21 p. m.
La educación en seguridad digital es necesaria para no dejar su información expuesta en Internet.
La educación en seguridad digital es necesaria para no dejar su información expuesta en Internet.
Foto: pexels

Según Gartnerel 41 % de los empleados de las empresas adquirieron, modificaron o crearon tecnología fuera de la visibilidad de los equipos de TI en 2022, porcentaje que podría ascender al 75 % en 2027. Esta práctica, conocida como ‘shadow IT’ o “TI en la sombra”, se define como la creación o el uso por parte de cualquier empleado de herramientas de ‘software’, ‘hardware’ o servicios en la nube sin el conocimiento y la autorización del departamento de TI. Y, aunque el ‘shadow IT’ no se refiere a aplicaciones maliciosas como el ‘malware’, la ausencia de una supervisión adecuada puede llevar a las empresas a problemas.

Vínculos relacionados

Estos son los ganadores del premio “a la excelencia” en micro y pequeña empresa
La ingeniera que emprendió con un modelo de ejercicio que va más allá del fitness
¿Es emprendedor de Bogotá, Duitama, Amazonas, Arauca y Cartago? Esto le interesa

“La mayoría de las veces el uso o la generación de ‘shadow IT’ se produce porque los usuarios buscan ser más eficientes o resolver situaciones que se les plantean en su trabajo, sin ser conscientes del riesgo”, dice Ana Gómez, especialista en ciberseguridad de BBVA.

Gran incidencia, gran riesgo

Una de cada tres filtraciones de información se debe al ‘shadow data’ o datos en la sombra (información corporativa almacenada fuera de la infraestructura controlada de datos de la empresa), de acuerdo con IBM. Nuevas tecnologías como la IA generativa abren también la puerta a un uso indebido de datos corporativos: el 73,8 % del uso de ChatGPT en el trabajo se realiza a través de cuentas no corporativas que, a diferencia de las versiones para empresas, utilizan la información introducida para el entrenamiento del modelo, con el peligro de filtración de datos confidenciales que conlleva. El auge del trabajo en remoto también aumenta el riesgo de ‘shadow IT’: el 32 % de los empleados que teletrabajan utiliza ‘software’ no autorizado para tareas corporativas.

Buscan a 5.022 emprendedores para entregarles una tienda virtual y capacitarlos

Los empleados suelen adoptar herramientas y servicios de TI a espaldas del departamento de tecnología por cuestiones de comodidad y eficiencia: por ejemplo, buscan programas con los que estén más familiarizados que aquellos que su empresa ha adoptado a nivel corporativo, o soluciones tecnológicas que la compañía aún no proporciona. A veces, destaca Gómez, los usuarios no son conscientes de la existencia de herramientas corporativas adecuadas a sus necesidades, “no conocen la forma de transmitir sus necesidades a los equipos de IT, o bien tienen la percepción de que los tiempos o los presupuestos que implican son demasiado altos”.

El problema es que la TI en la sombra puede plantear importantes riesgos de seguridad. Como el equipo de Tecnología no es consciente del ‘shadow IT’, no supervisa esos activos ni aborda sus vulnerabilidades (por ejemplo, no coordina actualizaciones que solucionen los problemas de seguridad identificados). La TI en la sombra es especialmente propensa a ser explotada por ‘hackers’: según el informe ‘State of Attack Surface Management 2022′ de IBM, el 69 % de las organizaciones encuestadas se vieron comprometidas por un activo informático desconocido o no gestionado entre 2021 y 2022.

Más allá de afectar a la seguridad, las consecuencias pueden ser “operacionales, provocando perjuicios económicos y pérdida de clientes; reputacionales, dañando de manera muy importante la imagen de la empresa; legales y regulatorios, acarreando sanciones para la entidad…”. Por ejemplo, solo en el sector financiero, las pérdidas económicas directas asociadas a ataques cibernéticos ascendieron a unos 2.500 millones de dólares desde 2020, y compañías como Meta y Equifax han afrontado multas millonarias por no resolver vulnerabilidades de ciberseguridad o garantizar la seguridad de los datos de sus clientes.

Cinco ejemplos de ‘big data’ que inspiran a otras empresas y a sus emprendedores

Siempre a la sombra

La prevalencia real del ‘shadow IT’ es difícil de medir, dado que, por definición, esta clase de actividades no son detectadas por las empresas ni notificadas por los usuarios que incurren en ellas. Incluso en aquellos casos en los que una organización ha llegado a tomar conciencia de la existencia de ejemplos de ‘shadow IT’ en sus operaciones, esta información no suele hacerse pública. Aun así, algunos casos se han dado a conocer:

  • Siemens emprendió una denuncia contra una compañía singapurense como consecuencia del uso indebido de su programa NX por parte de un empleado, que descargó y utilizó una copia pirata del ‘software’ en un equipo informático corporativo. La empresa, Inzign, fue considerada responsable de las acciones de su empleado y obligada a pagar una multa de más de 30.000 dólares.
  • Una empresa de servicios públicos ucraniana sufrió una brecha de seguridad cuando un empleado se descargó una versión sin licencia de Microsoft Office de una web de torrents. La versión estaba infectada con un ‘malware’ que permitió el acceso a terceros a los sistemas de la compañía.
  • La división mexicana de la consultora KPMG vulneró la información fiscal de sus clientes cuando un grupo de desarrolladores de la compañía creó una base de datos en una nube pública de acceso abierto con casi 5 millones de comprobantes fiscales digitales de al menos 41 corporaciones en 2019. Los datos, como informó KPMG México en un comunicado a sus clientes, fueron descargados “en un ambiente no autorizado, sin el conocimiento de la oficina de Seguridad de la Información de KPMG y en contravención a una dirección previa de dicha oficina”.

¿Cómo combatirlo?

Existen varias aproximaciones para evitar y minimizar los riesgos del ‘shadow IT’. Por ejemplo, “prohibir la informática de usuario y los accesos a aplicaciones web por defecto, una solución que suele ser mal aceptada por los usuarios y puede incluso frenar el trabajo de las áreas”, advierte Ana Gómez. Las compañías también pueden optar por realizar oleadas periódicas de descubrimiento de ‘shadow IT’, y tomar medidas disciplinarias sobre los empleados que utilicen o generen aplicaciones no corporativas, algo que resulta “muy costoso en tiempo de los equipos de TI, y es reactivo, por lo que no se termina de mitigar el riesgo realmente”, explica la experta en ciberseguridad de BBVA.

La Escuela Distrital de Emprendimiento y el espacio para aprender a hacer negocios

En la entidad, explica Ana Gómez, han optado por gobernar la informática de usuario (‘End User Computing’ o EUC), siguiendo las recomendaciones de la Autoridad Bancaria Europea en sus Directrices sobre las TIC y la gestión de los riesgos de seguridad:

  • Comunicación, formación y concienciación para los equipos.
  • Formalización del registro de este tipo de informática, los roles y las responsabilidades.
  • Gestión de los riesgos insistiendo en líneas rojas.
  • Facilitación de soluciones homogéneas y escalables.
  • Realización de esfuerzos periódicos para prevenir y limitar el ‘shadow IT’, como restricciones operacionales, revisión de la normativa corporativa y auditorías internas.

Las TI en la sombra son un fenómeno generalizado en el mundo empresarial, que ya ha jugado una mala pasada a múltiples compañías, probablemente muchas más de las que el público es consciente. Pero una estrategia adecuada de prevención, basada en una comprensión de las causas del ‘shadow IT’, es la mejor aliada de las empresas para sacar a la luz las malas prácticas digitales.

*** ** Texto publicado originalmente en BBVA, replicado en El Espectador con autorización de BBVA Colombia.

Si conoce historias de emprendedores y sus emprendimientos, escríbanos al correo de Edwin Bohórquez Aya (ebohorquez@elespectador.com) o al de Tatiana Gómez Fuentes (tgomez@elespectador.com). 👨🏻‍💻 🤓📚

Por BBVA*

Temas recomendados:

startup

emprendimiento

Emprendimiento y liderazgo

fintech

edutech

BBVA

IA

 

Sin comentarios aún. Suscribete e inicia la conversación

 

Este portal es propiedad de Comunican S.A. y utiliza cookies. Si continúas navegando, consideramos que aceptas su uso, de acuerdo con esta  política.
Aceptar