Noticias

Últimas Noticias

    Política

    Judicial

      Economía

      Mundo

      Bogotá

        Entretenimiento

        Deportes

        Colombia

        El Magazín Cultural

        Salud

          Ambiente

          Investigación

            Educación

              Ciencia

                Género y Diversidad

                Tecnología

                Actualidad

                  Reportajes

                    Historias visuales

                      Colecciones

                        Podcast

                          Cromos

                          Vea

                          Opinión

                          Opinión

                            Editorial

                              Columnistas

                                Caricaturistas

                                  Lectores

                                  Blogs

                                    Suscriptores

                                    Suscriptores

                                      Beneficios

                                        Tus artículos guardados

                                          Somos El Espectador

                                            Estilo de vida

                                            La Red Zoocial

                                            Gastronomía y Recetas

                                              La Huerta

                                                Moda e Industria

                                                  Tarot de Mavé

                                                    Autos

                                                      Juegos

                                                        Pasatiempos

                                                          Horóscopo

                                                            Música

                                                              Turismo

                                                                Marcas EE

                                                                Colombia + 20

                                                                BIBO

                                                                  Responsabilidad Social

                                                                  Justicia Inclusiva

                                                                    Desaparecidos

                                                                      EE Play

                                                                      EE play

                                                                        En Vivo

                                                                          La Pulla

                                                                            Documentales

                                                                              Opinión

                                                                                Las igualadas

                                                                                  Redacción al Desnudo

                                                                                    Colombia +20

                                                                                      Destacados

                                                                                        BIBO

                                                                                          La Red Zoocial

                                                                                            ZonaZ

                                                                                              Centro de Ayuda

                                                                                                Newsletters
                                                                                                Servicios

                                                                                                Servicios

                                                                                                  Descuentos

                                                                                                    Idiomas

                                                                                                    EE ADS

                                                                                                      Cursos y programas

                                                                                                        Más

                                                                                                        Blogs

                                                                                                          Especiales

                                                                                                            Descarga la App

                                                                                                              Edición Impresa

                                                                                                                Suscripción

                                                                                                                  Eventos

                                                                                                                    Foros El Espectador

                                                                                                                      Pauta con nosotros en EE

                                                                                                                        Pauta con nosotros en Cromos

                                                                                                                          Pauta con nosotros en Vea

                                                                                                                            Avisos judiciales

                                                                                                                              Preguntas Frecuentes

                                                                                                                                Contenido Patrocinado
                                                                                                                                09 de octubre de 2024 - 09:21 a. m.

                                                                                                                                ‘Shadow IT’, el peligro de que los empleados usen la tecnología por su cuenta

                                                                                                                                Las herramientas tecnológicas han permitido a las empresas multiplicar la productividad de sus empleados, pero si las adoptan por su cuenta introducen un peligroso factor de riesgo. Consejos que todo tipo de compañía, desde un emprendimiento hasta las de mayor tamaño, deberían seguir.

                                                                                                                                BBVA*

                                                                                                                                La educación en seguridad digital es necesaria para no dejar su información expuesta en Internet.
                                                                                                                                Foto: pexels
                                                                                                                                PUBLICIDAD

                                                                                                                                Según Gartnerel 41 % de los empleados de las empresas adquirieron, modificaron o crearon tecnología fuera de la visibilidad de los equipos de TI en 2022, porcentaje que podría ascender al 75 % en 2027. Esta práctica, conocida como ‘shadow IT’ o “TI en la sombra”, se define como la creación o el uso por parte de cualquier empleado de herramientas de ‘software’, ‘hardware’ o servicios en la nube sin el conocimiento y la autorización del departamento de TI. Y, aunque el ‘shadow IT’ no se refiere a aplicaciones maliciosas como el ‘malware’, la ausencia de una supervisión adecuada puede llevar a las empresas a problemas.

                                                                                                                                Read more!
                                                                                                                                PUBLICIDAD

                                                                                                                                “La mayoría de las veces el uso o la generación de ‘shadow IT’ se produce porque los usuarios buscan ser más eficientes o resolver situaciones que se les plantean en su trabajo, sin ser conscientes del riesgo”, dice Ana Gómez, especialista en ciberseguridad de BBVA.

                                                                                                                                Gran incidencia, gran riesgo

                                                                                                                                Una de cada tres filtraciones de información se debe al ‘shadow data’ o datos en la sombra (información corporativa almacenada fuera de la infraestructura controlada de datos de la empresa), de acuerdo con IBM. Nuevas tecnologías como la IA generativa abren también la puerta a un uso indebido de datos corporativos: el 73,8 % del uso de ChatGPT en el trabajo se realiza a través de cuentas no corporativas que, a diferencia de las versiones para empresas, utilizan la información introducida para el entrenamiento del modelo, con el peligro de filtración de datos confidenciales que conlleva. El auge del trabajo en remoto también aumenta el riesgo de ‘shadow IT’: el 32 % de los empleados que teletrabajan utiliza ‘software’ no autorizado para tareas corporativas.

                                                                                                                                Buscan a 5.022 emprendedores para entregarles una tienda virtual y capacitarlos

                                                                                                                                Los empleados suelen adoptar herramientas y servicios de TI a espaldas del departamento de tecnología por cuestiones de comodidad y eficiencia: por ejemplo, buscan programas con los que estén más familiarizados que aquellos que su empresa ha adoptado a nivel corporativo, o soluciones tecnológicas que la compañía aún no proporciona. A veces, destaca Gómez, los usuarios no son conscientes de la existencia de herramientas corporativas adecuadas a sus necesidades, “no conocen la forma de transmitir sus necesidades a los equipos de IT, o bien tienen la percepción de que los tiempos o los presupuestos que implican son demasiado altos”.

                                                                                                                                Read more!

                                                                                                                                El problema es que la TI en la sombra puede plantear importantes riesgos de seguridad. Como el equipo de Tecnología no es consciente del ‘shadow IT’, no supervisa esos activos ni aborda sus vulnerabilidades (por ejemplo, no coordina actualizaciones que solucionen los problemas de seguridad identificados). La TI en la sombra es especialmente propensa a ser explotada por ‘hackers’: según el informe ‘State of Attack Surface Management 2022′ de IBM, el 69 % de las organizaciones encuestadas se vieron comprometidas por un activo informático desconocido o no gestionado entre 2021 y 2022.

                                                                                                                                PUBLICIDAD

                                                                                                                                Más allá de afectar a la seguridad, las consecuencias pueden ser “operacionales, provocando perjuicios económicos y pérdida de clientes; reputacionales, dañando de manera muy importante la imagen de la empresa; legales y regulatorios, acarreando sanciones para la entidad…”. Por ejemplo, solo en el sector financiero, las pérdidas económicas directas asociadas a ataques cibernéticos ascendieron a unos 2.500 millones de dólares desde 2020, y compañías como Meta y Equifax han afrontado multas millonarias por no resolver vulnerabilidades de ciberseguridad o garantizar la seguridad de los datos de sus clientes.

                                                                                                                                Cinco ejemplos de ‘big data’ que inspiran a otras empresas y a sus emprendedores

                                                                                                                                Siempre a la sombra

                                                                                                                                La prevalencia real del ‘shadow IT’ es difícil de medir, dado que, por definición, esta clase de actividades no son detectadas por las empresas ni notificadas por los usuarios que incurren en ellas. Incluso en aquellos casos en los que una organización ha llegado a tomar conciencia de la existencia de ejemplos de ‘shadow IT’ en sus operaciones, esta información no suele hacerse pública. Aun así, algunos casos se han dado a conocer:

                                                                                                                                • Siemens emprendió una denuncia contra una compañía singapurense como consecuencia del uso indebido de su programa NX por parte de un empleado, que descargó y utilizó una copia pirata del ‘software’ en un equipo informático corporativo. La empresa, Inzign, fue considerada responsable de las acciones de su empleado y obligada a pagar una multa de más de 30.000 dólares.
                                                                                                                                • Una empresa de servicios públicos ucraniana sufrió una brecha de seguridad cuando un empleado se descargó una versión sin licencia de Microsoft Office de una web de torrents. La versión estaba infectada con un ‘malware’ que permitió el acceso a terceros a los sistemas de la compañía.
                                                                                                                                • La división mexicana de la consultora KPMG vulneró la información fiscal de sus clientes cuando un grupo de desarrolladores de la compañía creó una base de datos en una nube pública de acceso abierto con casi 5 millones de comprobantes fiscales digitales de al menos 41 corporaciones en 2019. Los datos, como informó KPMG México en un comunicado a sus clientes, fueron descargados “en un ambiente no autorizado, sin el conocimiento de la oficina de Seguridad de la Información de KPMG y en contravención a una dirección previa de dicha oficina”.
                                                                                                                                No ad for you

                                                                                                                                ¿Cómo combatirlo?

                                                                                                                                No ad for you

                                                                                                                                Existen varias aproximaciones para evitar y minimizar los riesgos del ‘shadow IT’. Por ejemplo, “prohibir la informática de usuario y los accesos a aplicaciones web por defecto, una solución que suele ser mal aceptada por los usuarios y puede incluso frenar el trabajo de las áreas”, advierte Ana Gómez. Las compañías también pueden optar por realizar oleadas periódicas de descubrimiento de ‘shadow IT’, y tomar medidas disciplinarias sobre los empleados que utilicen o generen aplicaciones no corporativas, algo que resulta “muy costoso en tiempo de los equipos de TI, y es reactivo, por lo que no se termina de mitigar el riesgo realmente”, explica la experta en ciberseguridad de BBVA.

                                                                                                                                La Escuela Distrital de Emprendimiento y el espacio para aprender a hacer negocios

                                                                                                                                No ad for you

                                                                                                                                En la entidad, explica Ana Gómez, han optado por gobernar la informática de usuario (‘End User Computing’ o EUC), siguiendo las recomendaciones de la Autoridad Bancaria Europea en sus Directrices sobre las TIC y la gestión de los riesgos de seguridad:

                                                                                                                                • Comunicación, formación y concienciación para los equipos.
                                                                                                                                • Formalización del registro de este tipo de informática, los roles y las responsabilidades.
                                                                                                                                • Gestión de los riesgos insistiendo en líneas rojas.
                                                                                                                                • Facilitación de soluciones homogéneas y escalables.
                                                                                                                                • Realización de esfuerzos periódicos para prevenir y limitar el ‘shadow IT’, como restricciones operacionales, revisión de la normativa corporativa y auditorías internas.

                                                                                                                                Las TI en la sombra son un fenómeno generalizado en el mundo empresarial, que ya ha jugado una mala pasada a múltiples compañías, probablemente muchas más de las que el público es consciente. Pero una estrategia adecuada de prevención, basada en una comprensión de las causas del ‘shadow IT’, es la mejor aliada de las empresas para sacar a la luz las malas prácticas digitales.

                                                                                                                                No ad for you

                                                                                                                                *** ** Texto publicado originalmente en BBVA, replicado en El Espectador con autorización de BBVA Colombia.

                                                                                                                                Un espacio para visibilizar ideas de negocio.
                                                                                                                                Foto: Paula Sánchez

                                                                                                                                Si conoce historias de emprendedores y sus emprendimientos, escríbanos al correo de Edwin Bohórquez Aya (ebohorquez@elespectador.com) o al de Tatiana Gómez Fuentes (tgomez@elespectador.com). 👨🏻‍💻 🤓📚

                                                                                                                                La educación en seguridad digital es necesaria para no dejar su información expuesta en Internet.
                                                                                                                                Foto: pexels
                                                                                                                                PUBLICIDAD

                                                                                                                                Según Gartnerel 41 % de los empleados de las empresas adquirieron, modificaron o crearon tecnología fuera de la visibilidad de los equipos de TI en 2022, porcentaje que podría ascender al 75 % en 2027. Esta práctica, conocida como ‘shadow IT’ o “TI en la sombra”, se define como la creación o el uso por parte de cualquier empleado de herramientas de ‘software’, ‘hardware’ o servicios en la nube sin el conocimiento y la autorización del departamento de TI. Y, aunque el ‘shadow IT’ no se refiere a aplicaciones maliciosas como el ‘malware’, la ausencia de una supervisión adecuada puede llevar a las empresas a problemas.

                                                                                                                                Read more!
                                                                                                                                PUBLICIDAD

                                                                                                                                “La mayoría de las veces el uso o la generación de ‘shadow IT’ se produce porque los usuarios buscan ser más eficientes o resolver situaciones que se les plantean en su trabajo, sin ser conscientes del riesgo”, dice Ana Gómez, especialista en ciberseguridad de BBVA.

                                                                                                                                Gran incidencia, gran riesgo

                                                                                                                                Una de cada tres filtraciones de información se debe al ‘shadow data’ o datos en la sombra (información corporativa almacenada fuera de la infraestructura controlada de datos de la empresa), de acuerdo con IBM. Nuevas tecnologías como la IA generativa abren también la puerta a un uso indebido de datos corporativos: el 73,8 % del uso de ChatGPT en el trabajo se realiza a través de cuentas no corporativas que, a diferencia de las versiones para empresas, utilizan la información introducida para el entrenamiento del modelo, con el peligro de filtración de datos confidenciales que conlleva. El auge del trabajo en remoto también aumenta el riesgo de ‘shadow IT’: el 32 % de los empleados que teletrabajan utiliza ‘software’ no autorizado para tareas corporativas.

                                                                                                                                Buscan a 5.022 emprendedores para entregarles una tienda virtual y capacitarlos

                                                                                                                                Los empleados suelen adoptar herramientas y servicios de TI a espaldas del departamento de tecnología por cuestiones de comodidad y eficiencia: por ejemplo, buscan programas con los que estén más familiarizados que aquellos que su empresa ha adoptado a nivel corporativo, o soluciones tecnológicas que la compañía aún no proporciona. A veces, destaca Gómez, los usuarios no son conscientes de la existencia de herramientas corporativas adecuadas a sus necesidades, “no conocen la forma de transmitir sus necesidades a los equipos de IT, o bien tienen la percepción de que los tiempos o los presupuestos que implican son demasiado altos”.

                                                                                                                                Read more!

                                                                                                                                El problema es que la TI en la sombra puede plantear importantes riesgos de seguridad. Como el equipo de Tecnología no es consciente del ‘shadow IT’, no supervisa esos activos ni aborda sus vulnerabilidades (por ejemplo, no coordina actualizaciones que solucionen los problemas de seguridad identificados). La TI en la sombra es especialmente propensa a ser explotada por ‘hackers’: según el informe ‘State of Attack Surface Management 2022′ de IBM, el 69 % de las organizaciones encuestadas se vieron comprometidas por un activo informático desconocido o no gestionado entre 2021 y 2022.

                                                                                                                                PUBLICIDAD

                                                                                                                                Más allá de afectar a la seguridad, las consecuencias pueden ser “operacionales, provocando perjuicios económicos y pérdida de clientes; reputacionales, dañando de manera muy importante la imagen de la empresa; legales y regulatorios, acarreando sanciones para la entidad…”. Por ejemplo, solo en el sector financiero, las pérdidas económicas directas asociadas a ataques cibernéticos ascendieron a unos 2.500 millones de dólares desde 2020, y compañías como Meta y Equifax han afrontado multas millonarias por no resolver vulnerabilidades de ciberseguridad o garantizar la seguridad de los datos de sus clientes.

                                                                                                                                Cinco ejemplos de ‘big data’ que inspiran a otras empresas y a sus emprendedores

                                                                                                                                Siempre a la sombra

                                                                                                                                La prevalencia real del ‘shadow IT’ es difícil de medir, dado que, por definición, esta clase de actividades no son detectadas por las empresas ni notificadas por los usuarios que incurren en ellas. Incluso en aquellos casos en los que una organización ha llegado a tomar conciencia de la existencia de ejemplos de ‘shadow IT’ en sus operaciones, esta información no suele hacerse pública. Aun así, algunos casos se han dado a conocer:

                                                                                                                                • Siemens emprendió una denuncia contra una compañía singapurense como consecuencia del uso indebido de su programa NX por parte de un empleado, que descargó y utilizó una copia pirata del ‘software’ en un equipo informático corporativo. La empresa, Inzign, fue considerada responsable de las acciones de su empleado y obligada a pagar una multa de más de 30.000 dólares.
                                                                                                                                • Una empresa de servicios públicos ucraniana sufrió una brecha de seguridad cuando un empleado se descargó una versión sin licencia de Microsoft Office de una web de torrents. La versión estaba infectada con un ‘malware’ que permitió el acceso a terceros a los sistemas de la compañía.
                                                                                                                                • La división mexicana de la consultora KPMG vulneró la información fiscal de sus clientes cuando un grupo de desarrolladores de la compañía creó una base de datos en una nube pública de acceso abierto con casi 5 millones de comprobantes fiscales digitales de al menos 41 corporaciones en 2019. Los datos, como informó KPMG México en un comunicado a sus clientes, fueron descargados “en un ambiente no autorizado, sin el conocimiento de la oficina de Seguridad de la Información de KPMG y en contravención a una dirección previa de dicha oficina”.
                                                                                                                                No ad for you

                                                                                                                                ¿Cómo combatirlo?

                                                                                                                                No ad for you

                                                                                                                                Existen varias aproximaciones para evitar y minimizar los riesgos del ‘shadow IT’. Por ejemplo, “prohibir la informática de usuario y los accesos a aplicaciones web por defecto, una solución que suele ser mal aceptada por los usuarios y puede incluso frenar el trabajo de las áreas”, advierte Ana Gómez. Las compañías también pueden optar por realizar oleadas periódicas de descubrimiento de ‘shadow IT’, y tomar medidas disciplinarias sobre los empleados que utilicen o generen aplicaciones no corporativas, algo que resulta “muy costoso en tiempo de los equipos de TI, y es reactivo, por lo que no se termina de mitigar el riesgo realmente”, explica la experta en ciberseguridad de BBVA.

                                                                                                                                La Escuela Distrital de Emprendimiento y el espacio para aprender a hacer negocios

                                                                                                                                No ad for you

                                                                                                                                En la entidad, explica Ana Gómez, han optado por gobernar la informática de usuario (‘End User Computing’ o EUC), siguiendo las recomendaciones de la Autoridad Bancaria Europea en sus Directrices sobre las TIC y la gestión de los riesgos de seguridad:

                                                                                                                                • Comunicación, formación y concienciación para los equipos.
                                                                                                                                • Formalización del registro de este tipo de informática, los roles y las responsabilidades.
                                                                                                                                • Gestión de los riesgos insistiendo en líneas rojas.
                                                                                                                                • Facilitación de soluciones homogéneas y escalables.
                                                                                                                                • Realización de esfuerzos periódicos para prevenir y limitar el ‘shadow IT’, como restricciones operacionales, revisión de la normativa corporativa y auditorías internas.

                                                                                                                                Las TI en la sombra son un fenómeno generalizado en el mundo empresarial, que ya ha jugado una mala pasada a múltiples compañías, probablemente muchas más de las que el público es consciente. Pero una estrategia adecuada de prevención, basada en una comprensión de las causas del ‘shadow IT’, es la mejor aliada de las empresas para sacar a la luz las malas prácticas digitales.

                                                                                                                                No ad for you

                                                                                                                                *** ** Texto publicado originalmente en BBVA, replicado en El Espectador con autorización de BBVA Colombia.

                                                                                                                                Un espacio para visibilizar ideas de negocio.
                                                                                                                                Foto: Paula Sánchez

                                                                                                                                Si conoce historias de emprendedores y sus emprendimientos, escríbanos al correo de Edwin Bohórquez Aya (ebohorquez@elespectador.com) o al de Tatiana Gómez Fuentes (tgomez@elespectador.com). 👨🏻‍💻 🤓📚

                                                                                                                                Por BBVA*

                                                                                                                                Ver todas las noticias
                                                                                                                                Read more!
                                                                                                                                Read more!
                                                                                                                                Este portal es propiedad de Comunican S.A. y utiliza cookies. Si continúas navegando, consideramos que aceptas su uso, de acuerdo con esta  política.
                                                                                                                                Aceptar