Elimine los riesgos críticos en la nube

Descubra y solucione los problemas de gravedad críticos en sus entornos de nube sin ahogar a su equipo en alertas.

¿Qué es la TI en la sombra? Causas, riesgos y ejemplos

La TI en la sombra es el uso no autorizado por parte de un empleado de servicios, aplicaciones y recursos de TI que no están controlados por el departamento de TI de una organización ni son visibles para él.

Equipo de expertos de Wiz
11 Minuto de lectura

¿Qué es un Shadow IT?

  • La TI en la sombra se produce cuando: Los empleados eluden la supervisión de seguridad para utilizar tecnología no autorizada y no verificada. La investigación reveló que el 41% de los empleados utilizaron la TI en la sombra en 2022, una cifra que se espera que aumente al 75% en 2027.

  • Varios factores conducen a la TI en la sombra, incluida la falta de transparencia en los procesos de adquisición de TI, la necesidad de soluciones más rápidas, la insuficiencia de herramientas proporcionadas por TI y la disponibilidad generalizada de servicios basados en la nube.

  • El riesgos asociados con la TI en la sombra incluyen una superficie de ataque ampliada, violaciones de datos, posibles violaciones de cumplimiento y mayores costos de TI, todo lo cual puede poner a prueba la seguridad y los recursos de la organización.

  • Si bien la TI en la sombra puede fomentar la innovación, aumentar la productividad y permitir que los equipos resuelvan problemas rápidamente, estos Los beneficios a menudo se producen a expensas de la seguridad y la gobernanza.

  • Las organizaciones pueden combatir la TI en la sombra mediante la adopción de herramientas de detección, la mejora de la visibilidad, el fomento de la colaboración entre equipos, la aplicación de estrictos controles de acceso y la educación de los empleados sobre sus posibles riesgos.

¿Qué es la TI en la sombra? 

La TI en la sombra es el uso no autorizado por parte de un empleado de servicios, aplicaciones y recursos de TI que no están controlados por el departamento de TI de una organización ni son visibles para él. La TI en la sombra puede incluir: 

  • Servicios en la nube IaaS, PaaS y SaaS

  • Puntos de conexión como ordenadores y teléfonos

  • Apis

  • Servidores y redes,

  • Productos OOTB no autorizados

  • Complementos de Chrome

  • Aplicaciones de nivel de plataforma 

Según Gartner, el 41% de los empleados en 2022 instalaron y utilizaron aplicaciones que estaban más allá de la visibilidad de sus departamentos de TI. Se prevé que esta cifra aumente hasta el 75% en 2027.

Causas de la TI en la sombra

La TI en la sombra no surge de la nada, es un producto de la dinámica organizacional, las necesidades de los empleados y las tendencias tecnológicas. Estos son los factores clave:

Lack of visibility into IT procurement

Imagínese un equipo que necesita una nueva herramienta para mejorar el flujo de trabajo, pero que carece de un proceso claro para la aprobación de TI. Sin transparencia, podrían eludir por completo el departamento de TI, utilizando una tarjeta de crédito de la empresa para comprar software o inscribiéndose para una prueba gratuita. ¿El problema? Los equipos de TI no son conscientes, lo que permite que estas herramientas introduzcan brechas de seguridad al operar fuera de los controles de seguridad y la gobernanza formales.

Deseo de soluciones más rápidas

A todos nos ha pasado: la frustración de esperar las aprobaciones durante semanas, o incluso meses. Cuando se acercan los plazos, los empleados pueden dejar de lado el departamento de TI por completo para acceder a las herramientas que creen que harán el trabajo más rápido. Esta urgencia de "simplemente hacer que funcione" a menudo da como resultado la aparición de TI en la sombra.

Insufficient IT-provided solutions

¿Qué sucede cuando las herramientas que proporciona el departamento de TI no son suficientes? Tal vez sean demasiado torpes o carezcan de características clave para un departamento específico's flujo de trabajo. Cuando los equipos se sienten sin apoyo, a menudo buscan en otros lugares soluciones que se ajusten mejor a sus requisitos. Esta solución alternativa puede parecer inofensiva al principio, pero puede provocar puntos ciegos de seguridad y problemas de cumplimiento.

Mayor acceso a servicios basados en la nube

El auge de las aplicaciones basadas en la nube como SaaS (Software as a Service) ha hecho que sea increíblemente fácil para cualquier persona con una tarjeta de crédito implementar herramientas sin involucrar a TI. ¿El atractivo? Soluciones accesibles y de bajo costo que prometen resolver problemas con un tiempo de configuración mínimo. ¿El riesgo? Es posible que estas herramientas no cumplan con los estándares de seguridad de la organización y pueden introducir vulnerabilidades en el ecosistema.

¿Por qué la TI en la sombra se ha convertido en una tendencia creciente?

Cada vez más Los empleados están bajo presión para desempeñarse en entornos de alto octanaje. Esto da lugar a intentos de autooptimización y racionalización de los proyectos aprovechando una gama de servicios en la nube fácilmente disponibles. 

Desafortunadamente, el uso no autorizado de estos servicios en la nube es muy común. El percepción de que los departamentos de TI están aletargados puede hacer que los empleados se sientan frustrado por la burocracia y los trámites burocráticos que se interponen entre ellos y el acceso a los recursos de TI críticos. Junto con la creciente necesidad de desarrollar soluciones rápidas y manejar rápidamente las cargas de trabajo, no es de extrañar que muchos empleados estén tomando la TI en sus propias manos.

Beneficios de la TI en la sombra

La TI en la sombra a menudo tiene una mala reputación, pero echemos un vistazo objetivo. Cuando se gestiona (o se tropieza) con cuidado, la TI en la sombra puede aportar ventajas inesperadas:

  • Acceso más rápido a las herramientas: Los equipos pueden adoptar rápidamente soluciones adaptadas a sus necesidades sin tener que esperar a largos procesos de aprobación de TI.

  • Innovación a través de la experimentación: Los empleados pueden explorar herramientas y tecnología de vanguardia, a veces introduciendo soluciones que la organización en general no había considerado.

  • Mejora de la productividad de los empleados: Cuando los empleados encuentran herramientas que funcionan a la perfección para sus tareas, pueden agilizar los flujos de trabajo y aumentar la producción.

  • Equipos empoderados y autosuficientes: La TI en la sombra a menudo fomenta una actitud de "hacer las cosas", lo que permite a los equipos resolver problemas de forma independiente y cumplir con plazos críticos.

Sin embargo, estos beneficios vienen con una advertencia importante: las repercusiones potenciales de la TI en la sombra no son un asunto menor. Las herramientas no examinadas pueden introducir Vulnerabilidades de seguridad, incumplimientos e ineficiencias que terminan costando más a largo plazo.

Diseñar políticas de seguridad específicas de la empresa:

¿Cuáles son los riesgos de la TI en la sombra?

Los siguientes son los cuatro mayores riesgos de la TI en la sombra: 

  • Riesgos y vulnerabilidades de seguridad: El uso de TI en la sombra conduce a un mayor riesgo de ataques de malware y exfiltración de datos desde hardware, software y aplicaciones en la nube de TI no autorizados. Los recursos de TI no autorizados no están reforzados por una organización'estrategia, herramientas y tácticas de ciberseguridad, y esto los hace vulnerables a los actores de amenazas cuyos objetivos son robar información confidencial y activos de datos de alto valor.

  • Superficie de ataque ampliada: La TI en la sombra a menudo conduce a la expansión de aplicaciones, con aplicaciones no autorizadas que se multiplican en toda la organización. Esta proliferación crea puntos finales no supervisados y conexiones no seguras, Expansión de la superficie de ataque y dar a los actores de amenazas más oportunidades para explotar las vulnerabilidades.

  • Pérdida o fuga de datos: La TI en la sombra a menudo resulta en Datos confidenciales almacenado o transmitido a través de canales no protegidos, dejándolo expuesto a violaciones o Fugas. Por ejemplo, un equipo podría usar una aplicación gratuita de intercambio de archivos para colaborar, colocando sin saberlo información patentada en un sistema que carece de cifrado o salvaguardas de cumplimiento.

  • Cumplimiento y preocupaciones regulatorias: Las implicaciones de cumplimiento de la TI en la sombra pueden ser tan dañinas como las brechas de seguridad. Las empresas deben cumplir con los marcos regulatorios específicos de la región y la industria, como la Ley de Privacidad del Consumidor de California (CCPA), el Reglamento General de Protección de Datos (GDPR), la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA), el Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP) y el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS). Los incumplimientos pueden costar a las empresas millones en multas y honorarios legales.

  • Falta de control y gobernanza: Las deficiencias en el control centralizado y la visibilidad de los entornos y recursos de TI pueden ser extremadamente perjudiciales para una organización. La mayoría de los empleados carecen de la perspicacia técnica y el punto de vista de alto nivel para controlar y gobernar bien los activos de TI no oficiales. Como se mencionó anteriormente, la adquisición de TI en la sombra puede generar ganancias a corto plazo, pero también puede abrir las compuertas a la respuesta a incidentes y a los obstáculos de remediación y a los desafíos postmortem debido a la debilidad de los registros de auditoría.

  • Aumento de los costes e ineficiencias de TI: La TI en la sombra tiene importantes consecuencias relacionadas con los costos, como la colaboración subóptima, el uso deficiente de los recursos existentes, los bloqueos de proveedores no autorizados, las operaciones desorganizadas e ineficientes, el posible tiempo de inactividad y el compromiso de los datos.

Ejemplos de TI en la sombra

Las empresas deben ser capaces de identificar instancias específicas de TI en la sombra para mitigar los riesgos y evitar que ocurran ocurrencias similares en el futuro.

Algunos ejemplos destacados de TI en la sombra a los que hay que prestar atención son:

ExampleDescription
Cloud storage and collaboration toolsEmployees may utilize a range of unsanctioned applications from cloud storage and collaboration suites on a short-term or project-to-project basis or for interdepartmental collaboration. Even storage and collaboration tools from trusted providers can be vulnerable if they aren’t under the supervision of the IT department.
SaaSShadow SaaS is a growing form of shadow IT. There are thousands of free or freemium SaaS solutions that attract employees who want to augment their work without undergoing permissions processes. A simple example of shadow SaaS can be an employee from an accounting department using an unsanctioned SaaS graphic design tool to create a report.
Personal devices and applicationsThe rise in hybrid work-from-home models means that numerous employees access enterprise IT resources on personal devices. Employees working on personal smartphones and computers may tend to use non-approved applications for work, and this can introduce numerous vulnerabilities and risks.
External software subscriptionsEmployees may subscribe to a service or software for a particular project and then lose track of its status. These dormant, neglected, and hidden software subscriptions are capable of causing significant—and costly—problems for enterprises.
Developer toolsDevelopers often leverage unauthorized programming libraries, frameworks, or open-source software to tackle the pressures and challenges of agile environments. Unauthorized developer tools may have powerful capabilities that empower employees and teams, but their hidden presence can create unforeseen complexities.

Algunas prácticas recomendadas sencillas para evitar la TI en la sombra

La TI en la sombra se puede prevenir con una combinación de mejores prácticas en toda la organización, herramientas y tecnologías sólidas y estrategias proactivas. 

Para evitar la TI en la sombra, tenga en cuenta estos consejos:

1. Maximizar la visibilidad: Las empresas deben implementar mecanismos para monitorear el uso de los recursos en la nube, los dispositivos móviles y los puntos finales, las aplicaciones, los sistemas operativos, el código y los paquetes en sus entornos de TI. La visibilidad puede ayudar a fortalecer la postura de seguridad, reforzar los protocolos de cumplimiento, optimizar los gastos y optimizar las implementaciones de cargas de trabajo. 

An example of the level of visibility needed for a cloud service and technology inventory

2. Haga que la detección sea eficiente: La detección automatizada en menos de un segundo de los servicios en la nube existentes y recién puestos en servicio puede ayudar a las empresas a vigilar y controlar su entorno de TI de manera más efectiva. La capacidad de detectar actividades y acceder a visualizaciones de gráficos y asignaciones de recursos PaaS, máquinas virtuales, contenedores, depósitos públicos, volúmenes de datos y bases de datos puede ayudar a las empresas a evitar la TI en la sombra y a corregir las instancias existentes. 

An example detection of a newly introduced cloud service to an environment

3. Diseñar políticas de seguridad específicas de la empresa: Las políticas de seguridad deben estar en sintonía con una organización'requisitos y objetivos únicos. Este enfoque puede contribuir en gran medida a mitigar el riesgo en un panorama de amenazas en rápida evolución.

4. Implemente la administración de dispositivos móviles (MDM): Las soluciones MDM sólidas son esenciales para combatir la TI en la sombra, proteger los puntos finales que proliferan y mantener los modelos de trabajo híbrido y remoto. Algunos ejemplos de capacidades de MDM son los mecanismos para evitar que los empleados se suscriban a aplicaciones externas sin cuentas de correo electrónico oficiales de la empresa y esquemas de inicio de sesión único (SSO). Las empresas deben aplicar listas de bloqueados y permitidos de TI tanto en los dispositivos de la empresa como en los BYOD para controlar qué aplicaciones se pueden introducir.

5. Eliminar el código de sombra: El código de sombra se refiere al código no autorizado que utilizan los desarrolladores. Las empresas necesitan integrarse SAST (Pruebas de seguridad de aplicaciones estáticas), DAST (Dynamic Security Testing) e IAST (Interactive Application Security Testing) para analizar todo el código y los marcos de código abierto utilizados por los desarrolladores. Esto puede ayudar a las empresas a evadir riesgos como las brechas de seguridad, el robo de datos y las ineficiencias operativas. También garantiza que solo se agregue código autorizado y examinado minuciosamente a los repositorios de Git.

6. Aproveche los controles de acceso: El establecimiento, la integración y la implementación de controles de acceso en entornos de nube, endpoints, aplicaciones y procesos pueden ayudar a las organizaciones a determinar y controlar qué activos de TI están permitidos, dónde se pueden integrar y quién puede ponerlos en marcha. Estos controles deben formalizarse, integrarse en el marco de una organización y mantenerse estrictamente.

An example of an AWS excessive access detection

7. Automatizar alertas: Los mecanismos automatizados pueden alertar a los departamentos de TI y ciberseguridad de violaciones de las políticas de seguridad y actividades anómalas en tiempo real. Las alertas pueden ayudar a las organizaciones a abordar los primeros signos de TI en la sombra y minimizar los daños causados por incidentes.

Example alert for an unreviewed/unwanted cloud service

8. Organizar la formación: Los empleados a menudo recurren a la TI en la sombra por conveniencia, ignorancia o porque sienten que las herramientas aprobadas no satisfacen sus necesidades. Los talleres regulares sobre los riesgos de la TI en la sombra pueden disuadir a los empleados de utilizar TI no autorizada. Las sesiones de formación también ayudan a fomentar un entorno en el que los empleados se sientan cómodos planteando sus necesidades tecnológicas con TI.

9. Ofrecer un catálogo de servicios informáticos: Es una buena idea proporcionar un catálogo de software, aplicaciones y servicios que estén aprobados para el uso de los empleados. Un catálogo actualizado puede evitar que los empleados busquen soluciones fuera de los canales autorizados.

10. Fomentar la colaboración entre las unidades de TI y de negocio: Cuando los equipos de TI trabajan en estrecha colaboración con otros departamentos, comprenden mejor sus necesidades departamentales específicas y pueden proporcionar las herramientas y servicios adecuados que satisfagan sus demandas únicas. 

11. Realizar auditorías periódicas: La auditoría de los activos de TI permite a su empresa identificar software o servicios no autorizados y garantiza que todas las aplicaciones y servicios utilizados dentro de la organización cumplan con las políticas legales y de la empresa.

12. Comprométase con una respuesta rápida: Los equipos de TI deben contar con un plan para abordar la TI en la sombra cuando's detectado. Los protocolos podrían incluir la eliminación de software o servicios no autorizados y la provisión de una alternativa apropiada y aprobada.

Descubra las aplicaciones de TI en la sombra en su entorno

La creación de un inventario completo de los entornos de TI existentes es la mejor manera de obtener información sobre su posible panorama de TI en la sombra. En el pasado, obtener un mapa topográfico preciso de los nuevos servicios en la nube en un entorno de TI empresarial era un proceso largo y laborioso. Wiz permite comenzar a mapear un inventario completo de servicios en la nube con solo unos pocos clics. 

Obtén una demostración de Wiz ahora para comenzar a capacitar a sus equipos de desarrollo y en la nube para que comprendan el riesgo de TI. Asegure y optimice un motor robusto basado en la nube para su organización a velocidades sin precedentes.

Shine a Light on Shadow IT

Learn how Wiz offers visibility into what cloud resources, applications, operating systems, and packages exist in your environment in minutes.

Solicita una demo 

Preguntas frecuentes sobre Shadow IT