Shadow IT es una tendencia en crecimiento que afecta la seguridad de la información, y ahora más al utilizar redes corporativas para acceder a Internet y a ciertas aplicaciones, como algunos servicios de almacenamiento en la Nube, redes sociales o correo electrónico gratuito.
A nivel mundial, las personas, al tener más acceso a Internet, usan aplicaciones para el mejor desempeño de su trabajo que no son autorizadas por la organización a la que pertenecen. Así, por ejemplo, suben planillas de Excel en plataformas Cloud para hacer un reporte, lo cual no está normado por la compañía o institución para la que trabajan. Ello hace difícil su seguimiento en términos de seguridad.
De acuerdo al gerente general de Makros, Marcelo Díaz, ésta es una práctica cada vez más extendida que posibilita que se utilicen redes corporativas para acceder a Internet y a ciertas aplicaciones, como algunos servicios de almacenamiento en la nuble, redes sociales o correo electrónico gratuito, las cuales pueden afectar de una u otra manera la seguridad de la información de las empresas u organizaciones. “Esa tendencia creciente se conoce como Shadow IT”, precisa el experto.
Según Gartner, este concepto se refiere a los dispositivos, software y servicios de TI utilizados dentro de las organizaciones, pero que se encuentran fuera de su propiedad o control, y que en ocasiones son utilizados sin una autorización explícita de parte de los departamentos de TI.
“El punto es, en ese escenario, cómo proteger el bien más preciado en la actualidad, la información; de qué manera es posible preservar la confidencialidad, integridad y/o disponibilidad de la información, cuando ésta se encuentra en servicios o software que es administrado por terceros. Ciertamente, las políticas de seguridad tienden a controlar, filtrar y/o restringir accesos, no obstante, también es necesario tomar precauciones que eviten riesgos relacionados a estas prácticas, en cuanto a definir qué tan bueno es o no para la organización”, advierte Marcelo Díaz.
Para ello, asegura el ejecutivo, lo principal es identificar y seleccionar la mejor manera de implementar ciertas prácticas de prevención dentro de las actividades diarias, así como el desarrollo y aplicación de lineamientos y políticas que definan lo que está permitido y lo que está prohibido cuando se almacena, procesa o comparte información. Asimismo, es importante clasificar la información con el fin de detectar los datos que pueden quedar fuera de la infraestructura tecnológica de la organización de aquellos que tienen que ser protegidos a todo evento.
“Con todo, es clave que la organización siempre esté alerta y tome las medidas adecuadas para no arriesgar uno de sus principales activos, su información”, concluye el gerente general de Makros. CIOAL The Standard IT