Instalar programas y aplicaciones en nuestros dispositivos podrían poner en peligro la seguridad de las empresas en las que trabajamos. Este tipo de acciones, conocido como “shadow IT”, podría exponer la información de las compañías debido a que los empleados no comunican que han descargado estas herramientas.
De acuerdo con la encuesta ‘Infodemia y los impactos en la vida digital’ de Kaspersky, en colaboración con CORPA, el 35% de peruanos descargan aplicaciones en sus dispositivos de trabajo, sin la autorización de las empresas. Es decir, 3 de cada 10 trabajadores en el país pone en peligro la seguridad de la compañía en la que laboran, sin siquiera saberlo.
MIRA: SIM swapping: ¿cómo evitar que clonen la tarjeta SIM de mi smartphone?
Asimismo, las apps más descargadas son las redes sociales (74%) y las apps de mensajería (45%). Debido a que los empleados pasan casi todo su horario de trabajo usando estos dispositivos, también los usan para otras actividades. Incluso, algunos utilizan sus propias herramientas para el trabajo, por lo que ya tienen instalados estos programas o aplicaciones.
¿Por qué es tan importante comunicar a IT qué estamos descargando?
IT (Information Technology) es el departamento o área de una empresa que es responsable de implementar, dar soporte y mantener los sistemas de información. Es decir, su trabajo consiste desde configurar una PC para un empleado, hasta mantener la ciberseguridad de toda la compañía.
Por ello, el “shadow IT” consiste en que los trabajadores realicen actividades que pueden poner en peligro la información empresarial, pues realizan la función de IT, pero sin autorización. Es decir, “desde las sombras”, ya que lo hace sin comunicar al área encargada.
De acuerdo con Andrea Fernández, gerente general para la región en Kaspersky, el “shadow IT” se incrementó gracias al confinamiento por la COVID-19. “Con la pandemia, cuando todos los empleados se van a sus casas, eso forzó a que, no solo las personas, los departamentos necesitaran conectarse entre sí. Entonces, la brecha de seguridad surge cuando empiezan a bajarse aplicaciones o programas, pero la gente de IT no lo sabe”, afirma, en entrevista con El Comercio.
Si bien estas aplicaciones pueden ser muy útiles, que IT no sepa que la estamos usando podría causar un gran problema. “A lo mejor, en una app de mensajería, entre uno y el otro se pasan un archivo corporativo. Estamos hablando siempre del ámbito corporativo, ya no entramos en lo personal. Cuando por ese programa de mensajería se pasan un archivo de la empresa, ahí se empiezan a generar baches de seguridad. Los mails corporativos hoy en día están en el celular. Entonces, el riesgo es muy grande. Ahí es donde hay que tener cuidado”, agrega Fernández.
MIRA: Vulnerabilidades en la seguridad de estos celulares habrían permitido robos a cuentas bancarias
¿Qué aplicaciones o programas pueden generar una brecha de seguridad en las empresas?
La mayoría de apps o programas están pensados para ayudar a los usuarios, pero no significa que no puedan presentar un peligro. “Cualquier aplicación que se baje el usuario sin informar al departamento de IT puede generar una brecha de seguridad. Es decir, no importa la aplicación que sea. Si el departamento de IT, el cual es el que da las reglas de ciberseguridad y es el que da las bajadas en línea, no tiene conocimiento de que el empleado se bajó esa aplicación, ahí ya tenemos una brecha de seguridad”, asegura.
En nuestro país, los trabajadores descargan estas aplicaciones para facilitar la comunicación entre colegas y los clientes. “En el Perú, uno de los ratios que tenemos, es que un 36% de las personas lo hace. Entonces, cualquier aplicación que te vayas a bajar porque lo necesita tu departamento o lo necesita tu trabajo, acércate a IT y pregúntales, pediles autorización. Ellos son los que, digamos, pueden monitorear o chequear”, añade Fernández.
Las brechas de seguridad no solo implican malware o ataques dirigidos, sino también el acceso que tienen los trabajadores antiguos. “Nos ha pasado que cuando hicimos un monitoreo global de una empresa, a nivel de seguridad, detectamos acceso a exempleados que estuvieron hace cuatro años en la empresa. Es terrible. Eso es moneda corriente”, indica la ejecutiva.
Esto se debe a que la información de la compañía termina en más canales de los que tiene mapeado IT. “La consecuencia de lo que genera también el shadow IT: un empleado se va de la empresa, y si bien las organizaciones cortan todos los accesos estándares, entre comillas, si ese exempleado tenía una aplicación que no estaba autorizada por el departamento de IT, este no sabrá que lo tiene. Ese empleado puede seguir ingresando, a lo mejor, a determinados links, a determinadas carpetas, a determinados archivos que ya, como exempleado, no debería poder acceder”, agrega Fernández.
Además, estas brechas pueden provenir de cualquier parte, incluyendo las postulaciones de trabajo. “También pasa con ransomware. Alguien de Recursos Humanos abre un archivo porque se supone que dentro hay un CV y en realidad está infectado. Siempre volvemos a lo mismo: lo importante de enseñarle al empleado el tema de seguridad, lo crítico que es hoy en día”, asevera.
Durante el confinamiento, incluso muchos empleados compartieron sus dispositivos de trabajo con familiares. “Cada uno fue a su casa y utilizó los dispositivos que podía. A veces la empresa no le daba dispositivos y usaban la computadora de la casa, donde el hijo estudiaba, la mujer trabajaba. Esa realidad se vivió y las empresas la vivieron en los primeros seis meses de pandemia. Realmente fue un caos. Obviamente había muchas empresas, en su mayoría las grandes, que estaban preparadas. Pero muchas otras, no”, señala Fernández.
El no comunicar a IT puede ocasionar grandes problemas, pues las empresas ahora realizan todo de forma virtual. Al estar conectadas con otras compañías o con los clientes de forma constante, se podría generar falencias en la seguridad. “Un caso de estas brechas pasó en Brasil, donde eran varias sucursales y el ataque fuerte lo tuvieron en Estados Unidos. No lo tuvieron en Latinoamérica, pero llegó a través de programas escondidos, sin conocimiento por parte del área de IT”, afirma la ejecutiva.
MIRA: Zoom: ¿cómo mejoró la seguridad de la plataforma en las Mac?
¿Cómo podemos prevenir estas brechas de seguridad?
Fernández indica que, además de comunicarse siempre con IT, se debe concientizar lo grave que puede llegar a ser la instalación de una app no autorizada. “Lo que nosotros recomendamos frente a esto es revisar las políticas de acceso a los archivos de la empresa. La gente de IT debe mantener un inventario actualizado de los programas, de las aplicaciones, de lo que sea que se bajen. Es importante informar la gravedad de esto. El empleado tiene que saber, debe tener una noción, una consciencia del riesgo”, señala.
Lo fundamental es enseñarle a los usuarios de que sí puede haber brechas de seguridad, pero también a perder el miedo a preguntar. “El segundo punto es la consulta. Tienen que consultar a la gente de IT, que es la que sabe. Si no tienen gente de IT, bueno, tienen que averiguar a través de quienes los asesoran, de partners, de gente que sabe de ciberseguridad. Hay empresas que tienen departamento de IT y hay otras que no. Si no tienen departamento de IT, tal vez la empresa no sea tan grande. Entonces, es más fácil mantener informada a la gente”, agrega Fernández.
Asimismo, IT debe reconocer qué herramientas son necesarias para el trabajo en la actualidad. “La gente de IT también debería tener mapeado o detectado qué programas o aplicaciones necesita cada área, para que no se la bajen los empleados. Muchas veces, por como corremos todos los días, se hace en forma reactiva y no proactiva. La realidad es que habría que hacerla en forma proactiva, para saber qué es lo que está pasando y qué es lo que se están bajando. También recomendamos usar la encriptación. Esto se puede solventar muchos problemas”, concluye.