Riesgos GRC: por qué los sistemas TI en la sombra o ‘Shadow IT’ son un peligro y cómo gestionarlos
Por falta de capacitación sobre riesgos GRC o por la ausencia de programas de cumplimiento efectivos, automatizados y digitalizados, en muchas organizaciones, los empleados utilizan aplicaciones o software no autorizado.
Pero no solo lo hacen los empleados. Es una conducta que también pueden seguir contratistas, proveedores, visitantes, y otras personas que no consideran los riesgos GRC y la forma en que este fenómeno, conocido como ‘TI en la sombra’, puede impactar a la organización, y poner en riesgo su reputación y su capacidad para operar.
Este tipo de acciones parten de una decisión irresponsable y sin consulta previa de una o varias personas que, de forma paradójica, puede estar bien intencionada. Sin embargo, en la mayoría de los casos vulneran la privacidad de los datos y de la información que maneja la organización.
¿Cuáles son los riesgos GRC que se conocen como sistemas TI en la sombra?
TI en la sombra consiste en el uso de aplicaciones, software, dispositivos o periféricos no autorizados por la organización. Al ser herramientas desconocidas y no controladas, se convierten en puntos ciegos para el control y vigilancia de seguridad de la información y, por ello, en uno de los riesgos GRC más lesivos.
Las razones por las que los empleados hacen esto son muchas: falta de capacitación, uso permitido de herramientas deficientes, incapacidad de la solución autorizada para absorber el flujo de trabajo. Pero también puede haber intenciones deshonestas desde el inicio.
Los riesgos GRC que pueden conllevar los sistemas TI en la sombra son varios y todos ellos de alto impacto negativo. Entre los más reconocidos se encuentran:
1. Incremento de ataques e infracciones
Aunque las intenciones del empleado sean buenas, es un hecho que el empleo de software o hardware desconocido, no probado e imposible de monitorizar, genera una brecha de seguridad que puede ser utilizada por ciberdelincuentes. Si los propósitos del empleado son otros, las consecuencias pueden ser fatales.
El software empleado, por ejemplo, puede contener errores que deterioren la información. También pueden ser portadores de virus o de malware. Cuanto más grande sea la organización, más difícil será controlar este tipo de riesgos GRC.
2. Falta de controles
En algunas organizaciones, la implementación de controles de seguridad se percibe como restrictiva y limitante. Es uno de los principales problemas que enfrentan los profesionales encargados de gestionar riesgos GRC y de seguridad de la información. Lo cierto es que el cumplimiento de regulaciones como RGPD, en el caso de Europa, obligan al diseño e implementación de controles y a mantener protocolos de seguridad cada vez más estrictos.
3. Riesgo de cumplimiento
Los empleados que usan sistemas TI en la sombra, además de los riesgos expuestos, conducen a su organización a incurrir en vulnerabilidades de cumplimiento. Cuando esto sucede, las organizaciones más expuestas son las que trabajan en entornos de alta regulación, como financieros, aeronáutica o farmacéutico. Los fallos de cumplimiento en el área de seguridad de datos e información pueden acarrear sanciones, multas e, incluso, el cierre de la operación.
4. Corrupción de la información y divulgación indebida de datos
Muchos empleados encuentran fácil almacenar información sobre clientes, proveedores u otros vinculados a la organización, en cuentas personales en la nube. Es una forma de tenerla disponible para realizar trabajo extra los fines de semana o en las noches.
La nube es un lugar relativamente seguro para la información. Pero, ¿qué pasa cuando el empleado se va? Esa información puede perderse, si el empleado la elimina. Pero también, puede hacer uso no lícito de ella, compartirla, venderla o usufructuarla.
5. Falta de compromiso, liderazgo y cultura de seguridad
Los sistemas de TI en la sombra suelen aparecer cuando la Alta Dirección no asigna los recursos suficientes para atender los requisitos de tecnología en cada una de las áreas. Con herramientas deficientes para hacer su trabajo, los empleados necesitan cubrir necesidades inmediatas. Y lo hacen descargando software o aplicaciones no controladas.
Los empleados se desmoralizan, abandonan cualquier liderazgo que hubiesen asumido en la gestión de riesgos GRC o sobre seguridad de la información y dejan de comprometerse.
¿Cómo gestionar los riesgos GRC asociados a sistemas TI en la sombra?
La gestión de riesgos GRC, incluida la que se enfoca en las amenazas generadas por los sistemas TI en la sombra, sigue un curso similar al que caracteriza al tratamiento de riesgos en otras áreas: identificar, clasificar, priorizar, aplicar acciones correctivas, revisar y volver a iniciar el ciclo.
Sin embargo, cuatro elementos esenciales garantizan el éxito en la gestión de riesgos GRC derivados de los sistemas TI en la sombra:
1. Políticas y procedimientos
Cuando se prohíbe el uso de sistemas TI en la sombra, y se declara el compromiso con el uso responsable de herramientas informáticas, desde la Alta Dirección, a través de una política, el tono superior que reviste ese documento hace que sea tenido en cuenta, respetado y acatado.
Las políticas, reflejadas en la redacción de procedimientos, contendrán listas de software, aplicaciones, dispositivos y otros recursos cuyo empleo es permitido. Esta política debe acompañarse de los recursos adecuados para el suministro de las herramientas tecnológicas que requieren los empleados.
2. Controles técnicos efectivos
Solicitar autorizaciones para descargar nuevo software, es un ejemplo de control efectivo. Sin embargo, para los trabajadores que desempeñan sus tareas desde casa, esto no puede funcionar muy bien, a menos que el dispositivo pertenezca a la organización.
En la actualidad, es posible encontrar dispositivos de hardware, y soluciones informáticas, diseñados para detectar y eliminar software y aplicaciones no permitidos, reduciendo así los riesgos.
3. Formación y capacitación
Muchos empleados utilizan software o aplicaciones no permitidos porque no son conscientes de las consecuencias que puede ocasionar. El primer paso para generar cultura de gestión de riesgos, GRC y de seguridad de la información es hablando de ello en foros, charlas, conferencias y otros escenarios similares.
Algunos programas de formación especializados en seguridad de la información, gestión de riesgos y gestión de cumplimiento, también contribuirán a prevenir y eliminar riesgos. Los empleados deben entender que sus acciones responsables contribuyen a la seguridad de la información.
4. Automatización de la gestión
La seguridad de la información y la gestión de riesgos son áreas que requieren el compromiso de los empleados. Esto no sucederá si no encuentran herramientas ágiles que les permitan reportar incidentes, infracciones, realizar procesos inmediatos de debida diligencia y otras funcionalidades propias de Sistemas de Gestión automatizados y digitalizados y, por ende, eficaces.
Software ISO 37301 de ISOTools
El Software ISO 37301 de ISOTools es un desarrollo tecnológico, alojado en la nube, diseñado para automatizar y digitalizar la gestión de compliance en organizaciones de todos los tamaños.
Con los cambios acelerados en el marco regulatorio para todas las organizaciones, sumado a la incertidumbre que caracteriza la seguridad de la información por causa de los factores que hemos mencionado, las organizaciones necesitan automatizar su gestión de cumplimiento si desean cubrir todos los frentes con seguridad. Conoce más sobre ISOTools aquí.