Cómo Shadow IT podría poner en riesgo a su organización


Los empleados que crean cuentas externas pero las usan internamente representan un riesgo para su seguridad, dice la empresa administradora de contraseñas 1Password.

Manejo de la seguridad del punto final sin abrumadores profesionales con sobrecarga de información
Chris Bell, director de gestión de productos en Secureworks, describe el difícil equilibrio que se debe alcanzar para presentar información procesable a los profesionales de seguridad sin agotarlos con la sobrecarga de información.

Es probable que los profesionales de TI de su organización se esfuercen mucho para asegurarse de que sus cuentas internas, inicios de sesión, contraseñas y sistemas estén seguros y protegidos.

Pero, ¿qué sucede cuando un empleado crea una cuenta externa sin el conocimiento de TI? Eso se conoce como Shadow IT, y un publicación de blog publicada el jueves por 1Password explica por qué presenta un riesgo de seguridad.

VER: Política de contraseñas (TechRepublic Premium)

La mejor manera de ilustrar Shadow IT es pintar una imagen de él. Digamos que un compañero de trabajo quiere usar un determinado servicio externo internamente. Tal vez esa persona quiera usar Amazon para comprar productos para el departamento, Uber para organizar viajes para personas, Grammarly para verificar documentos internos en busca de errores o Constant Contact para crear campañas de correo electrónico. El empleado crea su propia cuenta con el servicio externo, quizás usando una contraseña débil o insegura.

Ahora, ese empleado comienza a compartir documentos internos e información con el servicio externo. Si uno de estos servicios sufre una violación de datos o una fuga de contraseña, eso pone en riesgo al empleado y potencialmente a su organización al exponer datos confidenciales. Y todo esto sucede sin el conocimiento o la gestión de su personal de TI y seguridad.

En una encuesta a más de 2,100 adultos en los EE. UU. Que trabajan en una oficina con personal de TI y usan una computadora, 1Password descubrió que el 63% de los encuestados creó al menos una cuenta en los últimos 12 meses sin el conocimiento de TI. Además, el 52% de los que lo hicieron crearon entre dos y cinco cuentas, mientras que el 16% creó más de cinco de esas cuentas.

<a href = "https://tr3.cbsistatic.com/hub/i/r/2020/02/07/c635787c-bc94-43ec-bee1-46bddb29a47b/resize/770x/66c48c066c7258f5689470a34690c3c6/shadow-it-accounts-1password .jpg "target =" _ blank "data-component =" modalEnlargeImage "data-headline ="

"data-credit =" Imagen: 1Password "rel =" noopener noreferrer nofollow ">shadow-it-accounts-1password.jpg

Imagen: 1 Contraseña

Las cuentas de TI en la sombra plantean otros problemas, según los resultados de la encuesta. Alrededor del 37% de los encuestados dijeron que compartían una cuenta externa con un colega. Pero es el método de compartir la información de inicio de sesión lo que podría ser arriesgado. Casi el 40% dijo que compartió la cuenta con un compañero de trabajo por correo electrónico, mientras que el 17% dijo que la compartió a través de mensajes instantáneos.

Pero si la información no se comparte y el empleado con la cuenta de Shadow IT deja la empresa, entonces otras personas pueden quedar excluidas de la cuenta. Además, ese empleado probablemente todavía tendrá acceso a la cuenta, y dicha información podría incluso llegar a manos de un competidor.

Los empleados que crean cuentas Shadow IT no necesariamente diseñan contraseñas seguras y diferentes para cada sitio. Alrededor del 33% de los encuestados dijeron que reutilizan contraseñas memorables, mientras que el 48% dijeron que usan un patrón de contraseñas similares en todos los ámbitos. Menos del 3% dijo que usa una contraseña única para cada sitio.

Prohibir Shadow IT por completo es una solución a este problema. Pero esta medida reduciría la productividad y la innovación de los empleados, ya que requeriría que cada persona obtenga la aprobación de TI antes de crear una cuenta externa.

Otra solución recomendada naturalmente por 1Password es utilizar un administrador de contraseñas. Muchos administradores de contraseñas ahora ofrecen planes de nivel empresarial a través de los cuales las políticas de contraseñas se pueden administrar de forma centralizada. Y hay una variedad de administradores de contraseñas a tener en cuenta.

Además de 1Password, otros programas efectivos son LastPass, Dashlane, RoboForm y Keeper Password Manager. Aunque los administradores de contraseñas no son perfectos, son una solución viable hasta que los métodos de autenticación biométrica más efectivos se vuelvan universales.

Ver también

<a href = "https://tr2.cbsistatic.com/hub/i/r/2019/11/01/9ddf4c47-77fc-48cc-8667-ea172114bd60/resize/770x/6312bb72f97817a69445f6367b43146d/istock-computer-security.jpg "target =" _ blank "data-component =" modalEnlargeImage "data-headline ="

"data-credit =" Getty Images / iStockphoto "rel =" noopener noreferrer nofollow ">Presione el botón enter en la computadora. Sistema de seguridad de bloqueo de teclas tecnología abstracta mundo enlace digital seguridad cibernética en alta tecnología Fondo azul oscuro, ingrese la contraseña para iniciar sesión.

Getty Images / iStockphoto



Enlace a la noticia original