Las empresas tienen cada vez más claro que las herramientas tecnológicas, -entre ellas, la inteligencia artificial generativa- facilitan un uso eficiente del tiempo, sobre todo en tareas más tediosas que requieren más de habilidades de gestión que de capacidad creativa o visión innovadora. Pero ¿qué ocurre cuando un trabajador toma la iniciativa de utilizar por su propia cuenta una aplicación con licencia gratuita, como ChatGPT u otras similares? Los riesgos de filtración de datos o de almacenamiento de información sin autorización se incrementan y, con ello, también el riesgo de responsabilidad legal. Si no se regula bien, se pueden dar prácticas conocidas como shadow IT, es decir, el uso de sistemas tecnológicos no autorizados a escondidas.
El uso de la tecnología en la sombra, sin supervisión corporativa ni autorización: así se puede definir de manera sencilla el concepto shadow IT. Se trata de una práctica a la que deben prestar atención tanto los abogados de empresa y la asesoría jurídica como los responsables de informática porque entraña graves riesgos para las compañías.
El shadow IT implica no solo el uso de software, aplicaciones o innovaciones no autorizadas o de acceso gratuito, sino también la realización de sus tareas a través de dispositivos personales, como portátiles, móviles, almacenamiento USB, o plataformas externas de almacenamiento en la nube. Estas prácticas abren las puertas a fugas de datos, filtraciones, accesos de ciberdelincuentes o robo de información. En definitiva, es el caldo de cultivo para las temidas brechas de seguridad que tanto se esfuerzan en evitar o mitigar desde los departamentos de tecnología de las empresas.
En muchos casos, detrás de esta conducta está la motivación de mejorar la eficiencia y el uso del tiempo por parte de los empleados que, en un intento por cumplir con sus objetivos con mayor rapidez, buscan soluciones tecnológicas para desarrollar sus tareas diarias en el menor tiempo posible. Este afán por reducir las horas que se dedican a cumplir determinadas funciones puede ser algo positivo, pero no lo será si la ecuación coste/beneficio eleva los riesgos para la seguridad y la integridad de los sistemas informáticos de la organización.
Riesgos del shadow IT y consecuencias
¿Por qué la empresa debe dejar claro a sus empleados que no pueden utilizar programas o aplicaciones por su cuenta, fuera del entorno corporativo, ni mucho menos compartir datos en ellas? Porque si se utilizan herramientas ajenas al ámbito de control de los responsables de informática, en caso de que se produzca una brecha de seguridad, habrá numerosas dificultades. Por una parte, los técnicos no tendrán conciencia del uso de estos programas y es muy probable que no cuenten con mecanismos de respuesta adecuados, para frenar o mitigar una posible filtración o un acceso indebido a los sistemas de la compañía. Es decir, no podrán reaccionar de manera efectiva ante una amenaza.
Por otra parte, no todas estas herramientas, que pueden posicionarse como una solución fácil e inmediata a una sobrecarga de trabajo, cumplen con la normativa vigente. En más casos de los previstos, no cumplen con normas de confidencialidad o de privacidad.
El riesgo crece si se tiene en cuenta que estas aplicaciones no siempre están actualizadas en términos de seguridad ni cuentan con los parches adecuados. De esta manera, si existe una vulnerabilidad en ellas, los ciberdelincuentes estarán al acecho para detectar cualquier posible vía de entrada que les permita acceder a datos confidenciales, información valiosa que les pueden retribuir muy bien en la dark web o internet oscura.
Políticas claras e información
¿Cómo evitar que los trabajadores realicen prácticas vinculadas al shadow IT? El primer paso es contar con políticas sólidas y procedimientos bien definidos para el uso de herramientas tecnológicas en el entorno corporativo.
En ellas se deben fijar los estándares de seguridad, las medidas de protección de datos personales que maneja la empresa y ejecutar las medidas de cumplimiento. También se debe establecer la necesidad de que los trabajadores informen al departamento de tecnología de cualquier aplicación nueva que quieran utilizar, incluidas aquellas que les ofrezcan los proveedores de servicios para desarrollar determinados proyectos. Si, tras analizarla, el equipo técnico concluye que no es compatible con las políticas de seguridad de la empresa o que el riesgo es demasiado elevado, se pueden buscar soluciones alternativas que cuenten con las garantías necesarias.
La información es poder. Por ello, tener conciencia de los riesgos que entraña el mal uso o el uso indebido de una aplicación no autorizada es la mejor herramienta para que los empleados no se dejen llevar por la tentación de utilizar estas herramientas en la sombra. De ahí la importancia de que las compañías implementen planes de formación y campañas periódicas de sensibilización sobre los efectos de estos usos.
Si la empresa deja de funcionar por un acceso indebido, un ataque informático o una filtración de datos sensibles, las consecuencias pueden ser nefastas e ir más allá de multas y sanciones. El Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016), define los datos personales sensibles como aquellos que “revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física”.
Si el uso de estas herramientas externas abre la puerta a un acceso y encriptación de los sistemas informáticos de la compañía, la actividad puede verse paralizada y, por tanto, se pone en riesgo la estabilidad laboral de todo el personal. Los trabajadores deben conocer las políticas y los riesgos asociados a su incumplimiento. Y los técnicas del área de tecnología también tendrán que realizar auditorías para detectar cualquier posible uso indebido de aplicaciones externas que puedan utilizarse en la sombra.