A pesar de años de iniciativas de modernización, las áreas de tecnología, y en especial los CISO, todavía se enfrentan a un problema de la vieja escuela: Shadow IT.
De hecho, es un problema tan grande como nunca antes y puede incluso empeorar: la firma de investigación Gartner encontró que 41% de los empleados adquirieron, modificaron o crearon tecnología fuera de la visibilidad de IT en 2022 y espera que esa cifra aumente a 75% para 2027.
La edición 2023 de la encuesta de gestión de proyectos y Shadow IT de la plataforma de revisión de tecnología Capterra encontró que 57% de las pequeñas y medianas empresas han tenido esfuerzos tecnológicos de alto impacto fuera del ámbito de sus departamentos de IT.
¿Qué es shadow IT?
También conocida como “informática en las sombras”, Shadow IT es la práctica de utilizar sistemas, dispositivos, software o servicios informáticos sin la aprobación o el conocimiento del departamento de IT de una organización.
Estas soluciones suelen ser implementadas por áreas o empleados individuales para satisfacer sus necesidades específicas, sin seguir los procesos formales de adquisición y aprobación establecidos por la corporación.
Se define como el despliegue de recursos informáticos fuera del control y aprobación del departamento informático de una organización.
Este fenómeno engloba la adopción no autorizada de software, hardware, servicios en la nube y aplicaciones por parte de los usuarios finales y representa un desafío técnico y de seguridad, ya que implica la gestión de activos no registrados, riesgos de cumplimiento y posibles brechas de seguridad.
Macros de Excel
Los macros en Excel, aunque aparentemente inofensivos, son destacados como una fuente común de shadow IT, ya que pueden extenderse por la organización, afectando procesos y volviéndose indispensables, lo que impacta en la eficiencia y seguridad de la empresa.
Software
El uso de aplicaciones no autorizadas es otro ejemplo de shadow IT. Los empleados, en busca de soluciones rápidas, pueden almacenar datos en servidores no gestionados, aumentando el riesgo de fuga de datos y comprometiendo la seguridad de la información.
Nube
En tanto, la utilización de la nube sin la aprobación del departamento central de informática es un riesgo común. Los empleados pueden recurrir a soluciones mal configuradas, exponiendo datos sensibles y atentando contra la seguridad de los sistemas.
Hardware
A su vez, aunque resulta menos frecuente, la modificación no autorizada de hardware es una forma de shadow IT. Los colaboradores pueden manipular hardware de la compañía, ya sea llevándolo fuera de las instalaciones o actualizándolo por su cuenta, pudiendo afectar el rendimiento y la seguridad de la computadora.
¿Por qué surge shadow?
El shadow IT puede surgir por diferentes motivos:
- Velocidad y agilidad: la búsqueda de soluciones rápidas lleva a empleados a implementar tecnologías sin la aprobación del departamento de IT.
- Desconocimiento: la falta de información sobre políticas informáticas puede llevar a la adopción no autorizada de tecnologías.
- Facilidad de acceso externo: la disponibilidad de servicios en la nube facilita que los empleados adopten soluciones externas sin intervención del departamento oficial.
- Cultura empresarial: una cultura que no fomente la colaboración con el departamento de IT puede propiciar la aparición de shadow IT.
- Presión para objetivos: la presión por cumplir plazos puede motivar a empleados a buscar soluciones no autorizadas para alcanzar objetivos.
Amenazas y consecuencias que implica la presencia de shadow IT en las organizaciones
El shadow IT en las organizaciones implica varias amenazas:
- Riesgos de seguridad: brechas de seguridad y vulnerabilidades al usar servicios no autorizados.
- Falta de cumplimiento: posible incumplimiento de regulaciones y normativas, con riesgo de multas.
- Pérdida de control: dificultad para implementar políticas de seguridad, actualizaciones y auditorías.
- Problemas de integración: dificultades de compatibilidad con sistemas y procesos existentes.
- Gestión ineficiente de datos: prácticas inadecuadas de gestión de datos sin supervisión.
Ejemplos comunes de shadow IT
El shadow IT es más común de lo que se piensa porque abarca el uso de aplicaciones populares sin la aprobación del departamento de Tecnología de una compañía:
- Almacenamiento en la nube: uso de servicios como Dropbox o Google Drive para almacenar y compartir documentos.
- Mensajería instantánea: empleo de aplicaciones como WhatsApp o Slack para comunicaciones laborales.
- Colaboración en línea: adopción de herramientas de gestión de proyectos, como Trello o Asana, sin aprobación oficial.
- Redes sociales: acceso y uso de plataformas sociales en el entorno laboral.
- Productividad personal: utilización de aplicaciones como Evernote o Notion para organización personal.
¿Por qué los empleados recurren a soluciones de IT no autorizadas?
En muchas ocasiones, los empleados recurren a soluciones de IT no autorizadas, principalmente para satisfacer necesidades personales, como utilizar redes sociales para despejar la mente, almacenar archivos en la nube en horario laboral o cumplir objetivos más rápidamente para optimizar el tiempo.
Shadow IT puede afectar la seguridad y la privacidad
El problema de shadow IT más importante es que puede afectar la seguridad de los datos y la privacidad de la organización de diferentes formas:
- Brechas de seguridad: la implementación de soluciones no autorizadas aumenta el riesgo de accesos no autorizados y ataques cibernéticos.
- Falta de control y visibilidad: el uso no supervisado dificulta la identificación y mitigación de amenazas de seguridad.
- Cumplimiento regulatorio: las soluciones no conformes pueden resultar en incumplimiento legal y financiero.
- Gestión inadecuada de identidades: la falta de integración con sistemas de gestión de identidades aumenta el riesgo de acceso no autorizado.
- Difusión de información sensible: el shadow IT puede llevar a la difusión de información fuera de los controles de seguridad.
¿Cómo detectar y monitorear shadow IT?
Detectar y monitorear el shadow IT en una organización puede ser difícil, pero no imposible siguiendo las siguientes prácticas:
Auditorías regulares
Realizar auditorías periódicas de la infraestructura y del tráfico de red para identificar patrones inusuales o servicios no reconocidos.
Registros y logs
Monitorear y analizar registros y logs de sistemas y aplicaciones para detectar actividades inusuales o el uso de herramientas no aprobadas.
Análisis de comportamiento del usuario
Utilizar soluciones de análisis de comportamiento del usuario para descubrir patrones de actividad que puedan indicar el uso de shadow IT.
Herramientas de descubrimiento automático
Emplear herramientas diseñadas para el descubrimiento automático de dispositivos y servicios en la red, identificando así aquellos que podrían no ser conocidos por el departamento de IT.
Educación y concientización
Educar a los empleados sobre los riesgos asociados con el uso de soluciones no autorizadas y fomentar la conciencia de seguridad para reducir la adopción de shadow IT.
Colaboración entre los equipos de IT y los empleados
La colaboración entre equipos de IT y empleados es fundamental para un entorno tecnológico eficiente y seguro que no cuente con shadow IT.
La comunicación abierta, la educación sobre políticas de IT y la participación de trabajadores en la planificación tecnológica son clave. Además, se debe proporcionar soporte técnico, medidas transparentes y flexibilidad para contribuir a relaciones positivas. También es esencial incluir representantes de usuarios finales en proyectos de IT y resolver problemas como equipo, logrando que la colaboración se fortalezca.
Situaciones en las que shadow IT puede tener ventajas inesperadas
Aunque el shadow IT puede percibirse como un riesgo para la seguridad y la gestión de la tecnología en una organización, hay situaciones en las que puede presentar ventajas inesperadas:
Innovación rápida
Los empleados que adoptan soluciones tecnológicas por sí mismos pueden innovar rápidamente para abordar problemas específicos, sin tener que esperar la aprobación del departamento de TI.
Agilidad en proyectos urgentes
En situaciones de plazos ajustados, el shadow IT permite a los empleados implementar rápidamente herramientas y tecnologías sin pasar por procesos formales, mejorando la agilidad.
Pruebas de concepto eficientes
Los equipos pueden realizar pruebas de concepto de manera ágil, explorando nuevas tecnologías sin la burocracia asociada con los procesos formales de adquisición de IT.
Flexibilidad para equipos específicos
Algunos equipos pueden tener necesidades únicas que no son fácilmente abordadas por las soluciones generales de informática, y el shadow IT les brinda la flexibilidad necesaria.
Aprendizaje y desarrollo personal
Los empleados que exploran tecnologías por su cuenta pueden adquirir habilidades valiosas, lo que contribuye a su desarrollo personal y profesional.
Aunque es esencial abordar los riesgos asociados con Shadow IT, reconocer y canalizar estas ventajas inesperadas puede llevar a un equilibrio más eficiente entre la innovación individual y los objetivos organizacionales.
Herramientas y tecnologías para gestionar shadow IT
El shadow IT se puede gestionar dentro de una organización gracias a diferentes herramientas y tecnologías:
- Descubrimiento de activos: herramientas para identificar y catalogar dispositivos y aplicaciones en la red.
- Análisis de tráfico de red: soluciones para detectar patrones de comunicación inusuales y servicios no autorizados.
- Prevención de pérdida de datos: métodos para supervisar y controlar la transferencia de datos sensibles.
- Gestión de identidades y accesos: plataformas para gestionar centralmente identidades y accesos, garantizando autorizaciones adecuadas.
- Sistemas de prevención de intrusiones: implementación para detectar y prevenir intrusiones en la red.
Casos reales de shadow IT
Uno de los casos reales de shadow IT más polémicos fue el robo de información confidencial de The Coca-Cola Company por parte de la ingeniera Xiaorong You.
Concretamente, You robó secretos comerciales de la empresa de bebidas más famosa del mundo y los aprovechó para beneficiar a una firma china. El robo fue sencillo: subió información a Google Drive y utilizó la cámara de su smartphone para tomar fotos de los documentos más sensibles.
De esta forma, quedó en evidencia cómo las organizaciones deben controlar mejor los sistemas y equipos electrónicos para que no haya inconvenientes.