Si bien la TI en la sombra (o el uso de software, sistemas o dispositivos sin la aprobación explícita de una empresa) puede facilitar el trabajo de algunos empleados, la práctica también tiene inconvenientes importantes que las organizaciones deben abordar. En este artículo, analizaremos qué es la TI en la sombra, por qué es importante en términos de violaciones y fugas de datos, y todos los pasos que su equipo de TI puede tomar para minimizar sus efectos, incluido . Por último, dado que la TI en la sombra es algo inevitable, evaluaremos la posibilidad de aprovechar su potencial en lugar de eliminarlo por completo. el uso de herramientas de detección y monitoreo de TI en la sombra ¿Qué es la TI en la sombra? ocurre cuando los empleados o departamentos adoptan o implementan tecnologías para satisfacer sus necesidades, pero no notifican al equipo de TI que lo están haciendo. La TI en la sombra Algunos incluyen no autorizados: ejemplos comunes de TI en la sombra aplicaciones de software servicios en la nube (como Dropbox) herramientas de comunicación (como WhatsApp o Trello) Dispositivos personales para tareas relacionadas con el trabajo. Por ejemplo, piense en acceder a una cuenta personal de Dropbox, usar Skype (cuando la empresa tiene WebEx) o copiar archivos desde o hacia una memoria USB. Todos estos son casos de uso no autorizado de herramientas digitales que podrían poner en riesgo a su organización si se vieran comprometidas. ¿Por qué ocurre la TI en la sombra en las empresas? Debido a la rápida evolución de las tecnologías en la nube y el software como servicio (SaaS), la TI en la sombra se ha vuelto más frecuente y compleja en los últimos años. En muchos casos, las unidades de negocio también comenzaron a adoptar nuevas aplicaciones de forma independiente para impulsar la transformación digital; por ejemplo, programas para compartir archivos, herramientas de gestión de proyectos y servicios basados en la nube como los mencionados anteriormente. ¿El resultado? Entre del gasto en TI en las grandes empresas es TI en la sombra, y las empresas desperdician más de en licencias y herramientas SaaS innecesarias. Es más, un informe de 2023 mostró que de todas las aplicaciones SaaS son aplicaciones no autorizadas (o aplicaciones que el departamento de TI no ha aprobado). el 30% y el 40% 135.000 dólares al año el 65% Ejemplos de TI en la sombra Como se explicó, Shadow IT se refiere al uso de sistemas, dispositivos, software, aplicaciones y servicios de TI sin la aprobación explícita del departamento de TI. Ha sido ampliamente adoptado en muchas organizaciones debido a su flexibilidad y conveniencia. Sin embargo, si bien plantea ciertos riesgos, también puede ofrecer beneficios cuando se gestiona adecuadamente. Veamos algunos ejemplos para comprender cómo se utiliza Shadow IT: : con la llegada de la computación en la nube, los empleados utilizan cada vez más servicios en la nube de terceros, como Google Drive, Dropbox o OneDrive, para compartir archivos y colaborar. Estas herramientas brindan fácil acceso a los datos desde cualquier ubicación y facilitan la colaboración, pero a menudo se utilizan sin la supervisión del departamento de TI. Servicios en la nube : los empleados suelen utilizar herramientas como Slack, WhatsApp o Microsoft Teams para una comunicación rápida e informal. Estas plataformas pueden mejorar la productividad al permitir una comunicación instantánea. Sin embargo, también pueden representar un riesgo para la seguridad si se comparte información confidencial sin el cifrado o los protocolos de seguridad adecuados. Herramientas de comunicación : los empleados suelen utilizar sus dispositivos personales para trabajar, lo que se conoce como Bring Your Own Device (BYOD). Si bien esto puede mejorar la flexibilidad y el equilibrio entre la vida personal y laboral, también puede crear vulnerabilidades si estos dispositivos se pierden, son robados o se infectan con malware. Dispositivos personales : los empleados pueden descargar e instalar software que el departamento de TI no aprueba. Esto podría abarcar desde herramientas de gestión de proyectos hasta software de diseño gráfico. Si bien estas herramientas pueden ayudar a la productividad, también pueden introducir problemas de compatibilidad o vulnerabilidades de seguridad. Software no autorizado : más allá del software, Shadow IT también puede extenderse a hardware como enrutadores personales, dispositivos de almacenamiento o incluso servidores que los empleados pueden instalar para mejorar su espacio de trabajo. Estos dispositivos pueden plantear graves riesgos de seguridad si no se configuran o mantienen adecuadamente. Hardware Riesgos y desafíos de la seguridad de TI en la sombra La TI en la sombra crea riesgos de seguridad invisibles y graves para las organizaciones porque cuando un empleado utiliza herramientas, aplicaciones, servicios en la nube o dispositivos no autorizados, aumenta la posibilidad de violaciones de seguridad (de hecho, un estudio de IBM ha demostrado que de los encuestados ha sufrido en al menos una violación de datos de la empresa en la que se comprometieron datos confidenciales). el 83% Muchas de estas herramientas también carecen de medidas de seguridad sólidas, como un cifrado sólido o la dependencia de credenciales débiles o predeterminadas. Si su organización necesita trabajar bajo regulaciones específicas y leyes de protección de datos, como CCPA o GDPR, la TI en la sombra también puede generar violaciones de cumplimiento, especialmente si su departamento de TI no puede ver ni controlar los datos que se almacenan o comparten. Sabemos, por ejemplo, que de todos los ciberataques exitosos provienen de datos almacenados en la TI oculta. un tercio Por último, la TI en la sombra suele ser difícil de integrar con la infraestructura existente, algo que puede generar fácilmente problemas de compatibilidad, silos de datos, sistemas fragmentados, uso ineficiente de recursos, costos incontrolados y redundancia. Últimas estadísticas de TI en la sombra Aquí hay algunas : estadísticas recientes y relevantes sobre Shadow IT El 80% de los trabajadores admite utilizar aplicaciones SaaS sin obtener la aprobación de TI. Se estima que el uso de la nube de TI en la sombra es uso conocido de la nube. 10 veces mayor que el La empresa media tiene . 975 servicios en la nube desconocidos La mayoría de las empresas tienen más de . 108 servicios en la nube conocidos El 37% de los líderes de TI dicen que para una experiencia digital eficaz para los empleados. las políticas de seguridad son el mayor desafío La TI en la sombra representa entre en las grandes empresas. el 30% y el 40% del gasto en TI El 82% de los líderes de TI dice que los usuarios cuando la gerencia intenta dictar qué herramientas deben usarse. rechazan ha introducido herramientas propias en su organización. El 67% de los trabajadores 1 de empresas Fortune 1000 utiliza servicios en la nube que TI no ha aprobado. de cada 3 empleados El 53% de los equipos a utilizar únicamente herramientas aprobadas por TI. se niega Fuente: Más de 124 estadísticas de ciberseguridad que los líderes de TI deben conocer en 2023 Estas estadísticas deberían proporcionar una comprensión profunda de la prevalencia, los riesgos y los desafíos asociados con la TI en la sombra. Diferentes elementos de la TI en la sombra Shadow IT es un concepto multifacético y se puede dividir en diferentes elementos según el tipo de tecnología utilizada, la forma en que se emplea y el motivo de su uso. Estos son algunos de los elementos clave de Shadow IT: : las aplicaciones SaaS son una forma común de Shadow IT. Son de fácil acceso y, a menudo, gratuitos o están disponibles a bajo costo. Los ejemplos incluyen aplicaciones para compartir archivos como Dropbox, herramientas de productividad como Google Docs o plataformas de comunicación como Slack. Los empleados pueden utilizar estas herramientas por su conveniencia y facilidad de uso, a menudo sin el conocimiento o la aprobación del departamento de TI. Software como servicio (SaaS) : esto incluye cualquier dispositivo físico utilizado sin el consentimiento del departamento de TI, como computadoras portátiles personales, teléfonos inteligentes o tabletas utilizadas con fines laborales. También podría incluir enrutadores, servidores o dispositivos de almacenamiento configurados por los empleados para mejorar su espacio de trabajo. Hardware : son plataformas que permiten a los usuarios desarrollar, ejecutar y administrar aplicaciones sin necesidad de lidiar con la infraestructura subyacente. Los ejemplos incluyen Microsoft Azure, Google Cloud y AWS. Se pueden utilizar para crear aplicaciones personalizadas que satisfagan necesidades empresariales específicas, a menudo sin pasar por los protocolos de TI. Plataformas como servicio (PaaS) : implica el uso de recursos informáticos virtualizados a través de Internet, como máquinas virtuales, almacenamiento o redes. Los ejemplos incluyen AWS, Google Cloud y Microsoft Azure. Si bien estos servicios ofrecen flexibilidad y escalabilidad, su uso también puede generar vulnerabilidades de seguridad si no se administran adecuadamente. Infraestructura como servicio (IaaS) : se refiere a la práctica de los empleados de utilizar sus dispositivos personales con fines laborales. Si bien esto puede aumentar la comodidad y la productividad, también puede plantear riesgos de seguridad si estos dispositivos se pierden, son robados o se infectan con malware. Traiga su propio dispositivo (BYOD) : el uso de cuentas de correo electrónico personales para comunicaciones relacionadas con el trabajo es otra forma de Shadow IT. Si bien puede parecer inofensiva, esta práctica puede provocar una fuga de datos, lo que dificulta que la organización controle el flujo de información. Cuentas y correos electrónicos personales : se refiere al uso de consultores o proveedores de servicios de TI sin la aprobación explícita o el conocimiento del departamento de TI. Es posible que estos proveedores no sigan las políticas de TI de la empresa, lo que genera posibles riesgos de seguridad y problemas de cumplimiento. Proveedores de TI no aprobados Cada uno de estos elementos plantea diferentes desafíos y riesgos para una organización. Sin embargo, también representan una mayor productividad, colaboración y oportunidades de innovación. Comprender estos elementos puede ayudar a las organizaciones a gestionar la TI en la sombra de forma eficaz, aprovechando sus beneficios y mitigando los riesgos potenciales. Cómo descubrir y gestionar la TI en la sombra La mejor manera de prevenir estos problemas es identificar si su organización utiliza TI en la sombra. Tres mejores prácticas que debe considerar para hacerlo son las políticas de gobernanza, la participación del departamento de TI y la educación de los empleados. Repasemos rápidamente cada uno con más detalle. : establezca siempre políticas y directrices sobre el uso de los recursos tecnológicos dentro de su empresa y asegúrese de comunicar sus consecuencias con claridad. Políticas de gobernanza : intente fomentar la comunicación abierta y la colaboración entre los empleados y el departamento de TI. Puede hacerlo fomentando un entorno en el que los empleados se sientan cómodos abordando TI con sus necesidades y desafíos tecnológicos. Compromiso del departamento de TI : no olvide realizar sesiones de capacitación y campañas de concientización periódicas para educar a los empleados sobre los riesgos asociados con la TI en la sombra. Educación y concientización de los empleados El Director de Información (CIO) y los equipos de TI desempeñan un papel crucial en la gestión de la TI en la sombra. Por un lado, el CIO puede proporcionar liderazgo estratégico, definiendo políticas, procedimientos y marcos. Pueden trabajar junto con el equipo de TI para garantizar que los recursos tecnológicos se utilicen de forma controlada y conforme. Costos y consecuencias de la TI en la sombra El costo de Shadow IT puede ser bastante significativo y se extiende más allá del aspecto financiero. A pesar de años de iniciativas de modernización, todavía están lidiando con este problema de la vieja escuela. El software, los servicios y los equipos no examinados pueden introducir potencialmente una serie de vulnerabilidades, puntos de entrada para delincuentes y malware, lo que plantea un riesgo de seguridad considerable. los CISO Considere las cifras de Gartner, que encontró que el 41% de los empleados adquirieron, modificaron o crearon tecnología fuera de la visibilidad de TI en 2022, y se espera que esta cifra aumente al 75% para 2027. Mientras tanto, la encuesta de gestión de proyectos y TI en la sombra de 2023 de Capterra descubrió que el 57% de las pequeñas y medianas empresas han tenido esfuerzos de TI en la sombra de alto impacto fuera del ámbito de sus departamentos de TI. Si bien ofrece beneficios de flexibilidad y conveniencia para el usuario, la TI en la sombra también conlleva costos significativos que las organizaciones deben tener en cuenta. Estos costos se pueden clasificar en términos generales en costos directos e indirectos. Costos directos: : sin una supervisión y control adecuados, los empleados podrían suscribirse a servicios redundantes o comprar más licencias de las necesarias, lo que generaría gastos innecesarios. Por ejemplo, diferentes equipos podrían suscribirse a herramientas de gestión de proyectos similares, generando costos innecesarios. Gastos innecesarios : La TI en la sombra a menudo genera problemas de compatibilidad y mayores solicitudes de soporte. El departamento de TI debe dedicar tiempo y recursos a solucionar problemas relacionados con software o hardware no aprobado. Mayor soporte de TI : la TI en la sombra puede generar vulnerabilidades de seguridad que los ciberdelincuentes pueden aprovechar. El costo de una filtración de datos puede ser enorme, considerando las sanciones financieras, la pérdida de confianza del cliente y el daño a la reputación de la empresa. Violaciones de seguridad Costos indirectos: : los empleados que utilizan herramientas no aprobadas o no compatibles pueden enfrentar problemas de compatibilidad o fallas de software inesperadas. Esto puede provocar una pérdida de productividad ya que los empleados luchan por rectificar estos problemas en lugar de centrarse en sus tareas principales. Pérdida de productividad : muchas industrias tienen regulaciones estrictas para la gestión de datos y la privacidad. El uso de Shadow IT puede dar lugar a infracciones de cumplimiento, lo que da lugar a fuertes multas y problemas legales. Riesgos de cumplimiento : la TI en la sombra puede provocar que los datos se almacenen en ubicaciones no seguras, lo que aumenta el riesgo de pérdida de datos. El costo de recuperar datos perdidos puede ser alto y, en algunos casos, los datos pueden ser irrecuperables. Pérdida de datos Si bien los costos de la TI en la sombra pueden ser significativos, es importante recordar que la TI en la sombra a menudo surge de la necesidad de mejores herramientas o procesos más eficientes. Las organizaciones deberían centrarse en gestionar la TI en la sombra de forma eficaz en lugar de intentar . eliminarla Consejos para la protección de TI en la sombra Hemos establecido que la TI en la sombra plantea algunos desafíos vitales de seguridad y cumplimiento. Por lo tanto, implementar medidas efectivas es crucial. A continuación se ofrecen algunos consejos prácticos para protegerse contra los riesgos de la TI en la sombra: Cree un proceso de aprobación y aprovisionamiento para nuevo software o tecnologías. Llevar a cabo sesiones periódicas de capacitación y programas de concientización para educar a los empleados. Implemente procedimientos estrictos de adquisición de software y auditorías periódicas de la red. Desarrollar políticas y directrices tecnológicas integrales. Administre la TI en la sombra de una manera que brinde control a la TI y permita a los empleados seguir teniendo la libertad de adoptar nuevas herramientas. Mantenga actualizadas las soluciones de ciberseguridad de su organización. Asegúrese de que existan controles de acceso para sistemas, aplicaciones y datos críticos. Beneficios de la TI en la sombra Aunque la TI en la sombra puede abrir la puerta a muchos riesgos de seguridad, es importante recordar que puede beneficiar potencialmente a su organización. La clave está en aprovechar su poder en lugar de eliminarlo por completo. Recuerde que la TI en la sombra puede permitir a los empleados adoptar y utilizar rápidamente herramientas y tecnologías que se adapten a sus necesidades específicas. Pueden, por ejemplo, experimentar con herramientas innovadoras que no estaban originalmente en la hoja de ruta de su organización. Los diferentes departamentos tendrán requisitos únicos que los sistemas de TI centralizados tal vez no aborden completamente. Shadow IT puede permitir a estos departamentos encontrar e implementar servicios especializados. Entonces, ¿cómo se pueden monitorear estas aplicaciones para asegurarse de no sacrificar la seguridad? Una herramienta sencilla para monitorear la TI en la sombra Una alternativa a restringir su uso es implementar una para detectar y gestionar aplicaciones y sus riesgos asociados. solución de TI en la sombra puede hacer esto y más. Uniqkey La clave para aprovechar el poder de la TI de las sombras es sacarla a la luz. Como parte de nuestra solución de administración de contraseñas comerciales, Uniqkey ofrece una descripción detallada de todos los servicios de la empresa, lo que permite a su organización: Sepa qué servicios utilizan sus empleados; monitorear y descubrir TI en la sombra dentro de su organización. Detecte posibles puntos débiles de seguridad, identificando vulnerabilidades y su posible impacto en sus actividades comerciales. Ahorre dinero en licencias inactivas. La implementación de como Uniqkey puede ayudarle a adaptarse y abordar los requisitos tecnológicos en evolución, garantizando que pueda evaluar todas las aplicaciones emergentes y su compatibilidad con la infraestructura existente. una herramienta de TI paralela También publicado . aquí
![featured image - Shadow IT explicado: una guía completa [con estadísticas]](https://hackernoon.imgix.net/images/tnrfNPIoTcZZdYTglB3OkwHgUGr1-5493vrb.jpeg?auto=format&fit=max&w=3840)
