paint-brush
Shadow IT explicado: una guía completa [con estadísticas]por@uniqkey
546 lecturas
546 lecturas

Shadow IT explicado: una guía completa [con estadísticas]

por Uniqkey10m2023/08/25
Read on Terminal Reader

Demasiado Largo; Para Leer

"TI en la sombra" se refiere a sistemas y soluciones de TI creados y utilizados dentro de las organizaciones sin la aprobación organizacional explícita. A menudo está impulsado por departamentos o personas que buscan mejorar la eficiencia sin pasar por canales formales. Si bien puede generar innovación y agilidad, también plantea importantes riesgos de seguridad y cumplimiento. Esta guía profundiza en el concepto, respaldada por estadísticas relevantes, destacando tanto sus beneficios como sus posibles inconvenientes.
featured image - Shadow IT explicado: una guía completa [con estadísticas]
Uniqkey HackerNoon profile picture
0-item


Si bien la TI en la sombra (o el uso de software, sistemas o dispositivos sin la aprobación explícita de una empresa) puede facilitar el trabajo de algunos empleados, la práctica también tiene inconvenientes importantes que las organizaciones deben abordar.


En este artículo, analizaremos qué es la TI en la sombra, por qué es importante en términos de violaciones y fugas de datos, y todos los pasos que su equipo de TI puede tomar para minimizar sus efectos, incluido el uso de herramientas de detección y monitoreo de TI en la sombra . Por último, dado que la TI en la sombra es algo inevitable, evaluaremos la posibilidad de aprovechar su potencial en lugar de eliminarlo por completo.

¿Qué es la TI en la sombra?

La TI en la sombra ocurre cuando los empleados o departamentos adoptan o implementan tecnologías para satisfacer sus necesidades, pero no notifican al equipo de TI que lo están haciendo.


Algunos ejemplos comunes de TI en la sombra incluyen no autorizados:


  • aplicaciones de software
  • servicios en la nube (como Dropbox)
  • herramientas de comunicación (como WhatsApp o Trello)
  • Dispositivos personales para tareas relacionadas con el trabajo.


Por ejemplo, piense en acceder a una cuenta personal de Dropbox, usar Skype (cuando la empresa tiene WebEx) o copiar archivos desde o hacia una memoria USB.

Todos estos son casos de uso no autorizado de herramientas digitales que podrían poner en riesgo a su organización si se vieran comprometidas.

¿Por qué ocurre la TI en la sombra en las empresas?

Debido a la rápida evolución de las tecnologías en la nube y el software como servicio (SaaS), la TI en la sombra se ha vuelto más frecuente y compleja en los últimos años.

En muchos casos, las unidades de negocio también comenzaron a adoptar nuevas aplicaciones de forma independiente para impulsar la transformación digital; por ejemplo, programas para compartir archivos, herramientas de gestión de proyectos y servicios basados ​​en la nube como los mencionados anteriormente.


¿El resultado? Entre el 30% y el 40% del gasto en TI en las grandes empresas es TI en la sombra, y las empresas desperdician más de 135.000 dólares al año en licencias y herramientas SaaS innecesarias. Es más, un informe de 2023 mostró que el 65% de todas las aplicaciones SaaS son aplicaciones no autorizadas (o aplicaciones que el departamento de TI no ha aprobado).

Ejemplos de TI en la sombra

Como se explicó, Shadow IT se refiere al uso de sistemas, dispositivos, software, aplicaciones y servicios de TI sin la aprobación explícita del departamento de TI. Ha sido ampliamente adoptado en muchas organizaciones debido a su flexibilidad y conveniencia. Sin embargo, si bien plantea ciertos riesgos, también puede ofrecer beneficios cuando se gestiona adecuadamente.


Veamos algunos ejemplos para comprender cómo se utiliza Shadow IT:


Servicios en la nube : con la llegada de la computación en la nube, los empleados utilizan cada vez más servicios en la nube de terceros, como Google Drive, Dropbox o OneDrive, para compartir archivos y colaborar. Estas herramientas brindan fácil acceso a los datos desde cualquier ubicación y facilitan la colaboración, pero a menudo se utilizan sin la supervisión del departamento de TI.


Herramientas de comunicación : los empleados suelen utilizar herramientas como Slack, WhatsApp o Microsoft Teams para una comunicación rápida e informal. Estas plataformas pueden mejorar la productividad al permitir una comunicación instantánea. Sin embargo, también pueden representar un riesgo para la seguridad si se comparte información confidencial sin el cifrado o los protocolos de seguridad adecuados.


Dispositivos personales : los empleados suelen utilizar sus dispositivos personales para trabajar, lo que se conoce como Bring Your Own Device (BYOD). Si bien esto puede mejorar la flexibilidad y el equilibrio entre la vida personal y laboral, también puede crear vulnerabilidades si estos dispositivos se pierden, son robados o se infectan con malware.


Software no autorizado : los empleados pueden descargar e instalar software que el departamento de TI no aprueba. Esto podría abarcar desde herramientas de gestión de proyectos hasta software de diseño gráfico. Si bien estas herramientas pueden ayudar a la productividad, también pueden introducir problemas de compatibilidad o vulnerabilidades de seguridad.


Hardware : más allá del software, Shadow IT también puede extenderse a hardware como enrutadores personales, dispositivos de almacenamiento o incluso servidores que los empleados pueden instalar para mejorar su espacio de trabajo. Estos dispositivos pueden plantear graves riesgos de seguridad si no se configuran o mantienen adecuadamente.

Riesgos y desafíos de la seguridad de TI en la sombra

La TI en la sombra crea riesgos de seguridad invisibles y graves para las organizaciones porque cuando un empleado utiliza herramientas, aplicaciones, servicios en la nube o dispositivos no autorizados, aumenta la posibilidad de violaciones de seguridad (de hecho, un estudio de IBM ha demostrado que el 83% de los encuestados ha sufrido en al menos una violación de datos de la empresa en la que se comprometieron datos confidenciales).


Muchas de estas herramientas también carecen de medidas de seguridad sólidas, como un cifrado sólido o la dependencia de credenciales débiles o predeterminadas.


Si su organización necesita trabajar bajo regulaciones específicas y leyes de protección de datos, como CCPA o GDPR, la TI en la sombra también puede generar violaciones de cumplimiento, especialmente si su departamento de TI no puede ver ni controlar los datos que se almacenan o comparten. Sabemos, por ejemplo, que un tercio de todos los ciberataques exitosos provienen de datos almacenados en la TI oculta.


Por último, la TI en la sombra suele ser difícil de integrar con la infraestructura existente, algo que puede generar fácilmente problemas de compatibilidad, silos de datos, sistemas fragmentados, uso ineficiente de recursos, costos incontrolados y redundancia.

Últimas estadísticas de TI en la sombra

Aquí hay algunas estadísticas recientes y relevantes sobre Shadow IT :


Estadísticas de TI en la sombra

  • El 80% de los trabajadores admite utilizar aplicaciones SaaS sin obtener la aprobación de TI.
  • Se estima que el uso de la nube de TI en la sombra es 10 veces mayor que el uso conocido de la nube.
  • La empresa media tiene 975 servicios en la nube desconocidos .
  • La mayoría de las empresas tienen más de 108 servicios en la nube conocidos .
  • El 37% de los líderes de TI dicen que las políticas de seguridad son el mayor desafío para una experiencia digital eficaz para los empleados.
  • La TI en la sombra representa entre el 30% y el 40% del gasto en TI en las grandes empresas.
  • El 82% de los líderes de TI dice que los usuarios rechazan cuando la gerencia intenta dictar qué herramientas deben usarse.
  • El 67% de los trabajadores ha introducido herramientas propias en su organización.
  • 1 de cada 3 empleados de empresas Fortune 1000 utiliza servicios en la nube que TI no ha aprobado.
  • El 53% de los equipos se niega a utilizar únicamente herramientas aprobadas por TI.


Fuente: Más de 124 estadísticas de ciberseguridad que los líderes de TI deben conocer en 2023


Estas estadísticas deberían proporcionar una comprensión profunda de la prevalencia, los riesgos y los desafíos asociados con la TI en la sombra.

Diferentes elementos de la TI en la sombra

Shadow IT es un concepto multifacético y se puede dividir en diferentes elementos según el tipo de tecnología utilizada, la forma en que se emplea y el motivo de su uso. Estos son algunos de los elementos clave de Shadow IT:


  1. Software como servicio (SaaS) : las aplicaciones SaaS son una forma común de Shadow IT. Son de fácil acceso y, a menudo, gratuitos o están disponibles a bajo costo. Los ejemplos incluyen aplicaciones para compartir archivos como Dropbox, herramientas de productividad como Google Docs o plataformas de comunicación como Slack. Los empleados pueden utilizar estas herramientas por su conveniencia y facilidad de uso, a menudo sin el conocimiento o la aprobación del departamento de TI.
  2. Hardware : esto incluye cualquier dispositivo físico utilizado sin el consentimiento del departamento de TI, como computadoras portátiles personales, teléfonos inteligentes o tabletas utilizadas con fines laborales. También podría incluir enrutadores, servidores o dispositivos de almacenamiento configurados por los empleados para mejorar su espacio de trabajo.
  3. Plataformas como servicio (PaaS) : son plataformas que permiten a los usuarios desarrollar, ejecutar y administrar aplicaciones sin necesidad de lidiar con la infraestructura subyacente. Los ejemplos incluyen Microsoft Azure, Google Cloud y AWS. Se pueden utilizar para crear aplicaciones personalizadas que satisfagan necesidades empresariales específicas, a menudo sin pasar por los protocolos de TI.
  4. Infraestructura como servicio (IaaS) : implica el uso de recursos informáticos virtualizados a través de Internet, como máquinas virtuales, almacenamiento o redes. Los ejemplos incluyen AWS, Google Cloud y Microsoft Azure. Si bien estos servicios ofrecen flexibilidad y escalabilidad, su uso también puede generar vulnerabilidades de seguridad si no se administran adecuadamente.
  5. Traiga su propio dispositivo (BYOD) : se refiere a la práctica de los empleados de utilizar sus dispositivos personales con fines laborales. Si bien esto puede aumentar la comodidad y la productividad, también puede plantear riesgos de seguridad si estos dispositivos se pierden, son robados o se infectan con malware.
  6. Cuentas y correos electrónicos personales : el uso de cuentas de correo electrónico personales para comunicaciones relacionadas con el trabajo es otra forma de Shadow IT. Si bien puede parecer inofensiva, esta práctica puede provocar una fuga de datos, lo que dificulta que la organización controle el flujo de información.
  7. Proveedores de TI no aprobados : se refiere al uso de consultores o proveedores de servicios de TI sin la aprobación explícita o el conocimiento del departamento de TI. Es posible que estos proveedores no sigan las políticas de TI de la empresa, lo que genera posibles riesgos de seguridad y problemas de cumplimiento.


Cada uno de estos elementos plantea diferentes desafíos y riesgos para una organización. Sin embargo, también representan una mayor productividad, colaboración y oportunidades de innovación. Comprender estos elementos puede ayudar a las organizaciones a gestionar la TI en la sombra de forma eficaz, aprovechando sus beneficios y mitigando los riesgos potenciales.

Cómo descubrir y gestionar la TI en la sombra

La mejor manera de prevenir estos problemas es identificar si su organización utiliza TI en la sombra. Tres mejores prácticas que debe considerar para hacerlo son las políticas de gobernanza, la participación del departamento de TI y la educación de los empleados. Repasemos rápidamente cada uno con más detalle.


  • Políticas de gobernanza : establezca siempre políticas y directrices sobre el uso de los recursos tecnológicos dentro de su empresa y asegúrese de comunicar sus consecuencias con claridad.
  • Compromiso del departamento de TI : intente fomentar la comunicación abierta y la colaboración entre los empleados y el departamento de TI. Puede hacerlo fomentando un entorno en el que los empleados se sientan cómodos abordando TI con sus necesidades y desafíos tecnológicos.
  • Educación y concientización de los empleados : no olvide realizar sesiones de capacitación y campañas de concientización periódicas para educar a los empleados sobre los riesgos asociados con la TI en la sombra.


El Director de Información (CIO) y los equipos de TI desempeñan un papel crucial en la gestión de la TI en la sombra. Por un lado, el CIO puede proporcionar liderazgo estratégico, definiendo políticas, procedimientos y marcos. Pueden trabajar junto con el equipo de TI para garantizar que los recursos tecnológicos se utilicen de forma controlada y conforme.

Costos y consecuencias de la TI en la sombra

El costo de Shadow IT puede ser bastante significativo y se extiende más allá del aspecto financiero. A pesar de años de iniciativas de modernización, los CISO todavía están lidiando con este problema de la vieja escuela. El software, los servicios y los equipos no examinados pueden introducir potencialmente una serie de vulnerabilidades, puntos de entrada para delincuentes y malware, lo que plantea un riesgo de seguridad considerable.


Considere las cifras de Gartner, que encontró que el 41% de los empleados adquirieron, modificaron o crearon tecnología fuera de la visibilidad de TI en 2022, y se espera que esta cifra aumente al 75% para 2027. Mientras tanto, la encuesta de gestión de proyectos y TI en la sombra de 2023 de Capterra descubrió que el 57% de las pequeñas y medianas empresas han tenido esfuerzos de TI en la sombra de alto impacto fuera del ámbito de sus departamentos de TI.


Si bien ofrece beneficios de flexibilidad y conveniencia para el usuario, la TI en la sombra también conlleva costos significativos que las organizaciones deben tener en cuenta. Estos costos se pueden clasificar en términos generales en costos directos e indirectos.

Costos directos:

  1. Gastos innecesarios : sin una supervisión y control adecuados, los empleados podrían suscribirse a servicios redundantes o comprar más licencias de las necesarias, lo que generaría gastos innecesarios. Por ejemplo, diferentes equipos podrían suscribirse a herramientas de gestión de proyectos similares, generando costos innecesarios.
  2. Mayor soporte de TI : La TI en la sombra a menudo genera problemas de compatibilidad y mayores solicitudes de soporte. El departamento de TI debe dedicar tiempo y recursos a solucionar problemas relacionados con software o hardware no aprobado.
  3. Violaciones de seguridad : la TI en la sombra puede generar vulnerabilidades de seguridad que los ciberdelincuentes pueden aprovechar. El costo de una filtración de datos puede ser enorme, considerando las sanciones financieras, la pérdida de confianza del cliente y el daño a la reputación de la empresa.

Costos indirectos:

  1. Pérdida de productividad : los empleados que utilizan herramientas no aprobadas o no compatibles pueden enfrentar problemas de compatibilidad o fallas de software inesperadas. Esto puede provocar una pérdida de productividad ya que los empleados luchan por rectificar estos problemas en lugar de centrarse en sus tareas principales.
  2. Riesgos de cumplimiento : muchas industrias tienen regulaciones estrictas para la gestión de datos y la privacidad. El uso de Shadow IT puede dar lugar a infracciones de cumplimiento, lo que da lugar a fuertes multas y problemas legales.
  3. Pérdida de datos : la TI en la sombra puede provocar que los datos se almacenen en ubicaciones no seguras, lo que aumenta el riesgo de pérdida de datos. El costo de recuperar datos perdidos puede ser alto y, en algunos casos, los datos pueden ser irrecuperables.


Si bien los costos de la TI en la sombra pueden ser significativos, es importante recordar que la TI en la sombra a menudo surge de la necesidad de mejores herramientas o procesos más eficientes. Las organizaciones deberían centrarse en gestionar la TI en la sombra de forma eficaz en lugar de intentar eliminarla .

Consejos para la protección de TI en la sombra

Hemos establecido que la TI en la sombra plantea algunos desafíos vitales de seguridad y cumplimiento. Por lo tanto, implementar medidas efectivas es crucial.


A continuación se ofrecen algunos consejos prácticos para protegerse contra los riesgos de la TI en la sombra:


  • Cree un proceso de aprobación y aprovisionamiento para nuevo software o tecnologías.
  • Llevar a cabo sesiones periódicas de capacitación y programas de concientización para educar a los empleados.
  • Implemente procedimientos estrictos de adquisición de software y auditorías periódicas de la red.
  • Desarrollar políticas y directrices tecnológicas integrales.
  • Administre la TI en la sombra de una manera que brinde control a la TI y permita a los empleados seguir teniendo la libertad de adoptar nuevas herramientas.
  • Mantenga actualizadas las soluciones de ciberseguridad de su organización.
  • Asegúrese de que existan controles de acceso para sistemas, aplicaciones y datos críticos.

Beneficios de la TI en la sombra

Aunque la TI en la sombra puede abrir la puerta a muchos riesgos de seguridad, es importante recordar que puede beneficiar potencialmente a su organización. La clave está en aprovechar su poder en lugar de eliminarlo por completo.


Recuerde que la TI en la sombra puede permitir a los empleados adoptar y utilizar rápidamente herramientas y tecnologías que se adapten a sus necesidades específicas. Pueden, por ejemplo, experimentar con herramientas innovadoras que no estaban originalmente en la hoja de ruta de su organización.


Los diferentes departamentos tendrán requisitos únicos que los sistemas de TI centralizados tal vez no aborden completamente. Shadow IT puede permitir a estos departamentos encontrar e implementar servicios especializados. Entonces, ¿cómo se pueden monitorear estas aplicaciones para asegurarse de no sacrificar la seguridad?

Una herramienta sencilla para monitorear la TI en la sombra

Una alternativa a restringir su uso es implementar una solución de TI en la sombra para detectar y gestionar aplicaciones y sus riesgos asociados.


Uniqkey puede hacer esto y más.


La clave para aprovechar el poder de la TI de las sombras es sacarla a la luz. Como parte de nuestra solución de administración de contraseñas comerciales, Uniqkey ofrece una descripción detallada de todos los servicios de la empresa, lo que permite a su organización:


  • Sepa qué servicios utilizan sus empleados; monitorear y descubrir TI en la sombra dentro de su organización.
  • Detecte posibles puntos débiles de seguridad, identificando vulnerabilidades y su posible impacto en sus actividades comerciales.
  • Ahorre dinero en licencias inactivas.


La implementación de una herramienta de TI paralela como Uniqkey puede ayudarle a adaptarse y abordar los requisitos tecnológicos en evolución, garantizando que pueda evaluar todas las aplicaciones emergentes y su compatibilidad con la infraestructura existente.


También publicado aquí .