Si bien la TI en la sombra (o el uso de software, sistemas o dispositivos sin la aprobación explícita de una empresa) puede facilitar el trabajo de algunos empleados, la práctica también tiene inconvenientes importantes que las organizaciones deben abordar.
En este artículo, analizaremos qué es la TI en la sombra, por qué es importante en términos de violaciones y fugas de datos, y todos los pasos que su equipo de TI puede tomar para minimizar sus efectos, incluido el uso de herramientas de detección y monitoreo de TI en la sombra . Por último, dado que la TI en la sombra es algo inevitable, evaluaremos la posibilidad de aprovechar su potencial en lugar de eliminarlo por completo.
La TI en la sombra ocurre cuando los empleados o departamentos adoptan o implementan tecnologías para satisfacer sus necesidades, pero no notifican al equipo de TI que lo están haciendo.
Algunos ejemplos comunes de TI en la sombra incluyen no autorizados:
Por ejemplo, piense en acceder a una cuenta personal de Dropbox, usar Skype (cuando la empresa tiene WebEx) o copiar archivos desde o hacia una memoria USB.
Todos estos son casos de uso no autorizado de herramientas digitales que podrían poner en riesgo a su organización si se vieran comprometidas.
Debido a la rápida evolución de las tecnologías en la nube y el software como servicio (SaaS), la TI en la sombra se ha vuelto más frecuente y compleja en los últimos años.
En muchos casos, las unidades de negocio también comenzaron a adoptar nuevas aplicaciones de forma independiente para impulsar la transformación digital; por ejemplo, programas para compartir archivos, herramientas de gestión de proyectos y servicios basados en la nube como los mencionados anteriormente.
¿El resultado? Entre el 30% y el 40% del gasto en TI en las grandes empresas es TI en la sombra, y las empresas desperdician más de 135.000 dólares al año en licencias y herramientas SaaS innecesarias. Es más, un informe de 2023 mostró que el 65% de todas las aplicaciones SaaS son aplicaciones no autorizadas (o aplicaciones que el departamento de TI no ha aprobado).
Como se explicó, Shadow IT se refiere al uso de sistemas, dispositivos, software, aplicaciones y servicios de TI sin la aprobación explícita del departamento de TI. Ha sido ampliamente adoptado en muchas organizaciones debido a su flexibilidad y conveniencia. Sin embargo, si bien plantea ciertos riesgos, también puede ofrecer beneficios cuando se gestiona adecuadamente.
Veamos algunos ejemplos para comprender cómo se utiliza Shadow IT:
Servicios en la nube : con la llegada de la computación en la nube, los empleados utilizan cada vez más servicios en la nube de terceros, como Google Drive, Dropbox o OneDrive, para compartir archivos y colaborar. Estas herramientas brindan fácil acceso a los datos desde cualquier ubicación y facilitan la colaboración, pero a menudo se utilizan sin la supervisión del departamento de TI.
Herramientas de comunicación : los empleados suelen utilizar herramientas como Slack, WhatsApp o Microsoft Teams para una comunicación rápida e informal. Estas plataformas pueden mejorar la productividad al permitir una comunicación instantánea. Sin embargo, también pueden representar un riesgo para la seguridad si se comparte información confidencial sin el cifrado o los protocolos de seguridad adecuados.
Dispositivos personales : los empleados suelen utilizar sus dispositivos personales para trabajar, lo que se conoce como Bring Your Own Device (BYOD). Si bien esto puede mejorar la flexibilidad y el equilibrio entre la vida personal y laboral, también puede crear vulnerabilidades si estos dispositivos se pierden, son robados o se infectan con malware.
Software no autorizado : los empleados pueden descargar e instalar software que el departamento de TI no aprueba. Esto podría abarcar desde herramientas de gestión de proyectos hasta software de diseño gráfico. Si bien estas herramientas pueden ayudar a la productividad, también pueden introducir problemas de compatibilidad o vulnerabilidades de seguridad.
Hardware : más allá del software, Shadow IT también puede extenderse a hardware como enrutadores personales, dispositivos de almacenamiento o incluso servidores que los empleados pueden instalar para mejorar su espacio de trabajo. Estos dispositivos pueden plantear graves riesgos de seguridad si no se configuran o mantienen adecuadamente.
La TI en la sombra crea riesgos de seguridad invisibles y graves para las organizaciones porque cuando un empleado utiliza herramientas, aplicaciones, servicios en la nube o dispositivos no autorizados, aumenta la posibilidad de violaciones de seguridad (de hecho, un estudio de IBM ha demostrado que el 83% de los encuestados ha sufrido en al menos una violación de datos de la empresa en la que se comprometieron datos confidenciales).
Muchas de estas herramientas también carecen de medidas de seguridad sólidas, como un cifrado sólido o la dependencia de credenciales débiles o predeterminadas.
Si su organización necesita trabajar bajo regulaciones específicas y leyes de protección de datos, como CCPA o GDPR, la TI en la sombra también puede generar violaciones de cumplimiento, especialmente si su departamento de TI no puede ver ni controlar los datos que se almacenan o comparten. Sabemos, por ejemplo, que un tercio de todos los ciberataques exitosos provienen de datos almacenados en la TI oculta.
Por último, la TI en la sombra suele ser difícil de integrar con la infraestructura existente, algo que puede generar fácilmente problemas de compatibilidad, silos de datos, sistemas fragmentados, uso ineficiente de recursos, costos incontrolados y redundancia.
Aquí hay algunas estadísticas recientes y relevantes sobre Shadow IT :
Fuente: Más de 124 estadísticas de ciberseguridad que los líderes de TI deben conocer en 2023
Estas estadísticas deberían proporcionar una comprensión profunda de la prevalencia, los riesgos y los desafíos asociados con la TI en la sombra.
Shadow IT es un concepto multifacético y se puede dividir en diferentes elementos según el tipo de tecnología utilizada, la forma en que se emplea y el motivo de su uso. Estos son algunos de los elementos clave de Shadow IT:
Cada uno de estos elementos plantea diferentes desafíos y riesgos para una organización. Sin embargo, también representan una mayor productividad, colaboración y oportunidades de innovación. Comprender estos elementos puede ayudar a las organizaciones a gestionar la TI en la sombra de forma eficaz, aprovechando sus beneficios y mitigando los riesgos potenciales.
La mejor manera de prevenir estos problemas es identificar si su organización utiliza TI en la sombra. Tres mejores prácticas que debe considerar para hacerlo son las políticas de gobernanza, la participación del departamento de TI y la educación de los empleados. Repasemos rápidamente cada uno con más detalle.
El Director de Información (CIO) y los equipos de TI desempeñan un papel crucial en la gestión de la TI en la sombra. Por un lado, el CIO puede proporcionar liderazgo estratégico, definiendo políticas, procedimientos y marcos. Pueden trabajar junto con el equipo de TI para garantizar que los recursos tecnológicos se utilicen de forma controlada y conforme.
El costo de Shadow IT puede ser bastante significativo y se extiende más allá del aspecto financiero. A pesar de años de iniciativas de modernización, los CISO todavía están lidiando con este problema de la vieja escuela. El software, los servicios y los equipos no examinados pueden introducir potencialmente una serie de vulnerabilidades, puntos de entrada para delincuentes y malware, lo que plantea un riesgo de seguridad considerable.
Considere las cifras de Gartner, que encontró que el 41% de los empleados adquirieron, modificaron o crearon tecnología fuera de la visibilidad de TI en 2022, y se espera que esta cifra aumente al 75% para 2027. Mientras tanto, la encuesta de gestión de proyectos y TI en la sombra de 2023 de Capterra descubrió que el 57% de las pequeñas y medianas empresas han tenido esfuerzos de TI en la sombra de alto impacto fuera del ámbito de sus departamentos de TI.
Si bien ofrece beneficios de flexibilidad y conveniencia para el usuario, la TI en la sombra también conlleva costos significativos que las organizaciones deben tener en cuenta. Estos costos se pueden clasificar en términos generales en costos directos e indirectos.
Si bien los costos de la TI en la sombra pueden ser significativos, es importante recordar que la TI en la sombra a menudo surge de la necesidad de mejores herramientas o procesos más eficientes. Las organizaciones deberían centrarse en gestionar la TI en la sombra de forma eficaz en lugar de intentar eliminarla .
Hemos establecido que la TI en la sombra plantea algunos desafíos vitales de seguridad y cumplimiento. Por lo tanto, implementar medidas efectivas es crucial.
A continuación se ofrecen algunos consejos prácticos para protegerse contra los riesgos de la TI en la sombra:
Aunque la TI en la sombra puede abrir la puerta a muchos riesgos de seguridad, es importante recordar que puede beneficiar potencialmente a su organización. La clave está en aprovechar su poder en lugar de eliminarlo por completo.
Recuerde que la TI en la sombra puede permitir a los empleados adoptar y utilizar rápidamente herramientas y tecnologías que se adapten a sus necesidades específicas. Pueden, por ejemplo, experimentar con herramientas innovadoras que no estaban originalmente en la hoja de ruta de su organización.
Los diferentes departamentos tendrán requisitos únicos que los sistemas de TI centralizados tal vez no aborden completamente. Shadow IT puede permitir a estos departamentos encontrar e implementar servicios especializados. Entonces, ¿cómo se pueden monitorear estas aplicaciones para asegurarse de no sacrificar la seguridad?
Una alternativa a restringir su uso es implementar una solución de TI en la sombra para detectar y gestionar aplicaciones y sus riesgos asociados.
Uniqkey puede hacer esto y más.
La clave para aprovechar el poder de la TI de las sombras es sacarla a la luz. Como parte de nuestra solución de administración de contraseñas comerciales, Uniqkey ofrece una descripción detallada de todos los servicios de la empresa, lo que permite a su organización:
La implementación de una herramienta de TI paralela como Uniqkey puede ayudarle a adaptarse y abordar los requisitos tecnológicos en evolución, garantizando que pueda evaluar todas las aplicaciones emergentes y su compatibilidad con la infraestructura existente.
También publicado aquí .