El uso indiscriminado de aplicaciones y software no autorizado por los departamentos de IT son un riesgo enorme para cualquier organización.
El uso no autorizado de las tecnologías de información y comunicación, o "Shadow IT" (IT en la sombra, o IT invisible) es la práctica de acceder a programas y sistemas sin autorización explícita o incluso sin que se sepa. Estas aumentan los riesgos de seguridad y las responsabilidades financieras, sobre todo con empleados teletrabajando.
En las empresas, el Shadow IT se ha vuelto cada vez más común debido a la presencia constante de servicios basados en la nube y a la popularidad de las configuraciones de la nube híbrida. Si añadimos a esto que es muy fácil disponer de estas aplicaciones, tenemos un efecto bola de nieve que nunca será beneficioso para ningún departamento de tecnología.
El IT invisible es una expresión general que hace referencia a cualquier tecnología, ya sea una aplicación o un dispositivo (smartphone, tableta, portátil, etc.), que se implanta en una empresa sin la aprobación del departamento de IT.
Como resultado, los departamentos de IT a menudo no son conscientes de que los programas están siendo utilizados por individuos u otros áreas de negocio.
Algunos ejemplos típicos de IT en la sombra son:
Algunos de los tipos típicos de aplicaciones identificados como parte del IT en la sombra son Trello, Slack, Asana, Snapchat, WhatsApp, memorias flash, discos externos, Dropbox, Google Drive, Skype, Zoom, entre otras menos conocidas.
La mayoría del personal que utiliza estas soluciones no aprobadas lo hace con buenas intenciones, principalmente para hacer su trabajo más rápido. Por desgracia, el Shadow IT se está extendiendo debido al exceso de software empresarial, la productividad que ofrece y a la sencillez con la que se pueden instalar estas aplicaciones.
No es extraño que los empleados puedan sentirse frustrados y tomar cartas en el asunto porque el procedimiento para obtener la aprobación oficial del departamento de IT es difícil y requiere mucho tiempo.
Los problemas de seguridad y cumplimiento surgen cuando el departamento de IT carece de visibilidad sobre del hardware y el software que utilizan los empleados y las diferentes áreas de la empresa, lo que da lugar a varios tipos de riesgos que deben tenerse en cuenta.
Te presentamos cinco de las amenazas más graves del IT en las sombras que cualquier empresa debería conocer:
El Shadow IT compromete la seguridad de una organización. Estas aplicaciones no pasan por los mismos procedimientos de seguridad que otras tecnologías soportadas ya que el departamento de IT no los ha validado.
Mientras que algunos programas SaaS no soportados parecen ser inofensivos, otros pueden fomentar el intercambio de datos sensibles entre grupos o la grabación de llamadas para servicios de transcripción.
Usar software no autorizado puede tener efectos de gran alcance para las empresas sujetas a normas de cumplimiento. El IT invisible introduce nuevos puntos de auditoría, lo que requiere la ampliación de las pruebas de cumplimiento.
Por ejemplo, si los empleados de una institución sanitaria almacenan datos sensibles de los pacientes en sistemas de almacenamiento en la nube de un software no autorizado, pueden verse obligados a auditar, identificar y revelar la amplitud y el impacto de cada dato.
Además de exponer los datos sensibles a ciberataques, la empresa puede enfrentarse a costosos litigios o multas por incumplimiento, lo que podría perjudicar su reputación y sus ingresos.
Los departamentos de IT deben desarrollar una base de datos de gestión de la configuración (CMDB) para identificar cómo interactúan los sistemas entre sí. Cuando se introduce un programa o pieza de hardware no aprobado, es poco probable que se añada a la CMBD porque el departamento de tecnología no tiene constancia de su existencia.
El Shadow IT puede interrumpir procedimientos sensibles a los que se les han dedicado meses o años para diseñar.
La colaboración se vuelve ineficaz cuando el personal depende de aplicaciones separadas de departamento a departamento.
¿Qué sucede si un departamento utiliza Google Drive para compartir archivos y otro utiliza Box cuando los dos equipos colaboran en un proyecto? ¿Con qué frecuencia se publicará, modificará y descargará un mismo documento entre los dos servicios?
Minimizar el número a dos o tres licencias empresariales facilitará la colaboración.
Por último, la selección de las aplicaciones SaaS incorrectas podría afectar significativamente al ancho de banda y la eficiencia. Si un equipo depende de un software de Shadow IT que falla, el departamento de tecnología no lo restaurará porque carece de los conocimientos y la documentación esenciales. Piensa en el caos que podría producirse.
Muchos programas de terceros nunca se diseñaron para formar parte de tu infraestructura, al menos sin el conocimiento de IT, así que cuando llega una actualización importante que no funciona con tu sistema, tu personal de IT estará completamente desubicado.
Afortunadamente, la niebla que produce los programas no autorizados no es tan espesa como parece. Un enfoque ideal para prevenir su uso puede ser: