Shadow IT: qué es, cuáles son los riesgos y cómo prevenir la “TI invisible”
¿Ya has oído hablar del término “Shadow IT”? Se lo ha traducido literalmente al español como “TI en las sombras”, pero también se lo conoce como “TI invisible”. Se trata del uso indiscriminado, por parte de los empleados de una empresa, de dispositivos, aplicaciones y plataformas que no fueron autorizados por el departamento de TI para fines profesionales. Estamos hablando de un problema de hace muchos años, pero cada vez más frecuente y difícil de contener, sobre todo con la popularización del trabajo remoto.
Es fácil dar ejemplos de Shadow IT. A título ilustrativo, imagina que tu empresa determinó que el servicio X de almacenamiento de archivos en la nube será el servicio oficial que deberá utilizarse para guardar todos y cada uno de los documentos de la empresa. Sin embargo, por la razón que sea —gusto personal, comodidad, etc.—, un colaborador decide, por su cuenta y sin avisarle a nadie, almacenar documentos y archivos de trabajo en el servicio Y, que, posiblemente, no ofrezca el mismo grado de seguridad y confianza.
Otros ejemplos de TI invisible incluyen el uso de la dirección de correo electrónico personal o cuentas de mensajería para enviar y recibir archivos corporativos, el uso de aplicaciones aleatorias para crear listas de tareas pendientes, la adopción sin previo aviso de una plataforma de gestión de proyectos, mantener comunicaciones de trabajo confidenciales con otros colaboradores en software de terceros, etc. Una vez más, es importante señalar que se trata de un problema de muchos años, pero que está empeorando especialmente con el trabajo remoto e híbrido y la adopción masiva de políticas como BYOD (bring your own device o “traiga su propio dispositivo”), en virtud de las cuales se solicita a los colaboradores que lleven sus propios dispositivos al trabajo.
¿Cuáles son los riesgos?
¡Muchos! En primer lugar, es importante entender que el departamento de TI, junto con el equipo de seguridad de la información, determina las herramientas y plataformas que se utilizarán para las operaciones comerciales en función de una serie de factores: confianza, estabilidad, flexibilidad, visibilidad y, por supuesto, seguridad. En algunos casos, la elección se realiza a partir de criterios cruciales para garantizar el cumplimiento de determinada legislación o normativa específica del sector de actividad en el que opera la empresa.
Así, el uso de herramientas y plataformas no homologadas pone en riesgo el trabajo diario, haciendo que algunos archivos y procesos sean invisibles (de ahí el nombre con el que se conoce a esta práctica) para los responsables de seguridad, que no podrán proteger a la empresa de posibles amenazas creadas por estas prácticas. También es común que, al elegir servicios de su preferencia para almacenar información sensible, los empleados abran puertas a la fuga de datos, porque el entorno en cuestión no se configuró correctamente o no cuenta con una infraestructura de protección tan madura.
Sin mencionar los casos más extremos, en los que los colaboradores realizan auténticas "artimañas" o llegan a utilizar software pirata para sus tareas profesionales. Además de la cuestión ética, esa postura los expone al riesgo de infección de la máquina por un programa malicioso.
Fácil de resolver
No hay secretos: para evitar que Shadow IT se propague, cada colaborador debe hacer su parte y utilizar solo los dispositivos, herramientas y aplicaciones que han recibido autorización previa de los equipos de TI y de seguridad de la información. Si tienes problemas con determinado software, por ejemplo, conviene señalarlo de manera formal a esos dos equipos y entender cómo se pueden resolver estos problemas sin prescindir de la seguridad.
Afortunadamente, para los gestores, el mercado ya dispone de soluciones que permiten una mejor supervisión de la red en busca de "escapes" para las zonas de sombra, como realizar una gestión más eficaz de los activos y las licencias de software.