En esencia, el shadow IT o (TI en la sombra o TI invisible) son todas aquellos programas y aplicaciones instaladas y usadas por los empleados de una compañía sin el conocimiento y la aprobación del equipo informático.
Cualquier dispositivo o pieza de software puede caer dentro de esta categoría. El shadow IT va desde un teléfono particular con el que una persona accede a una aplicación empresarial, hasta servicios en la nube, pasando por una VPN (un software para proteger la privacidad en internet) o incluso las macros de Excel, esos automatismos diseñados para facilitar el trabajo con la hoja de cálculo, pero que pueden ser dañinos para los equipos empresariales.
Ejemplos de shadow IT
Un ejemplo típico de shadow IT es el de un empleado que necesita enviar un archivo muy pesado y recurre a un servicio gratuito en la nube para hacerlo. La consecuencia de ello es que esos datos, que pueden ser muy importantes para la compañía, viajan por internet sin protección y pueden acabar hospedados en sitios web sin garantías. En una empresa donde reine el descontrol, cada empleado puede bajarse software y darse de alta en servicios todas las veces que quiera. Como resultado, el departamento de TI se enfrentará a una “informática en la sombra” formada por decenas, cientos o miles de piezas. Una pesadilla.
El llamado bring your own device (BYOD) es una tendencia que fomenta la aparición de la informática en la sombra, sin control de nadie. Muchas compañías permiten a sus empleados llevarse a la oficina su propio teléfono, tablet o portátil para realizar sus tareas diarias. También les permiten conectarse con esos mismos dispositivos personales a aplicaciones corporativas desde casa o mientras viajan. Es una flexibilidad a la que nadie quiere renunciar. Pero el BYOD puede suponer para una empresa tener un parque de cientos de equipos sin antivirus y sin monitorización, lo que puede dar lugar a un verdadero problema de seguridad.
Los riesgos del shadow IT
El shadow IT es sinónimo de falta de visibilidad y de control de las aplicaciones y la información que circula por las redes de una empresa. Y ese es el terreno ideal para que los ciberdelincuentes campen a sus anchas por los equipos informáticos, bien lanzando ataques o bien secuestrándolos para extraer información o para usarlos más tarde con algún propósito ilegítimo.
Además, tener aplicaciones sin control puede llevar a una empresa a incumplir las cada vez más estrictas leyes y regulaciones en materia de protección de datos. Por ejemplo, un empleado que se valga de un servicio gratuito en la nube para enviar sin encriptar un listado con datos de miles de clientes estará cometiendo una seria violación de un reglamento como el GDPR.
Un equipo de informática que se precie tendrá todas las aplicaciones actualizadas y con sus debidos parches de seguridad al día, con el fin de evitar que alguien aproveche las vulnerabilidades de ese software y se produzca una brecha de datos. Pero cuando esos programas son usados de forma descontrolada por empleados que no necesariamente se van a preocupar por tenerlos actualizados, existe un problema.
A nivel de operativa de la compañía, el que cada empleado se instale sus propias aplicaciones se traduce en ineficiencias y problemas de colaboración. Por ejemplo, si un departamento usa Google Drive y otro Microsoft Onedrive para almacenar archivos, se puede llegar a duplicar la información, aumentan los costes de mantenimiento y pueden surgir incompatibilidades. En otras palabras, con el shadow IT la colaboración se complica y los datos no fluyen tan fácilmente.
Buenas prácticas para prevenir el shadow IT
Hasta cierto punto, la existencia de programas en la sombra, fuera del control del departamento de sistemas de una empresa, es inevitable. Siempre va a haber empleados que instalen programas o recurran a servicios de su agrado para enviar un archivo, ordenar su información o comunicarse con terceros. En todo caso, las empresas pueden aplicar algunas medidas para minimizar riesgos:
Formar a los empleados. Concienciar a la plantilla sobre los peligros que supone que cada uno vaya por libre instalando el software o el servicio que le plazca, ya es un primer paso importante para reducir el shadow IT a su mínima expresión.
Ofrecer la tecnología necesaria. El equipo de informática deberá ofrecer los programas y herramientas que necesitan los empleados, con el fin de evitarles a estos la tentación de acudir libremente a internet para descargárselos en sus equipos. Para ello, la dirección de la empresa y el equipo informático deberán establecer canales de comunicación con la plantilla.
Usa tecnología para detectar programas en la sombra. Hay programas para monitorizar la red de la empresa en busca de comportamientos extraños, o de dispositivos que no están registrados. Se impone una estrategia zero trust. De esa manera, la empresa sabrá qué parte de su informática está fuera de control.
El shadow IT también tiene beneficios
Ojo. La llamada TI en la sombra tiene su parte positiva. La primera, y más evidente, es que descarga de tareas a los siempre estresados departamentos de TI de las empresas. Y también hace más productivos (por lo menos en primera instancia) a los empleados.
Un empleado que se baje los programas o servicios que desea, y que acuda a trabajar con sus dispositivos personales, será también un empleado más satisfecho. Y, probablemente, estará más comprometido con la compañía. Por último, el shadow IT fomentará la innovación porque muchas personas estarán buscando e instalando la tecnología que más les conviene en cada momento, y eso es riqueza. Aunque, como hemos visto, también se puede convertir en un caos inmanejable.
Por Juan I. Cabrera
Imágenes | Freepik.es/ljeab, Freepik.es/rawpixel, Freepik.es/drobotdean