Shadow IT: ¿una nueva amenaza para la seguridad informática de las empresas?
Cuando se plantea el tema de la TI en la sombra (también conocida como TI fraudulenta), a menudo se asocia con una connotación negativa. Y con razón, ya que la TI en la sombra puede tener consecuencias perjudiciales para las empresas, sobre todo en lo que respecta a la seguridad de sus sistemas de información.
Sin embargo, la TI en la sombra también revela necesidades empresariales insatisfechas.
Por eso es importante entender exactamente qué es la TI en la sombra, los peligros de esta práctica y las razones de su desarrollo. De este modo, los departamentos de TI podrán responder adecuadamente y cosechar los beneficios.
TI en la sombra: definición
¿Qué es la shadow IT?
La TI en la sombra se define como el uso profesional de los sistemas de información y comunicación sin la aprobación del departamento de TI.
Esta definición bastante amplia abarca una gran variedad de prácticas.
Aplicaciones en la nube
Gracias al considerable desarrollo de los últimos años, es fácil para los empleados adoptar el reflejo de la nube... y su paquete de aplicaciones que son, a primera vista, "gratuitas". Las soluciones para compartir documentos, como Google Drive, o para transferir archivos, como Wetransfer, están especialmente extendidas.
Hojas de cálculo
En el caso de las hojas de cálculo (Excel en particular), la TI en la sombra adopta la forma de despliegue de macros, un lenguaje de programación. Si se desarrollan sin la supervisión del departamento informático, existe el riesgo de que la información se pierda el día en que el empleado responsable de la programación abandone la empresa.
Mensajería personal
¿Un empleado envía documentos internos a su buzón de correo electrónico personal para poder seguir trabajando desde casa? Otro ejemplo de TI en la sombra.
Hardware
BYOD( Bring Your Own Device) es una práctica cada vez más extendida. Consiste en utilizar equipos personales (ordenadores, smartphones, tabletas, memorias USB, etc.) en un contexto profesional.
Plataformas de streaming
La TI en la sombra también se manifiesta en el hábito de navegar por plataformas de entretenimiento durante las horas de trabajo. A algunos empleados, por ejemplo, les gusta trabajar con música, por lo que visitan sitios como Deezer o YouTube.
Redes sociales
LinkedIn, e incluso Facebook, se utilizan regularmente en el lugar de trabajo para intercambios profesionales... pero a veces también para compartir documentos.
¿Por qué se ha desarrollado?
La búsqueda del rendimiento...
Según un estudio de la consultora Frost & Sullivan, más del 80% de los empleados admiten utilizar soluciones informáticas sin el acuerdo formal de su departamento de informática. Es más, de la veintena de aplicaciones utilizadas en las empresas, siete no han sido aprobadas previamente.
El fenómeno de las TI en la sombra ha crecido considerablemente en la última década.
Sin embargo, no es fruto de la mala voluntad de los empleados. Están motivados sobre todo por la idea de mejorar la eficacia, sin "perder tiempo en obtener la aprobación del departamento de TI". Además, algunos señalan con el dedo procesos demasiado largos y obsoletos:
Fueron los engorrosos procesos establecidos y utilizados durante más de 25 años los que crearon esta zona gris.
Le Journal du Net
... y el desarrollo de la computación en nube
En nuestro mundo cada vez más digital, el uso de la tecnología se ha convertido en algo habitual. Y cada vez es más fácil hacerlo gracias al desarrollo del Cloud Computing y del SaaS. Google Doc, Skype, Dropbox... son sólo algunos ejemplos.
Los empleados siguen siendo internautas, acostumbrados a descargar o utilizar aplicaciones que son, a priori, gratuitas y que responden instantáneamente a sus necesidades.
En este contexto, la TI en la sombra es más un reflejo que un deseo de romper las reglas establecidas por los Departamentos de TI.
Los peligros de la TI en la sombra
Falta de conformidad
La TI en la sombra puede provocar problemas de conformidad con determinadas normas de TI, como ITIL.
Pero, sobre todo, esta práctica es poco conforme con el RGPD. Es difícil para las empresas garantizar el cumplimiento de la normativa europea si carecen de visibilidad sobre las herramientas que utilizan sus equipos y los datos que pasan por ellas.
Riesgos informáticos
Se dice que las TI en la sombra son responsables de un gran número de ciberamenazas para las empresas, como los ataques de virus informáticos.
La razón es que a los departamentos informáticos les resulta imposible establecer medidas de seguridad para programas o equipos informáticos que desconocen.
Fuga de datos
El uso de herramientas basadas en la nube puede dar lugar a fugas de datos que pueden ser muy perjudiciales para una empresa. Dropbox, por ejemplo, ya ha revelado que se han robado más de 68 millones de ID de usuario.
Las TI en la sombra son, por tanto, una puerta de entrada para que personas malintencionadas accedan a los archivos sensibles de tu organización.
Pérdida de información
Shadow IT tiene un impacto en la estandarización y la interoperabilidad de los sistemas de la empresa. Como consecuencia, la información no circula correctamente entre los empleados y la colaboración parece comprometida.
Además, esta pérdida de información suele producirse cuando un empleado dimite o es despedido. Si, por ejemplo, el empleado gestionaba los expedientes de los clientes con programas u hojas de cálculo desconocidos para el departamento informático, podría perderse información muy valiosa.
Problemas técnicos y operativos
Por último, las tecnologías utilizadas en la TI en la sombra pueden causar problemas operativos y de gestión, sobre todo por el consumo de ancho de banda.
Cuando los departamentos de TI desconocen el alcance de la TI en la sombra en su organización, les resulta difícil planificar con antelación la capacidad, las actualizaciones, etc.
¿Las oportunidades de la TI en la sombra?
Pero hay que relativizar los riesgos de la TI en la sombra, ya que muchos expertos coinciden en que existen oportunidades:
- ahorro de tiempo y productividad para los empleados y, por extensión, para los departamentos de TI,
- identificación simplificada de las necesidades de la empresa por parte del departamento de TI.
Al observar el tipo de soluciones a las que recurren espontáneamente los empleados, el Departamento de TI obtiene información valiosa para alimentar sus reflexiones sobre las herramientas a desplegar, y sobre las posibles alternativas a proponer para que toda la empresa gane en rendimiento... ¡y en seguridad!
Shadow IT: ejemplos de cómo pueden mejorar los departamentos de TI
Diferenciar entre mala y "buena" TI en la sombra
Ante todo, hay que medir lo que es inofensivo y lo que es perjudicial para la empresa.
De este modo, podrá concentrar sus esfuerzos donde los riesgos son mayores en términos de protección de datos y confidencialidad.
Permanezca atento y responda a las necesidades de los empleados
La buena comunicación sigue siendo una de las mejores formas de mejorar. Así que esté atento a las necesidades de los empleados. Sólo ellos tienen el conocimiento de la empresa para identificar las herramientas que necesitan con la mayor precisión posible. Y si no las tienen, las encontrarán ellos mismos.
Al mismo tiempo, siga siendo reactivo e incluso proactivo en sus esfuerzos por mejorar los sistemas de información y comunicación. En otras palabras, demuestre a sus equipos que el Departamento de TI no debe considerarse un obstáculo para la implantación de nuevas soluciones.
Proponer alternativas conformes y fáciles de utilizar
Al escuchar las necesidades, el Departamento de TI está en condiciones de proponer herramientas similares a las utilizadas en la TI en la sombra, pero que sin embargo respetan la hoja de ruta de la empresa en términos de seguridad y conformidad.
A modo de ejemplo, el RGPD representa una oportunidad para alinearse con la normativa teniendo en cuenta al mismo tiempo las prácticas empresariales. Por ejemplo, ¿sus empleados suelen intercambiar archivos utilizando Wetransfer, una aplicación gratuita que no cumple la normativa europea? Entonces diríjalos hacia una solución conforme al RGPD como LockTransfer. Es fácil de usar, gracias a la posibilidad de integrarlo en el correo electrónico, y ofrece un alto nivel de seguridad para los datos compartidos sin que sus empleados lo perciban como una limitación. Otra ventaja es que los datos pueden alojarse en Francia o en los servidores de su empresa.
Al ofrecer este tipo de alternativas, su empresa asume su responsabilidad ante las exigencias normativas y reduce los riesgos de fuga de datos personales cuando se comparten con su ecosistema o internamente.
Establecer sistemas de vigilancia
Se pueden poner en marcha herramientas para detectar la presencia de TI en la sombra dentro de la organización.
Entre estas soluciones técnicas se encuentran los CASB (Cloud Access Security Brokers). Software como Netskope, por ejemplo, proporciona visibilidad de los flujos en la nube, permite supervisar el acceso a información sensible y apoya el cumplimiento del RGPD. También detecta comportamientos de riesgo, de modo que se puede ofrecer a los usuarios una alternativa.
Sensibilizar y formar a los empleados
La falta de concienciación sobre los riesgos que plantea la TI en la sombra sigue siendo una de las principales razones de su crecimiento. Así lo demuestra el hecho de que, según una encuesta de Entrust Datacard, el 42% de los empleados afirman que estarían más dispuestos a integrar nuevas herramientas de forma más conforme a la normativa si los departamentos de TI tuvieran una política más clara al respecto.
Así que tómese su tiempo para concienciar a todos los miembros de la empresa de los peligros de esta práctica, así como de las normas y procedimientos vigentes.
Por último, organice cursos de formación sobre las herramientas aprobadas por el departamento de informática. Porque si los empleados no las entienden, no las adoptarán. Y si no las adoptan, buscarán en otra parte...
Artículo traducido del francés