Hoy en día, Shadow IT es una práctica increíblemente común dentro de la mayoría de las organizaciones. Aunque el término no augura nada bueno, Shadow IT es una parte importante de la mayoría de las organizaciones.
Cuando los trabajadores recurren a software o sistemas basados en la nube que no han sido revisados ni aprobados previamente por los equipos de TI y seguridad de su empresa, la información de propiedad exclusiva puede volverse vulnerable a nuevos riesgos. Las aplicaciones empresariales, tales como Evernote y Dropbox, cuyo propósito es ayudar con la productividad en el lugar de trabajo pueden poner en riesgo a toda una organización debido a la exposición y los problemas de cumplimiento.
Blue Coat Systems, empresa líder en ciber seguridad, comparte lo bueno, lo malo y lo feo del Shadow IT:
LO BUENO (entre comillas)
Eficiencia Los empleados que se involucran en Shadow IT no necesitan esperar solicitudes de trabajo de TI. Generalmente, constituye un proceso mucho más optimizado que permite a los empleados realizar tareas relacionadas con el trabajo en forma rápida, lo que posibilita una mentalidad de «simplemente hacerlo».
Innovación Por otro lado, Las personas que se esfuerzan por construir y utilizar técnicas de Shadow IT reflejan un sofisticado nivel de innovación. Estos sistemas son únicos y, a menudo, proveen la base para prototipos organizacionales posteriores.
Calidad Con el rápido crecimiento de Shadow IT, las aplicaciones de consumidor ofrecen una calidad de servicio que a menudo las aplicaciones tradicionales en las instalaciones no pueden igualar. Esto es parte del motivo por el que se estima que el uso de Shadow IT es 10 veces mayor al uso «aprobado» de la nube.
LO MALO
Falta de supervisión Los departamentos de TI y seguridad pierden el control del cumplimiento y la seguridad de las aplicaciones. Esto representa una situación muy peligrosa para la empresa, especialmente para sus datos confidenciales.
Tensión interna Los departamentos de TI con frecuencia tienen que rechazar las solicitudes de los empleados para usar aplicaciones de nube externas por motivos de seguridad o ancho de banda (p. ej., los recursos de TI no están disponibles para revisar y estandarizar la aplicación). Los empleados, en respuesta, recurren a aplicaciones que pueden introducir riesgos de seguridad y cumplimiento, cuando sus solicitudes son rechazadas.
Adaptación lenta de la empresa Si las empresas no pueden supervisar el uso de la nube de los empleados, no pueden determinar qué actualizaciones se deben hacer en las aplicaciones de la empresa. Esto crea un ciclo en el que los empleados sienten la necesidad de encontrar cada vez más aplicaciones de Shadow IT, mientras las empresas permanecen con los servicios existentes en las instalaciones.
LO FEO
Filtraciones Al no haber garantías de seguridad para las aplicaciones de Shadow IT, los datos confidenciales o regulados de la empresa están expuestos al riesgo de filtración (sin capacidad para reconocer/determinar la pérdida de datos) o robo. Dados los ataques más frecuentes a sistemas basados en la nube, así como los nuevos requisitos de cumplimiento estrictos que exigen el uso de técnicas de protección como el cifrado o la tokenización en los datos que se trasladan a sistemas basados en la nube, esto plantea un riesgo comercial grave para la empresa.
Desperdicio A menudo, las empresas invierten mucho en un sistema en particular y asignan un presupuesto específico a su departamento de TI. Shadow IT desvía el gasto a varios sistemas y aplicaciones diferentes que quizás no satisfacen por completo las necesidades de la empresa. Prácticamente el 40 % del gasto de TI ahora se realiza fuera de los departamentos de TI de las empresas, y la falta de control puede dar lugar a importantes ineficiencias.
Inconsistencia Los cálculos y las operaciones realizados por diferentes aplicaciones de nube pueden presentar pequeñas diferencias que se acumulan en una empresa. Sin estandarización, las empresas corren el riesgo de contar con información y datos erróneos durante un largo período.
Dado lo anterior, las empresas inteligentes recurren a nuevas herramientas de seguridad en la nube para maximizar la parte buena y minimizar la parte mala y los problemas de la adopción de la nube.
La parte buena TI de nube que cumple con los requisitos
La buena noticia es que existe una manera de que los equipos de Seguridad y TI de la empresa aprovechen «la parte buena» del uso de Shadow IT mientras hacen que su adopción salga a la luz. Al adoptar las soluciones de agente de seguridad de acceso a la nube (CASB), las empresas obtienen visibilidad de todo el uso de la nube, pueden supervisar qué datos se utilizan en la nube, identificar el comportamiento anómalo de los usuarios de la nube y establecer políticas para restringir el acceso a la nube o proteger los datos confidenciales en la nube a través de técnicas como el cifrado y la tokenización.
