¿Sabes qué es el Shadow IT o software en las sombras?

La computación en la nube ha facilitado a los usuarios de TI eludir los protocolos de adquisición de TI y acceder a las soluciones que necesitan para cumplir con sus requisitos de trabajo.

Desde la perspectiva del usuario, la supervisión de los departamentos de TI y las políticas estrictas de gobierno a menudo están diseñadas para proteger a la organización, no necesariamente para abordar los desafíos asociados con la funcionalidad laboral prevista de los usuarios de TI en el lugar de trabajo.

El resultado es la práctica de eludir estas limitaciones y acceder a las soluciones de TI requeridas sin el conocimiento del departamento de TI apropiado.

Voy a dedicar este post a explicarte la definición de shadow IT, sus riesgos, ventajas y las principales herramientas para solucionar sus problemas. No te lo pierdas.

¿Qué es el fenómeno Shadow IT o reemplazo de software?

Shadow IT se refiere a tecnologías, soluciones, servicios, proyectos e infraestructura de TI utilizados y administrados sin la aprobación formal y el apoyo de los departamentos de TI internos.

Las tecnologías Shadow IT pueden no alinearse con los requisitos organizacionales y las políticas relacionadas con el cumplimiento, la seguridad, el coste, la documentación, el SLA, la confiabilidad y otros factores clave que determinan el soporte formal de un sistema de TI por parte de los tomadores de decisiones apropiados en la organización.

Como tal, los usuarios de los sistemas de Shadow IT omiten el proceso de aprobación y aprovisionamiento y utilizan la tecnología no autorizada sin el conocimiento de su departamento de TI.

La compra de los sistemas Shadow IT incluye SaaS, PaaS, IaaS y otros servicios en la nube, software preempaquetado y hardware como ordenadores, teléfonos inteligentes, tabletas y otros dispositivos.

La forma más frecuente de los sistemas de reemplazo de software son las ofertas de SaaS, ya que incluyen productos y soluciones únicos para abordar los requisitos específicos de los usuarios de TI que pueden no ser identificados, considerados o abordados por la amplia gama de soluciones de TI comunes que ya son compatibles con la organización.

El conveniente proceso de compra permite a los usuarios de TI suscribirse, consumir y retirar la solución Shadow IT SaaS antes de que la organización identifique la compra o detecte actividad anómala de la red.

¿Por qué lo utilizan los usuarios?

Los usuarios de TI adoptan las prácticas de reemplazo de software solo para cumplir con los requisitos de su trabajo de manera que les facilite la vida.

Parte del problema radica en las organizaciones que no ofrecen soporte adecuado para las tecnologías que requieren los usuarios de TI, o que hacen que el proceso de gobierno, aprobación y aprovisionamiento sea demasiado lento e ineficaz.

Especialmente para las organizaciones impulsadas por DevOps centradas en la innovación continua y el rápido desarrollo de software y ciclos de lanzamiento, puede surgir la necesidad de nuevas herramientas con poca advertencia para que los departamentos de TI identifiquen, examinen y aprueben los productos al ritmo de DevOps.

La comunicación y colaboración inadecuadas entre los desarrolladores y los departamentos de TI reducen aún más la velocidad y la flexibilidad del soporte de TI requerido para aprobar las tecnologías necesarias. Al mismo tiempo, las capacidades de seguridad inadecuadas tienden a evitar que las organizaciones aprueben nuevas tecnologías, incluso cuando quieren apoyar a los desarrolladores con las mejores y más recientes soluciones disponibles en la industria.

Las personas eligen soluciones de TI no aprobadas en lugar de los paquetes de software estándar que ofrecen sus empresas porque el software aprobado:

  • Es menos efectivo que los productos alternativos
  • Es más complicado e incómodo para trabajar que las soluciones de TI alternativas
  • Resulta incompatible con los dispositivos móviles de los empleados.
  • Los empleados no conocen o no entienden los riesgos de seguridad que plantea la TI paralela

Problemas que puede ocasionar el Shadow IT

La presencia de software desconocido y no aprobado dentro de las redes empresariales crea muchos problemas para los departamentos de TI.

Estas son las tres razones más importantes por las que Shadow IT es tan peligroso para tu empresa:

  • Falta de seguridad: tu equipo de TI no puede garantizar la seguridad del software que no sabe que existe dentro de la red corporativa.
  • Descontrolado e inmanejable: sin saber que los productos de TI secundarios están presentes, TI no puede administrarlos de manera efectiva y ejecutar actualizaciones.
  • Potencialmente costoso: muchos software y servicios no aprobados duplican la funcionalidad de los aprobados, lo que significa que la empresa gasta dinero de manera ineficiente.

Ahora echemos un vistazo más de cerca a los riesgos particulares que plantea el software de reemplazo.

Filtraciones de datos

Cuando el software no aprobado se ejecuta dentro de la red, siempre existe el riesgo de perder datos que son críticos para la empresa. Por un lado, existe una posibilidad razonable de que no haya copias de seguridad de estas aplicaciones y de que los empleados que las utilizan no hayan pensado en crear una estrategia de recuperación adecuada.

Si sucede algo, se pueden perder datos importantes y habrá poca o ninguna posibilidad de restaurarlo.

Por otro lado, el software que no está controlado por el departamento de TI plantea un mayor riesgo de acceso ilegítimo a los datos porque el administrador no tiene control sobre quién accede a estas aplicaciones.

Cuando se usan soluciones no aprobadas, algunos empleados pueden ver o modificar datos a los que se supone que no tienen acceso. Mientras no tengas control total sobre lo que sucede dentro de tu red, existen todas estas posibilidades.

Incumplimiento de normativas

El cumplimiento normativo es crítico para muchas organizaciones. Hay muchas normas que las organizaciones deben cumplir, desde la Administración de activos de software (SAM) hasta el Reglamento general de protección de datos (RGPD).

Para las empresas reguladas, el uso de TI en la sombra puede dar lugar a grandes multas por violar los requisitos de cumplimiento.

Gasto de tiempo y dinero

El uso de software de reemplazo produce mayores costes para las empresas sobre todo en trabajadores que no son de TI en márketing, finanzas o recursos humanos. Estos trabajadores pierden mucho tiempo gestionando y configurando software y sistemas sin estar preparados para ello, y comprobando la validez de determinados datos.

Vulnerabilidades

Los proveedores de software lanzan constantemente nuevos parches para resolver vulnerabilidades y corregir errores encontrados en sus productos. Por lo general, depende del equipo de TI de la compañía vigilar dichas actualizaciones y aplicarlas de manera oportuna.

Pero cuando se trata de software TI en la sombra, los administradores no pueden mantener todos estos productos y dispositivos actualizados simplemente porque desconocen su existencia.

Ineficiencia

Los cambios en el hardware y el software dentro del shadow IT podrían no someterse a ninguna prueba. Los sistemas y soluciones implementados directamente pueden acelerar los procesos individuales (una razón común para introducir TI en la sombra), pero a la inversa, una serie de otros procesos comerciales pueden detenerse.

En el peor de los casos, esto podría significar que los recursos de TI críticos para el negocio ya no están disponibles. Además, Shadow IT significa un doble esfuerzo de administración y mantenimiento de los sistemas y el software, si es que se realiza algún mantenimiento dentro del entorno shadow IT.

Beneficios de shadow IT

Hay algunos casos en los que las ventajas potenciales de recurrir a aplicaciones comunes basadas en la nube a nivel corporativo (que en una etapa inicial se consideran Shadow IT) son mayores que los riesgos asociados, si la infraestructura de soporte cumple con los requisitos de seguridad, redundancia y disponibilidad :

  • Almacenamiento y copias de seguridad: el proveedor los garantizará, por lo que los servicios inherentes y los costes operativos son una fracción de la infraestructura de almacenamiento local.
  • Propiedad de los datos: en un entorno en la nube, cada archivo tiene un propietario, así como metadatos completos sobre el usuario que lo compartió y de dónde, por lo que se garantiza la auditoría de responsabilidad.
  • Retención de datos: existe un registro completo de la creación y el acceso a los archivos.
  • Clasificación de datos: la mayoría de los servicios basados ​​en la nube permiten una amplia gama de etiquetas de clasificación.
  • Control de acceso: el entorno de la nube permite de forma predeterminada la definición de categorías de usuarios al tiempo que habilita métodos de autenticación.
  • Dispositivo móvil / control de aplicaciones: normalmente «nativo» en entornos de nube.
  • Cifrado de forma predeterminada: los datos se cifran de manera predeterminada del lado del proveedor de servicios.
  • Federación: es posible hacer que la opción de acceso de SSO corporativo sea la única forma de acceder al entorno.

¿Cómo evitar problemas por reemplazo de software?

Shadow IT es inevitable. Un promedio de 30 a 40 por ciento de las compras en la empresa involucra gastos de TI de la sombra. Como resultado, las organizaciones deben tomar medidas estratégicas para reducir la necesidad y el riesgo asociados con las soluciones Shadow IT.

Comunicación y colaboración

Descubre las necesidades de los usuarios de TI. Permite una comunicación fácil, conveniente y efectiva entre los departamentos de TI y los usuarios de TI, a fin de comprender las verdaderas necesidades, la experiencia y los comentarios de los usuarios finales sobre las tecnologías existentes y nuevas requeridas.

Educación y capacitación

informa a los usuarios sobre los riesgos asociados con Shadow IT y cómo la organización puede ayudar a cumplir con los requisitos de tecnología sin tener que pasar por alto los protocolos de gobierno estándar.

Los empleados conscientes de la seguridad que comparten la visión de la organización hacia la seguridad de TI tienen más probabilidades de comprender los riesgos asociados con Shadow IT y se les alentará a encontrar soluciones adecuadas para abordar sus necesidades tecnológicas.

Agiliza la gobernanza

Desarrolla una estructura de gobernanza de TI que facilite la innovación mediante el uso de nuevas tecnologías identificadas, examinadas, disponibles y aprovisionadas para los usuarios de TI a un ritmo rápido.

Desarrolla políticas centradas en el usuario y anticipa sus requisitos. Equilibra la aplicación de políticas con la flexibilidad para evolucionar y responder a las cambiantes necesidades de TI de los usuarios finales.

Usa la tecnología para descubrir Shadow IT

Implementa soluciones tecnológicas para monitorizar actividades anómalas de la red, compras inesperadas, migraciones de datos y cargas de trabajo, patrones de uso de TI y otros indicadores de las prácticas de Shadow IT.

El descubrimiento proactivo puede permitir a las organizaciones mitigar los riesgos de Shadow IT más rápido.

Evaluar y mitigar los riesgos

No todas las tecnologías Shadow IT representan la misma amenaza. La evaluación continua de las tecnologías en uso en el lugar de trabajo puede permitir a las organizaciones elaborar estrategias de actividades de mitigación de riesgos basadas en la sensibilidad al riesgo de cada tecnología Shadow IT.

Apps y programas para evitar los riesgos de las TI en la sombra

Existen diversas aplicaciones y programas con los que podemos evitar los riesgos de shadow IT. Vamos a ver las más importantes.

Lifesize

Lifesize es una compañía de telecomunicaciones de audio y vídeo de Estados Unidos que ofrece terminales y accesorios de videoconferencia de alta definición, teléfonos con pantalla táctil y una plataforma de colaboración de vídeo basada en la nube.

La aplicación permite obtener las mejores soluciones de conferencias de audio y vídeo de la industria con hardware para salas de reuniones, servicio en la nube, mantenimiento y soporte a un precio fijo y predecible.

Unify Square

El software y los servicios de Unify Square optimizan y mejoran las implementaciones de Microsoft Teams, Slack y WorkPlace más grandes del mundo. En pocas palabras, ofrece experiencias sobresalientes para reuniones de empresa, chats y convocatorias de empresas.

Su oferta principal de software, PowerSuite, crea un tablero unificado para mostrar información procesable y ayudar a administrar aplicaciones de colaboración para administrar riesgos y ayudar a prevenir violaciones de seguridad de datos.

Ancoris

Se trata de un proveedor de servicios en la nube que guía a sus usuarios en el uso de la nube, lejos de los sistemas heredados a servicios móviles y en la nube asequibles.

Aquí hay cinco razones por las cuales los clientes confían en sus servicios:

  • Reputación como un proveedor de servicios confiable y premios para demostrarlo.
  • Asesor de tecnología confiable para el sector público y organizaciones comerciales.
  • Calificaciones consistentemente altas para el servicio al cliente y soporte
  • Experiencia en seguridad, privacidad y cumplimiento.
  • Capacidad para comprender su negocio y hablar con el personal de la línea de negocios de manera efectiva

Ekran System

Ekran System fue establecido en 2013 por un grupo de especialistas en seguridad digital con experiencia. A finales de 2013, se lanzó la primera versión oficial de Ekran Systems. La compañía, respaldada por la Commonwealth de Virginia e inversores privados, se centra en el desarrollo de soluciones de seguridad interna y en entregarlas a clientes de todo el mundo a través de su red global de socios.

Proporciona a los clientes una herramienta eficiente y fácil de usar para abordar todas sus necesidades de monitorización de amenazas internas, así como mejorar su cumplimiento y cumplir con los requisitos de auditoría de seguridad. Desde su inicio en 2013, Ekran System crece continuamente atrayendo clientes tanto en PYMES como en grandes segmentos de empresas que trabajan con pequeñas empresas, instituciones públicas y educativas.

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.