TI en la sombra: Una guía detallada

¿Qué es la TI en la sombra?

La TI en la sombra abarca el uso de hardware, software y sistemas digitales dentro de una organización sin la aprobación o el conocimiento del departamento central de TI. Este fenómeno incluye una serie de actividades, desde el empleo de software y hardware no autorizados hasta el uso de herramientas aprobadas de formas no aprobadas, como compartir archivos a través de plataformas no sancionadas o acceder a herramientas gestionadas por la empresa a través de cuentas personales.

Hasta hace poco, los departamentos de TI tenían un control más o menos completo sobre las decisiones tecnológicas, pero la aparición de las aplicaciones en la nube, los dispositivos móviles y la facilidad para adquirir servicios de suscripción han provocado un aumento significativo de la TI en la sombra. La práctica de la TI en la sombra suele ser una respuesta a la incapacidad de los departamentos de TI centralizados para satisfacer las diversas necesidades de los distintos departamentos, especialmente en las grandes organizaciones. La TI en la sombra crea potencialmente un entorno de TI paralelo, separado de las actividades de TI oficialmente autorizadas, que provoca graves implicaciones para la seguridad, el cumplimiento y la eficiencia general de TI.

Evolución de la TI en la sombra

Primeros años (antes del 2000)

• Mayor accesibilidad a la tecnología: Con la llegada de los equipos personales en las décadas de 1980 y 1990, la tecnología se hizo más accesible al empleado promedio.
• Crecimiento de las herramientas básicas de software: Las herramientas básicas de software, como Microsoft Excel y Word, se convirtieron en elementos básicos en el lugar de trabajo.
• Recursos de TI y tiempos de respuesta limitados: Durante las décadas de 1980 y 1990, muchos departamentos de TI carecían de recursos suficientes y estaban desbordados de solicitudes

Aceleración y expansión (2000-2010)

• Auge del Internet y de los servicios en la nube: El rápido auge de Internet facilitó a los empleados el acceso a una amplia gama de aplicaciones y recursos sin pasar por los departamentos de TI.
• Consumerización de las TI: La mezcla del uso personal y profesional de la tecnología, caracterizada por empleados que llevan sus propios dispositivos (como smartphones y tabletas) al trabajo, contribuyó significativamente al crecimiento de la TI en la sombra.
• Los comienzos del trabajo remoto: A medida que el trabajo remoto empezó a volverse común, los empleados empezaron a usar más sus propios dispositivos y software, lo que condujo a una mayor descentralización del control de TI.

Era moderna (2010-actualidad)

• Computación avanzada en la nube y proliferación del SaaS: La explosión de las aplicaciones de SaaS hizo más fácil que nunca para los empleados encontrar y utilizar software sin la intervención de TI.
• Trabajo remoto y pandemia de COVID-19: La pandemia ha sido un importante catalizador del crecimiento de la TI en la sombra, que ha aumentado significativamente la dependencia de dispositivos personales y soluciones de TI externas.
• Aumento de la complejidad de las TI y de las necesidades especializadas: A medida que las organizaciones crecen y evolucionan, las necesidades de TI se vuelven más complejas y variadas.

Ejemplos de TI en la sombra

Para identificar la TI en la sombra dentro de una empresa se deben tener en cuenta las actividades habituales del empleado y los obstáculos que enfrenta en sus tareas diarias. Formular preguntas clave sobre herramientas de creación de archivos, aplicaciones de comunicación, colaboración documental y medidas de seguridad puede revelar las instancias de TI en la sombra. La TI en la sombra, que comprende software, aplicaciones y servicios de terceros no autorizados, se manifiesta de diversas formas en el lugar de trabajo. Entre las instancias más destacadas se incluyen:

• Herramientas de productividad como Trello y Asana
• Almacenamiento en la nube y plataformas para compartir archivos como Dropbox, Google Docs, Google Drive y Microsoft OneDrive
• Aplicaciones de comunicación y redes como Skype, Slack, WhatsApp, Zoom, Signal, Telegram

Estas herramientas son adoptadas rápidamente por los equipos debido a su carácter intuitivo, su rentabilidad o su disponibilidad gratuita. El fenómeno se extiende a dispositivos personales como smartphones, computadores portátiles, unidades USB y discos duros externos, facilitado por los programas "traiga su propio dispositivo" (BYOD). Los sistemas tradicionales de gestión de activos se enfrentan a retos a la hora de detectar y supervisar estos dispositivos.

Las personas pueden conectar el correo electrónico del trabajo a dispositivos personales para saltarse los protocolos de seguridad, mientras que otras pueden optar por herramientas no autorizadas en lugar de las autorizadas por la empresa para gestionar proyectos o editar PDF, respectivamente.

El porqué de la prevalencia de la TI en la sombra

Una de las principales razones de la evolución de la TI en la sombra es el simple deseo de acceder rápidamente a la tecnología que engloba servicios en la nube adaptados a las necesidades específicas de la empresa, a menudo respaldados por equipos de terceros o internos, pasando por alto la TI corporativa. Esto incluye aplicaciones de uso común como Google Docs, Slack y dispositivos bajo directivas de "traiga su propio dispositivo" (BYOD). Los empleados, a veces inconscientes de los riesgos, pueden adoptar TI en la sombra por sus beneficios percibidos en cuanto a la eficiencia o la ventaja competitiva. Las instancias de TI en la sombra van de benignas a potencialmente dañinas, como el robo de datos.

El aumento de la TI en la sombra también se ve impulsado por otros factores, como los largos procesos de aprobación de TI, las directivas de seguridad restrictivas, junto con la facilidad de uso de aplicaciones de consumo basadas en la nube. Los malentendidos sobre el tiempo que se tarda en adquirir soluciones de TI hacen que se pasen por alto los procedimientos estándar. Una parte significativa de los empleados utiliza herramientas de comunicación no aprobadas, y la TI en la sombra ahora constituye una parte importante del gasto empresarial. Además, los empleados y los equipos suelen recurrir a la TI en la sombra para aumentar la eficiencia y la productividad, impulsados por la familiaridad con ciertas herramientas y la creencia de que éstas pueden superar a las opciones aprobadas. Muchas veces, los equipos, no sólo los individuos, suelen saltarse los procesos de TI para adoptar rápidamente nuevas tecnologías que consideran esenciales, como servicios en la nube o software específico. Gartner reporta que el 74% de las compras de tecnología se financian, al menos parcialmente, fuera de los departamentos de TI, lo que pone de relieve el cambio hacia la adquisición de tecnología dirigida por las empresas..

Retos e implicaciones de la TI en la sombra

La TI en la sombra, a menudo impulsada por el deseo de comodidad, introduce una serie de riesgos y retos potenciales para las organizaciones, lo que conlleva diversos costos y consecuencias. Algunos de los principales retos de la TI en la sombra son:

1. Implicaciones financieras

La TI en la sombra puede suponer costos adicionales para las organizaciones debido al uso de tecnología no autorizada y software empresarial equivalente. Esto puede llevar a gastar más de la cuenta en productos duplicados y, potencialmente, a pagar tarifas superiores en lugar de descuentos negociados.

2. Riesgos de ciberseguridad y cumplimiento

La falta de revisiones o evaluaciones de seguridad adecuadas en la adopción de TI en la sombra puede introducir vulnerabilidades a los ataques cibernéticos y al incumplimiento de los requisitos normativos. Esta exposición pone en peligro los datos sensibles y la propiedad intelectual.

3. Problemas de rendimiento y experiencia del usuario

La TI en la sombra suele eludir el riguroso proceso de revisión de TI, lo que podría provocar problemas relacionados con el rendimiento y la experiencia del usuario en el entorno existente.

4. Problemas con el proveedor y la licencia

Implementar la tecnología sin la participación de TI puede dar lugar a problemas con los proveedores, especialmente si las aplicaciones no autorizadas carecen de las licencias necesarias. Esto puede acarrear gastos considerables.

5. Oportunidades perdidas

Elegir la TI en la sombra en lugar de los canales oficiales de TI puede hacer que el equipo de TI pierda oportunidades de desarrollar tecnologías únicas y competitivas internamente o de realizar compras más estratégicas.

6. Problemas con las personas

Gestionar a los presuntos usuarios de TI en la sombra, retener a los expertos legales para los litigios relacionados con TI y hacer frente a los posibles costos legales en los casos de despido del empleado por infracciones de seguridad.

7. Tecnología y funcionamiento de las instalaciones

Gastos relacionados con la adquisición de tecnología especializada para supervisar la TI en la sombra, desmantelar las actividades no autorizadas, reconfigurar los recursos de red y resolver los problemas de infraestructura de los centros de datos.

La TI en la sombra también puede exacerbar las vulnerabilidades, aumentando la probabilidad de que se produzcan ransomware y otros incidentes de seguridad de la información, lo que se suma a la carga general de riesgos y costos para las organizaciones. Aunque la TI en la sombra puede ofrecer comodidad temporal a algunos empleados, sus implicaciones más amplias para la seguridad, el cumplimiento, la eficiencia operativa y la estabilidad financiera son significativamente adversas y se deben gestionar de forma rigurosa.

Funciones esenciales de las soluciones para la gestión de la TI en la sombra

Monitoreo integral del tráfico en la nube

Obtenga una visibilidad y un control totales sobre el uso de las aplicaciones en la nube con la capacidad de monitorear el tráfico web de todos los sitios y servidores web. Esta función engloba técnicas como la inspección profunda de paquetes para verificar la integridad del tráfico de la red y emplea métodos de cifrado robustos para mantener unas comunicaciones seguras en todo el entorno de la nube.

Uso y detección de aplicaciones no autorizadas

Detecte y gestione las aplicaciones en la sombra, aquellas que no están oficialmente autorizadas o prohibidas por su organización. Obtenga información detallada y granular sobre el uso de la aplicación, identifique las principales aplicaciones y usuarios de la nube en función de su actividad y mitigue los posibles riesgos para la seguridad.

Gestión de las aplicaciones sancionadas y prohibidas

Clasifique de forma eficiente las aplicaciones en la nube como sancionadas o prohibidas según sus directivas de seguridad con una interfaz fácil de usar para añadir o eliminar aplicaciones. Monitoree las aplicaciones sancionadas en busca de tráfico anómalo para prevenir ataques, y bloquee las aplicaciones no fiables o prohibidas para salvaguardar su red.

Acceso del usuario e información de la actividad

Analice el comportamiento del usuario y los patrones de acceso a las aplicaciones en la nube con información procesable. Esto ayuda a identificar posibles amenazas internas y garantiza el cumplimiento de las directivas de seguridad. Supervise métricas como los principales usuarios por recuento de solicitudes, el acceso a aplicaciones prohibidas y la principal actividad en la sombra por usuario.

Monitoreo de la carga de archivos y análisis de seguridad

Supervise todas las actividades de carga de archivos para detectar las actividades web maliciosas y el robo de datos. Monitoree las solicitudes de carga de archivos correctas y fallidas, con informes especializados para los principales servicios de almacenamiento en la nube como SharePoint, OneDrive y Dropbox. Esta función es crucial para prevenir las infracciones de seguridad de los datos y garantizar unas prácticas seguras a la hora de compartir archivos.

Establecer directivas para la TI en la sombra

Para superar los retos que plantea la TI en la sombra y establecer un marco para un uso seguro, conforme y eficiente de la tecnología, las organizaciones pueden instituir una directiva de TI en la sombra. Esta directiva sirve como conjunto de directrices y protocolos elaborados para abordar la adopción, aprobación y gestión de nuevas tecnologías, con el objetivo de mitigar los riesgos, controlar los costos y garantizar la integridad operativa. Establecer una sólida directiva de TI en la sombra es fundamental para una organización, ya que guía la adopción, aprobación y gestión del nuevo hardware y software.

Elaboradas por los departamentos de TI, estas directrices especifican las aplicaciones, dispositivos y tecnologías aceptables para el trabajo, reduciendo el incumplimiento y demostrando la conformidad durante las auditorías de TI. La colaboración es clave para crear una directiva eficaz sobre la TI en la sombra, en la que participen los departamentos de TI, seguridad, RRHH, asesoría jurídica y auditoría. Abordar las cuestiones relativas a las personas, los procesos, las operaciones tecnológicas, las operaciones de seguridad, las operaciones de las instalaciones, los resultados financieros y el rendimiento de la empresa es crucial para elaborar una directiva integral. Además, se puede recurrir a expertos externos para hacer frente a las perturbaciones causadas por los eventos significativos de TI en la sombra.

Pasos clave para crear una directiva eficaz para la TI en la sombra:

1. Marco de la directiva:

La directiva debe abarcar secciones clave como el objetivo, los destinatarios, la propiedad, la metodología de monitoreo y aplicación, la rendición de cuentas y la responsabilidad del empleado.

2. Establecer procesos de adquisición de TI:

Un componente fundamental de una sólida directiva para la TI en la sombra es crear un proceso de adquisición de TI. Se trata de definir procedimientos claros para proponer y aceptar sistemas o proyectos de TI en la sombra.

3. Educación y soporte al usuario:

Educar a los usuarios es esencial para fomentar la comprensión y recabar el apoyo a la directiva de TI en la sombra. Este paso permite a TI explicar los riesgos asociados, proporcionando ejemplos prácticos de las prácticas aceptables.

4. Identificación y clasificación continuas:

Es imperativo identificar, enumerar y clasificar continuamente los activos de TI en la sombra. Las categorías pueden incluir: sancionado, autorizado (baja peligrosidad) y prohibido (alta peligrosidad).

5. Colaboración polifacética:

La colaboración en toda la organización es vital para establecer una directiva integral de TI en la sombra. Esto abarca desde las consideraciones de seguridad hasta los RRHH, los procesos operativos de TI, los procesos operativos tecnológicos, los procesos financieros, los procesos de seguridad, las relaciones públicas y las comunicaciones, y la formación continua al empleado.

6. Implicaciones financieras:

Las implicaciones financieras y las posibles áreas de incumplimiento se deben abordar en colaboración con el departamento de contabilidad. Esto garantiza un enfoque holístico para gestionar los aspectos financieros de la TI en la sombra.

7. Educación y comunicación continuas con el empleado:

La formación continua al empleado es crucial, cubriendo los riesgos de la TI en la sombra, los detalles de la directiva, la tecnología aprobada y cómo identificar y responder a las amenazas a la seguridad.

¿Cómo gestionar la TI en la sombra?

Para gestionar eficazmente la TI en la sombra dentro de una organización, es esencial adoptar un enfoque holístico y proactivo.

Estas son algunas estrategias clave que puede adoptar:

1. Implementar herramientas para detectar la TI en la sombra:

Utilice herramientas como el software para el descubrimiento de TI en la sombra y los agentes de seguridad de acceso a la nube (CASB) para monitorear y analizar tanto los sistemas aprobados como los no autorizados. Esto incluye emplear soluciones para monitorear continuamente y alertar instantáneamente sobre las amenazas cibernéticas.

2. Mejorar la formación en seguridad y gestión de riesgos:

Sensibilice a sus empleados mediante sesiones de formación exhaustivas. Infórmeles sobre los riesgos asociados a la TI en la sombra y las mejores prácticas para usar de forma segura la tecnología, incluidos los peligros de utilizar el correo electrónico personal para los recursos corporativos.

3. Fomentar la comunicación abierta y la colaboración:

Promueva una cultura de diálogo abierto entre los equipos de TI y los empleados. Comprenda sus necesidades y preferencias tecnológicas, fomentando un enfoque colaborativo para seleccionar y utilizar los recursos de TI. El diálogo regular con los responsables de los departamentos ayuda a alinear los requisitos de seguridad con las necesidades de TI.

4. Desarrollar directivas de TI y marcos de gobernanza exhaustivos:

Establezca directivas de TI claras para toda la empresa y un marco de gobernanza práctico que tenga en cuenta la flexibilidad laboral y las necesidades de los departamentos. Esto también debería incluir la actualización de las directivas de "traiga su propio dispositivo" (BYOD) y el establecimiento de protocolos de respuesta rápida a las detecciones de TI en la sombra.

5. Implementar controles para el acceso y la aplicación:

Aplique controles de acceso estrictos, como la autenticación multifactor, y mantenga un inventario de todas las aplicaciones en uso. Bloquee las aplicaciones peligrosas y establezca una tienda interna de aplicaciones que contenga el software aprobado para reducir la confusión y los riesgos.

6. Realizar auditorías y evaluación de riesgos regularmente:

Realice auditorías periódicas para identificar software o servicios no autorizados y evalúe cada instancia de TI en la sombra individualmente para comprender los riesgos específicos. Implemente medidas proactivas para la detección y mitigación continuas.

7. Fomentar la adopción de la nube y dar prioridad a la experiencia del usuario final:

Apoye la integración y adopción de la nube al tiempo que mantiene el control sobre la selección de aplicaciones en la nube. Comprenda las preferencias del empleado e invierta en herramientas que se ajusten a sus necesidades para obtener beneficios a largo plazo.