• La TI en la sombra hace referencia a los sistemas de TI y las aplicaciones de software que los empleados de la empresa utilizan sin el conocimiento del departamento de TI.
  • Surge cuando la TI oficial no satisface las necesidades de los empleados y éstos buscan soluciones por sí mismos.
  • Como la TI en la sombra no está integrada en la gobernanza de la TI ni en la gestión de los servicios de TI, alberga grandes riesgos para la seguridad de la TI.
  • La TI en la sombra puede evitarse contando con un departamento de TI bien equipado, una comunicación abierta, directrices claras y soluciones modernas sin código, entre otras cosas.

La TI en la sombra se refiere a los sistemas de TI y las aplicaciones de software que los empleados de los departamentos de una empresa utilizan sin el conocimiento del departamento de TI para complementar o eludir la infraestructura de TI oficial.

Por definición, la TI en la sombra no está integrada ni técnica ni estratégicamente en la gestión de servicios de TI , lo que conlleva riesgos de seguridad y otros problemas. Derivado del inglés Shadow IT, el término pretende expresar el hecho de que los empleados dejan a oscuras a las instancias superiores de la empresa sobre el uso de herramientas y procesos digitales ejecutados en secreto.

shadow IT

Ejemplos de TI en la sombra los hay a montones. He aquí algunos ejemplos de TI en la sombra que todo el mundo conoce y que pueden darse en cualquier empresa:

¿Escribir rápidamente un correo electrónico con ChatGPT, traducir el informe anual con Google Translator o crear una nueva presentación con Canva? Muchos empleados utilizan por descuido herramientas de IA supuestamente inofensivas sin cuestionárselo ni informar al departamento informático de la empresa. De lo que la mayoría no se da cuenta es de que las herramientas pueden utilizar los textos introducidos para mejorar sus servicios o entrenar su modelo de IA, lo que alberga un gran peligro potencial cuando se trata de datos sensibles. El uso de chatbots, traductores en línea y generadores de imágenes está actualmente en alza y da lugar cada vez más a una TI en la sombra crítica con riesgos para la empresa.

Las aplicaciones web mencionadas también implican transferencia de datos, normalmente a EE.UU., donde se encuentran los servidores de los conocidos proveedores de la nube. Allí, los flujos de datos pueden ser vigilados por las autoridades estadounidenses sin motivo. El mismo problema se produce cuando los empleados utilizan almacenamiento en la nube como Dropbox, WeTransfer o Google Drive para compartir archivos rápidamente. Esto rara vez ocurre de forma conforme con la protección de datos (de acuerdo con el GDPR de la UE), ya que todas las personas (por ejemplo, empleados o clientes) deben haber dado su consentimiento para el tratamiento y la transferencia de sus datos.

Los empleados tampoco deben utilizar messengers (por ejemplo, WhatsApp), chat rooms (por ejemplo, Slack) o herramientas de videoconferencia (por ejemplo, Zoom) para la comunicación profesional sin la comprobación y aprobación de TI. La TI en la sombra es especialmente crítica en este caso, ya que las herramientas de comunicación no autorizadas pueden dar a los atacantes acceso al contenido confidencial de las conversaciones. Los profesionales expertos en TI, por su parte, prestan atención al cifrado de extremo a extremo y a las actualizaciones periódicas para cerrar las brechas de seguridad.

shadow IT en la comunicación

También hay ejemplos de TI en la sombra en los que es deseable el uso del propio software. Imaginemos una empresa que depende por completo de Microsoft: el departamento de contabilidad utiliza bases de datos Access, el departamento de RRHH mantiene los datos de los empleados en hojas de cálculo Excel y el departamento de ventas registra los datos de los clientes en un CRM de Microsoft Dynamics. Esto revela otro problema: si TI no coordina el desarrollo, cada departamento cocina su propia sopa. El resultado es un caos de procesos diferentes, aplicaciones autodesarrolladas y silos de datos que no están integrados entre sí y son desconocidos para el resto de la empresa.

Si los empleados utilizan teléfonos inteligentes o PC privados para trabajar o los departamentos adquieren ellos mismos dispositivos como impresoras o auriculares, esto también es TI en la sombra. Al igual que los ejemplos de TI en la sombra mencionados anteriormente, el hardware que no forma parte del inventario oficial de la empresa también escapa a cualquier control, aunque éste fuera necesario. Esto se debe a que los dispositivos externos que se conectan a las redes de la empresa ofrecen portales potenciales para el malware.

ejemplos de TI en la sombra: hardware privado

A continuación, descubrirá por qué la TI en la sombra se da repetidamente en las empresas y qué puede hacer al respecto.

La necesidad es la madre de la invención: Si existe cierta insatisfacción con las soluciones de TI proporcionadas, esto puede llevar a que los empleados más avispados busquen por sí mismos soluciones a su problema y complementen la TI oficial con la TI en la sombra. De este modo, no tienen que dedicar tiempo a formular sus necesidades y esperar a que el departamento de TI las ponga en práctica.

Esta impaciencia es comprensible desde el punto de vista del usuario, porque la mayoría de los departamentos están bajo presión para rendir. Sin embargo, sin procesos digitales eficaces, no pueden prestar el servicio requerido. Esperar demasiado tiempo la ayuda del departamento de TI es una molestia que reduce la productividad de los empleados y frena el crecimiento de la empresa.

La TI en la sombra puede surgir como resultado de

  • Comunicación y coordinación poco frecuentes entre el departamento de TI y los departamentos
  • Amplia formalización (por ejemplo, procesos de solicitud complejos y largos)
  • Falta de presupuesto para nuevos programas informáticos que satisfagan las necesidades de los usuarios
  • Falta de personal informático o exceso de trabajo que apenas puede atender las solicitudes
  • Estructura empresarial descentralizada con un alto grado de autonomía para los distintos departamentos
  • Empleados que no son conscientes de los riesgos de la TI en la sombra

Por suerte, podría pensar, los empleados interesados en TI de sus departamentos toman la solución de los problemas en sus propias manos. Siempre que esta iniciativa sea oficialmente deseada y usted canalice el compromiso por cauces ordenados, esto puede ser cierto. Sin embargo, si sus empleados utilizan herramientas y programas adicionales sin consultar al departamento de TI, esto puede resultar contraproducente.

riesgos de la TI en la sombra

La TI en la sombra, que suele estar peor diseñada y probada que los sistemas desarrollados profesionalmente, alberga altos riesgos en términos de seguridad informática, protección e integridad de los datos. Si los departamentos desarrollan una vida propia e introducen su propio software sin el conocimiento del departamento de TI, violan rápidamente las normas de cumplimiento internas y externas.

Pérdida de control

La TI en la sombra escapa a la gobernanza de TI. Si la gestión de los servicios informáticos no tiene una visión general de las herramientas utilizadas, no puede incluirlas en las estrategias de soporte y de futuro, las migraciones o las actualizaciones.

Mala calidad

Las TI en la sombra rara vez están debidamente documentadas, probadas y mantenidas. Los errores del sistema o las aplicaciones inestables pueden ser el resultado si las soluciones de TI se montan rápidamente y sin conocimientos especializados.

Soluciones aisladas y silos de datos

Los departamentos pueden construir engorrosas soluciones aisladas que no están integradas con otros sistemas. Los silos de datos no sincronizados hacen que los procesos sean ineficaces y redundantes.

Riesgos para la seguridad

Los sistemas informáticos en la sombra no suelen cumplir las normas de seguridad de toda la empresa (por ejemplo, encriptación, autenticación), lo que los hace vulnerables a los ciberataques y a las fugas de datos. Las instalaciones no controladas también pueden abrir la puerta al malware.

Incumplimiento de la normativa

Las TI en la sombra suelen ser incompatibles con la protección de datos de acuerdo con el GDPR, las certificaciones ISO y otros requisitos. Con los servicios en la nube, la ubicación de los servidores fuera de la UE puede ser problemática.

Costes impredecibles

Sin transparencia, las empresas pierden rápidamente el control de los costes, por ejemplo, debido a la duplicación de suscripciones/licencias para herramientas similares. Si hay consecuencias legales debido a violaciones del cumplimiento, existe el riesgo de multas elevadas.

Muchos de estos puntos también son importantes en la gestión de riesgos informáticos. Se trata de evaluar los riesgos para la empresa y sopesarlos frente a las posibles alternativas: Dependiendo de cuánto tiempo haya pasado desapercibida una TI en la sombra, puede resultar más caro paralizar los procesos en curso que aceptar los riesgos hasta que se disponga de un sustituto adecuado, por ejemplo.

En principio, los empleados motivados y interesados en TI desempeñan un papel importante a la hora de impulsar la transformación digital en su empresa y mantener su competitividad. ¿Por qué? Porque conocen mejor que nadie los procesos de sus departamentos y los requisitos del software a desarrollar. Las soluciones provisionales de TI en la sombra son, por tanto, mejor que nada y proporcionan un remedio rápido mientras el departamento de TI trabaja en una solución permanente.

Sin embargo, a diferencia de los desarrolladores profesionales, sus empleados tienen escasos o nulos conocimientos de informática y programación. Los ejemplos de TI en la sombra mencionados anteriormente han dejado claro que muchas personas ni siquiera se dan cuenta de que están utilizando TI en la sombra. Por lo tanto, para garantizar unos estándares uniformes de las aplicaciones, debe formar a sus empleados sobre los requisitos de cumplimiento y seguridad de las TI. Así podrán incluso ayudar a aliviar la carga del departamento de TI.

Aunque la naturaleza de la TI en la sombra es que tiene lugar entre bastidores, los departamentos de TI suelen tener una idea de la probabilidad de que los ejemplos de TI en la sombra mencionados anteriormente se den en la organización. Existen básicamente dos enfoques para hacer visible la TI en la sombra: técnico u organizativo.

vigilancia para reconocer la TI en la sombra

Con el control técnico, usted utiliza mecanismos de seguridad y supervisión para detectar y prevenir la TI en la sombra. Entre otras cosas, dispone de las siguientes opciones técnicas para detectarla:

  • Utilizando proxies y cortafuegos, puede analizar el tráfico de Internet de sus empleados, por ejemplo, el tráfico de datos no autorizado entre los servicios en la nube y su red.
  • Cloud Access Security Broker (CASB) reconoce automáticamente el uso de servicios en la nube y puede garantizar que se respetan las directrices de cumplimiento.
  • Realice un inventario de todos los dispositivos de la empresa y realice un seguimiento del software instalado en los dispositivos – palabra clave: gestión de puntos finales / dispositivos móviles.

Desde una perspectiva organizativa, la TI en la sombra puede identificarse en cuanto deja rastros financieros: Por ejemplo, el departamento de contabilidad podría sospechar si se reciben facturas recurrentes de proveedores de software poco habituales o se realizan cargos de suscripciones en las tarjetas de crédito de la empresa. En cualquier caso, lo más eficaz es hablar con los departamentos y preguntarles qué herramientas utilizan realmente.

La TI en la sombra no suele ser el resultado de la malicia, sino de la presión del tiempo, la insatisfacción o el descuido de sus empleados. Si descubre sistemas informáticos no deseados en su empresa, un tono tranquilo pero firme ayuda a la hora de tratar con la TI en la sombra. Explique a los colegas de los departamentos que necesita conocer la introducción y el uso de los sistemas informáticos para poder comprobar si existen posibles riesgos informáticos y violaciones de la normativa.

A continuación, encuentre soluciones conjuntas sobre cómo integrar los sistemas no autorizados en el panorama informático existente, satisfacer las necesidades del departamento especializado y, posiblemente, optimizar aún más los procesos. De este modo, podrá crear un clima positivo en el que la TI sea vista como un amigo y un ayudante y los empleados estén encantados de acercarse a usted en lugar de ocultarle sus soluciones informáticas en la sombra.

En resumen, tenemos las siguientes recomendaciones de actuación para tener la TI en la sombra bajo control y eliminar sus causas:

  • Reforzar el departamento de TI: Para poder actuar y estar presente, el departamento de TI necesita ante todo recursos suficientes, es decir, tiempo, dinero y personal.
  • Abrir la comunicación: Hable regularmente con los departamentos sobre sus necesidades en materia de TI y sobre qué procesos informáticos podrían funcionar aún mejor.
  • Gobierno claro de las TI: Deje claro lo que está permitido y lo que no. Conciencie a los empleados de los riesgos informáticos y explíqueles por qué tienen sentido las normas de cumplimiento.
  • Soluciones pragmáticas: Las modernas plataformas sin código permiten a sus empleados desarrollar flujos de trabajo y aplicaciones por sí mismos, en estrecha colaboración con TI.

transparencia contra la TI en la sombra

Como plataforma de IA sin código, SeaTable puede contribuir significativamente a canalizar el impulso de los empleados interesado en TI y permitirles desarrollar sus propias aplicaciones dentro de un marco predefinido. Simplemente proporcione a sus departamentos una caja de herramientas que contenga módulos de software apropiados con los que puedan mapear, optimizar y automatizar sus procesos de forma flexible.

En lugar de esperar semanas a que el departamento informático los implemente, los empleados pueden hacer realidad sus ideas por sí mismos. Esto les permite descargar al departamento informático y acelerar el desarrollo de soluciones personalizadas. SeaTable cumple las estrictas directrices de conformidad, aumenta la satisfacción de los empleados y elimina así el caldo de cultivo de la TI en la sombra.

Su departamento de TI puede desplegar SeaTable a través de la nube o in situ, dependiendo de si prefiere la comodidad y escalabilidad de SeaTable Cloud o prefiere utilizar SeaTable Server en su propia infraestructura de TI para garantizar la plena soberanía de los datos y los más altos estándares de seguridad.

Manténgase informado
Reciba nuestro boletín informativo y manténgase al día sobre la seguridad informática y la protección de datos

¿Qué es la TI en la sombra?

La definición común de TI en la sombra incluye todos los sistemas de TI, programas de software, aplicaciones, herramientas de IA y dispositivos que los empleados de una empresa utilizan sin el conocimiento del departamento de TI para complementar o eludir la infraestructura de TI oficial. Según esta definición, la TI en la sombra no está integrada ni técnica ni estratégicamente en la gestión de los servicios de TI, lo que conlleva una serie de riesgos informáticos. El término deriva del inglés “Shadow IT”.

¿Qué riesgos alberga la TI en la sombra para las empresas?

Una TI en la sombra no detectada conlleva numerosos riesgos, por ejemplo, una pérdida de control por parte del departamento de TI, soluciones aisladas mal integradas y silos de datos, costes ocultos debidos a estructuras duplicadas y sistemas no probados que ponen en peligro la seguridad y el cumplimiento de las TI.

¿Cómo puede evitarse la TI en la sombra?

La TI en la sombra puede evitarse principalmente a través de un departamento de TI bien equipado, una comunicación abierta, directrices claras y soluciones modernas sin código.

TAGS: Seguridad Informática Y Privacidad De Datos Transformación Digital No Code & Low Code