¿Qué es el shadow IT y cómo detectarlo?

Sophie Danby noviembre 2, 2023
- 11 min read

Una de las mayores preocupaciones de todo departamento de IT es el shadow IT, el cual puede provocar duplicidades, costos innecesarios y problemas de cumplimiento. Para gestionar y mitigar los riesgos, los responsables del área de tecnología deben comprender qué es el shadow IT, así como sus amenazas y la forma de abordarlo de manera proactiva

En este sentido, las soluciones de Gestión de Activos de IT incorporan capacidades que ayudan a las organizaciones a implementar medidas de protección y a crear una cultura de ciberseguridad

Aquí exploraremos qué es el shadow IT, cómo desarrollar una política para su tratamiento y la forma en que InvGate Asset Management marca una diferencia significativa en este tema.

¿Estás listo? Comencemos.

 

 

Definición de shadow IT

Gartner, experto en este tópico, define al shadow IT como “los dispositivos, el software y los servicios de IT que se encuentran fuera de la propiedad o del control de IT”. 

En otras palabras, shadow IT se refiere a los sistemas, el software, las aplicaciones, los servicios SaaS, el hardware o los dispositivos móviles utilizados dentro de una organización, sin la aprobación explícita, la supervisión, el apoyo o el conocimiento por parte del departamento de IT. 

Las soluciones de shadow IT suelen ser adoptadas e implementadas por profesionales o departamentos para abordar necesidades específicas o para resolver problemas inmediatos, sin pasar por los procesos formales de solicitud de servicios de IT, adquisición y aprobación. Así, ahorran tiempo o evitan los bloqueos de procedimientos.

Si bien inicialmente se centraba en activos de hardware, dichas soluciones evolucionaron hasta incluir aplicaciones SaaS (también conocidas como SaaS sprawl). Porque estas últimas son fáciles y cómodas de operar, lo que lleva a un uso descontrolado y a riesgos por incumplimiento, filtración de datos y pérdidas financieras.

Cinco ejemplos del shadow IT

Para comprenderlo mejor, aquí algunos ejemplos de shadow IT:

  • El uso de servicios como Dropbox, Google Drive o memorias USB para compartir datos, en lugar de utilizar los métodos aprobados por tu organización.
  • La utilización de dispositivos móviles personales (política de “Trae tu Propio Dispositivo”) para llevar a cabo tareas laborales, sin el consentimiento del departamento de IT.
  • El empleo de servicios en la nube, incluyendo herramientas de colaboración, software de Gestión de Proyectos y soluciones de mensajería instantánea.
  • La descarga e instalación de aplicaciones de software en las computadoras de trabajo por parte del personal. Como el departamento de IT no está al tanto de estas acciones, posiblemente provoque problemas de compatibilidad y riesgos en la seguridad.
  • El uso de cuentas de correo electrónico personales o servicios provistos por terceros para comunicaciones relacionadas con el trabajo, en lugar de utilizar el sistema de email corporativo.

Beneficios y riesgos del shadow IT

Como mencionamos, el shadow IT conlleva ciertas ventajas. Algunas de ellas son:

  • Flexibilidad y agilidad: el shadow IT ayuda a implementar servicios rápidamente para resolver problemas o satisfacer una necesidad empresarial específica, sin tener que pasar por un largo proceso de habilitación. Esto implica una mayor agilidad a la hora de adaptarse a los requerimientos cambiantes de la organización.

  • Innovación: también impulsa a experimentar nuevas tecnologías que mejoran los procesos y los resultados funcionales, lo cual conduce a innovar y a aplicar prácticas de trabajo más eficientes.

Sin embargo, esta práctica supone importantes peligros para la organización. Así, los principales riesgos del shadow IT son los siguientes:

  • Amenazas a la seguridad: los servicios contemplados por el shadow IT posiblemente no adhieran a las políticas y normas de seguridad de la organización. Como consecuencia, ésta queda expuesta a potenciales riesgos externos o a ciberataques.

  • Aumenta la posibilidad de ataques: dado que los servicios involucrados en el shadow IT no son visibles por los equipos de tecnología o de seguridad de la información, dichas prestaciones no se encuentran protegidas por las medidas de seguridad corporativas vigentes. Por lo tanto, se amplía la superficie de ataque contra la organización.

  • Problemas de cumplimiento: el shadow IT provoca el incumplimiento de las normativas del sector y las políticas internas, lo que puede generar daños legales, financieros y de reputación.

  • Falta de control: el departamento de IT tiene una visibilidad limitada, por lo que no será capaz de vigilar los recursos tecnológicos, ni realizar una gestión y soporte eficaz de estos sistemas. 

  • Dificultades para el soporte informático: si los equipos de asistencia de IT no están interiorizados del servicio, no disponen de los conocimientos, la documentación o los procesos de escalamiento adecuados, entonces no estarán en condiciones de ofrecer un soporte eficaz.

  • Fragmentación de los datos: la información está repartida entre varias plataformas y servicios, lo que dificulta la gestión y el acceso a los datos de forma coherente.

  • Ineficacia y duplicación: debido a que el shadow IT no se controla de manera centralizada, existe la posibilidad de duplicar y hacer trabajo adicional, ya que el personal podría comprar servicios similares a los ya existentes. 

La gestión del shadow IT con InvGate Asset Management 

Como es improbable que desaparezca el shadow IT, resulta esencial contar con un plan sólido para hacerle frente. La idea es encontrar esos dispositivos o sistemas que no son visibles para luego incorporarlos a tu área de dominio.

Para ello, InvGate Asset Management combina métodos con y sin agente orientados a automatizar el proceso de inventariar los activos de IT. El agente trabaja monitoreando e informando sobre las licencias de software y las aplicaciones en todos los dispositivos donde se encuentra instalado. De este modo, si alguien está ejecutando un sistema no autorizado, aparecerá en el informe para que tomes las medidas correspondientes.

Para complementar esto, la función Discovery de InvGate Asset Management escanea periódicamente tu entorno tecnológico para encontrar y auditar los dispositivos conectados a tu red, incluyendo impresoras, conmutadores, routers y teléfonos IP. Una vez detectados, puedes incorporarlos o no a tu inventario. 

Al combinar ambos métodos, puedes abordar los diferentes tipos de componentes que se encuentran en riesgo del shadow IT. Sin embargo, existen otras formas para mejorar aún más las medidas de protección de tu organización, además de contar con una estrategia robusta de ITAM para reducir los riesgos de seguridad. Reserva una llamada con nuestros expertos para conocer la manera en que InvGate Asset Management te ayudará en este tema.

Las 12 mejores prácticas para desarrollar una política de shadow IT

Para gestionar y mitigar los riesgos asociados con el uso de tecnología no estándar dentro de tu organización es fundamental crear una política de shadow IT

Los pasos que te ayudarán a hacerla efectiva son los siguientes:

  1. Definir el objetivo y el alcance: crea una introducción que establezca para qué sirve la política y qué cubre, además de explicar que el objetivo es gestionar y controlar los servicios del shadow IT. 

  2. Incluir enlaces a otras políticas de apoyo: es importante poner a disposición de los usuarios las normas de seguridad IT y de uso aceptable, si corresponde. 

  3. Identificar a las principales partes interesadas: incorpora a profesionales de las unidades de negocio de IT, RR.HH., Compras, Legales y Gobernanza, Riesgo y Cumplimiento, quienes participarán en la creación, aplicación y comunicación de la política. 

  4. Establecer funciones y responsabilidades: todos los miembros del equipo deben conocer sus roles, obligaciones y qué se espera de ellos. Es  fundamental contar con programas de formación para comunicar la política y concientizar a los profesionales. 

  5. Definir la forma de acceder al soporte de IT: también es importante que la organización entera conozca los mecanismos correctos para solicitar nuevos servicios de forma adecuada. Por ejemplo, si dispones de una solución de help desk, asegúrate de que todos están interiorizados sobre cómo utilizarla, además de fomentar su adopción.

  6. Determinar las tecnologías y los activos no autorizados: todos deben tener claro qué es aceptable y qué no a la hora de descargar e instalar un nuevo software y hardware informático.  

  7. Contar con una disposición frente a BYOD: si tu organización apoya la idea “Trae Tu Propio Dispositivo” (BYOD - Bring Your Own Device), entonces incluye directrices y políticas para la utilización de aparatos personales en el trabajo. En concreto, especifica las medidas de seguridad, el uso aceptable y los requisitos de protección de datos.

  8. Fijar directrices de seguridad de la información: especifica cómo deben manejarse, almacenarse y transmitirse los datos y la información cuando se trate de servicios de IT no estándar.

  9. Definir métodos de monitoreo de IT: cómo supervisar la actividad y el uso de la red para detectar instancias de software y hardware no autorizadas. Una solución de ITAM es la mejor manera de agilizar este proceso.

  10. Incorporar medidas de control de acceso: bloquea los dispositivos corporativos para restringir la instalación y el uso de software no autorizado.

  11. Realizar auditorías y evaluaciones periódicas del entorno tecnológico: para identificar y abordar los casos de shadow IT, es menester llevar adelante este tipo de tareas que permiten comprobar las instalaciones de software no autorizadas, el uso de servicios en la nube o los dispositivos no aprobados.

  12. Poner a disposición canales de ayuda: cuenta con una sección donde las personas accedan a información o realicen consultas sobre shadow IT. Incluso puedes escribir un artículo en la base de conocimiento sobre el tema e incorporarlo a tu help desk. 

Resumen

El shadow IT es cualquier tecnología que se encuentre fuera de la propiedad o el control del área de soporte de IT. Aunque puede aportar una mayor agilidad y un acceso más rápido a las nuevas tecnologías, también entraña peligros importantes, como riesgos en la seguridad, problemas de cumplimiento, falta de control y una prestación de asistencia más difícil.

Para hacer frente a esto, el diseño de una política clara establecerá qué se debe hacer y qué no para que todos sepan qué se espera de ellos. Sin embargo, la detección manual de esos dispositivos resulta muy engorrosa, por lo que es fundamental incorporar una herramienta diseñada para automatizar el proceso de supervisión.

Para saber cómo funciona en la práctica InvGate Asset Management, coordina una prueba gratuita. ¡Sin compromiso!

Preguntas frecuentes

¿Es malo el shadow IT? 

Depende: el shadow IT no es intrínsecamente peligroso. Sin embargo, ciertas características como compartir archivos puede resultar riesgoso, ya que es posible que se difundan datos sensibles. Además, los dispositivos no estándar son más complicados para recibir soporte. O las aplicaciones no estándar, que podrían causar problemas de seguridad. Por lo tanto, para proteger tu organización y tus datos es necesario tener ciertos cuidados.

¿Cuáles son las aplicaciones de shadow IT más comunes? 

Hay muchas aplicaciones de shadow IT, pero algunas de las más utilizadas son Dropbox, Google Suite, WhatsApp y Gmail. 

¿Cómo se aborda el shadow IT? 

Para abordar el shadow IT debes contar con una estrategia de ITAM sólida y garantizar la comunicación con IT. Por ejemplo, todas las prestaciones disponibles tienen que anunciarse en el catálogo de servicios; o tu help desk ser rápido y fácil de usar para pedir nuevos productos y servicios a través de la práctica de Gestión de Solicitudes.

¿Cuáles son las estadísticas del shadow IT? 

Las estadísticas van en aumento: según un estudio reciente de Gartner, para 2027 el 75% de los empleados adquirirán, modificarán o crearán tecnología que estará por fuera del alcance de IT, frente al 41% que se registraba en 2022.

¿Qué relación existe entre el shadow IT y la computación en la nube? 

La computación en la nube contribuyó al aumento del shadow IT debido a la espiral SaaS. Estos últimos son productos fáciles de obtener y utilizar, lo que implica que no se involucra al servicio de atención al cliente ni se aplican las prácticas de adquisición de IT.

¿Cómo evitar el shadow IT? 

En este aspecto debes mantener una relación abierta y honesta con el resto de la empresa. El sector de IT tiene que ser un facilitador, así que si tu personal recurre a al shadow IT para hacer su trabajo, entonces ese departamento no está realizando bien su tarea.

Read other articles like this : Ciberseguridad, ITAM