Con la llegada al mercado de herramientas cada vez más potentes y accesibles, la TI en la sombra se está convirtiendo en una característica cada vez más común del panorama empresarial. Esto puede tener profundas implicaciones para la seguridad, la gobernanza y la estrategia de TI dentro de las organizaciones. Pero, ¿a qué se refiere realmente la TI en la sombra?

Shadow IT: ¿de qué estamos hablando?

La TI en la sombra se refiere a los empleados que utilizan software, aplicaciones y servicios tecnológicos sin el conocimiento o consentimiento de su departamento de TI.

Esta práctica es muy común en las empresas. Según Frost & Sullivan, el 80% de los empleados ha admitido utilizar aplicaciones o servicios sin el acuerdo previo del departamento de TI.

La magnitud de Shadow IT es aún más alarmante si se tienen en cuenta las cifras de gasto vinculadas a esta práctica. Gartner estima que el 40% del gasto corporativo en TI está vinculado a las TI en la sombra.

Razones para la TI en la sombra

Capacidad de respuesta y adaptabilidad

Uno de los principales factores que impulsan la aparición de las TI en la sombra es la necesidad de capacidad de respuesta y adaptabilidad. En un mundo en el que la tecnología evoluciona a una velocidad vertiginosa, los empleados a menudo buscan utilizar las herramientas más recientes y eficaces para realizar su trabajo.

Los procesos de aprobación del departamento de TI pueden percibirse como lentos o engorrosos, lo que lleva a los empleados a buscar alternativas por su cuenta.

Autonomía y satisfacción de los empleados

La TI en la sombra puede aumentar la autonomía y mejorar la satisfacción de los empleados. Cuando tienen libertad para elegir el software que utilizan, pueden sentirse más implicados y satisfechos en su trabajo.

Tomemos como ejemplo las herramientas Nocode. Su uso está cada vez más extendido, ya que permiten a los empleados desarrollar las soluciones digitales que necesitan en su trabajo diario, sin necesidad de asistencia técnica de desarrolladores.

Nos enfrentamos a un dilema: cómo identificar estos usos y controlarlos mejor, permitiendo al mismo tiempo que todos los empleados contribuyan a la innovación y el desarrollo de la empresa.

Conciliar ambas cosas se ha convertido en un verdadero criterio para los equipos empresariales y para atraer talento.

Fácil acceso a soluciones informáticas alternativas

Por último, la aparición de las TI en la sombra se ve facilitada en gran medida por la accesibilidad de soluciones informáticas alternativas. Con el auge de la nube y la proliferación de las aplicaciones móviles, se ha vuelto extremadamente fácil para cualquiera encontrar y adoptar nuevas soluciones tecnológicas más fáciles de usar.

Las soluciones Nocode, como Glide, por ejemplo, permiten crear una aplicación empresarial en unos pocos clics.

Ejemplos de prácticas de TI en la sombra

Dispositivos

Los dispositivos son uno de los principales usos de Shadow IT en las empresas. He aquí algunos ejemplos de hardware que podrían representar vulnerabilidades de seguridad:
‍

Ordenadores portátiles y teléfonos inteligentes personales: los empleados suelen llevar sus propios dispositivos al trabajo, una práctica conocida como BYOD (Bring Your Own Device, trae tu propio dispositivo). 

Estos dispositivos, que no son gestionados por el departamento de TI, pueden contener aplicaciones y software no aprobados. Es más, pueden conectarse a redes no seguras, lo que supone un riesgo para la empresa.

Discos duros externos, tarjetas SD y memorias USB: estos dispositivos de almacenamiento pueden utilizarse para transferir información confidencial de un dispositivo a otro, saltándose las medidas de seguridad. También pueden introducir malware en la red de la empresa si se utilizan en dispositivos infectados.

Por ejemplo, Edward Snowden transfirió información confidencial de la NSA a una tarjeta micro SD y consiguió evitar las puertas de seguridad metiendo la tarjeta SD en un cubo de Rubik y pasándosela al agente de seguridad para evitar pasar el cubo de Rubik por la puerta.

Dispositivos IoT (Internet de las cosas): Cada vez aparecen más objetos conectados, desde impresoras inteligentes hasta dispositivos de seguridad. Estos dispositivos, que a menudo están mal protegidos, pueden ser utilizados como puntos de entrada por agentes maliciosos para acceder a la red de la institución.

Uso de herramientas de terceros, como nocode y low-code

Plataformas de intercambio de archivos en línea: Un empleado puede compartir archivos confidenciales de la empresa a través de una plataforma de intercambio de archivos en línea no segura o no aprobada, como Dropbox, Google Drive o AirDrop. Esta práctica expone a la empresa al riesgo de robo o pérdida de datos.

Plataformas de gestión de proyectos: Un empleado podría utilizar aplicaciones como Slack, Trello o Notion para gestionar proyectos y colaborar con sus compañeros sin la aprobación del equipo informático.

Servicios de correo electrónico: a pesar de las políticas de la empresa que prohíben el uso de servicios no aprobados, es posible que algunas personas sigan utilizando servicios como Gmail o WhatsApp para sus actividades empresariales.

Herramientas de no-código y bajo-código: Muy accesibles, estas herramientas pueden ser adoptadas rápidamente por los equipos empresariales sin tomarse el tiempo necesario para concienciarlos, por ejemplo, de los problemas de seguridad. Puede producirse el riesgo de fuga de datos a través de claves API que se dejan sin cifrar. Esto puede ocurrir con herramientas de automatización como Zapier, Make o n8n cuando un usuario quiere compartir un flujo de trabajo con sus compañeros.

Para mitigar estos riesgos, es importante que las empresas establezcan políticas y directrices claras para el uso de herramientas Nocode. Los departamentos de informática deben participar en la evaluación y validación de las aplicaciones creadas, así como en la prestación de asistencia técnica y asesoramiento en materia de seguridad.

Veremos las soluciones disponibles en la última sección.

Riesgos de las TI en la sombra

Pérdida de datos

Inaccesibilidad de los datos: Cuando los empleados utilizan cuentas personales para almacenar documentos u otros activos de la empresa, esta información puede quedar inaccesible. Por ejemplo, si un empleado dimite o es despedido, puede conservar el acceso a estos activos almacenados en la nube, mientras que la empresa puede perder el acceso a ellos. Esto puede tener consecuencias importantes.
‍

Retención de activos por parte de antiguos empleados: Del mismo modo, si un empleado que ha utilizado servicios no aprobados abandona la empresa, puede seguir teniendo acceso a información sensible. La empresa no sólo pierde el acceso a esta información, sino que también corre el riesgo de que se comparta o se utilice de forma inadecuada.
‍

Dificultades para localizar y controlar los datos: Cuando los datos se almacenan o procesan fuera de la infraestructura de la empresa, puede ser difícil para ésta saber exactamente dónde están y quién tiene acceso a ellos. Esto puede dar lugar a problemas de conformidad y seguridad, ya que es más difícil para la empresa garantizar la protección de esta información y evitar accesos no autorizados.
‍

Más allá de la simple pérdida de información confidencial, la TI en la sombra también abre la puerta a problemas aún más preocupantes, como el robo de datos.

Según un informe de Forbes, el uso de tecnologías informáticas no aprobadas es responsable del 21% de los ciberataques registrados.

Pérdida de control sobre el uso

La práctica de la TI en la sombra por parte de un empleado puede plantear problemas cuando éste se ausenta o se marcha, sobre todo si es la única persona que ha trabajado en proyectos de gran envergadura.

Por eso es tan importante establecer rápidamente una cultura de documentación de los procesos empresariales en todos los equipos (y no sólo en los de TI).

Esto reduce la dependencia de un solo empleado y también ayuda a que la información circule con más eficacia.

Problemas de cumplimiento legal

Cada país y continente tiene su propia normativa para proteger a determinadas industrias y ciudadanos (RGPD en Europa, por ejemplo, o HIPAA en Estados Unidos).

Su comprensión puede resultar compleja y requiere la intervención de responsables internos o representantes externos, cuyo objetivo es sensibilizar a los empleados para que apliquen buenas prácticas.

Sin embargo, es difícil controlar las prácticas de todos los empleados y equipos de una organización. Por ello, es frecuente que personas y departamentos incumplan estas normas de seguridad, lo que puede acarrear multas o acciones legales contra la organización.

Por ejemplo, se puede imponer una multa de hasta 20 millones de euros o el equivalente al 4% del volumen de negocios de una empresa si no se cumplen las normas que rigen el tratamiento de datos, o si no se cumplen las condiciones legales para el tratamiento de información privada.

Modificación de datos

Sin un sistema claro de gobernanza, se corre el riesgo de poner en peligro todo un sistema tecnológico basado en los datos y la automatización.

Cuanto más crezca una organización, más dependencias creará entre servicios. Es esencial contar con gestores familiarizados con la arquitectura para que puedan implantar herramientas de supervisión que permitan detectar rápidamente modificaciones no deseadas en los sistemas.

Por ejemplo, modificar un campo de una base de datos puede romper todos los flujos de trabajo conectados a él. Las consecuencias pueden ser muy críticas.

¿Qué está en juego?

La TI en la sombra pone de manifiesto una cuestión crucial para las empresas: cómo conciliar la necesidad de innovación rápida por parte de los equipos empresariales con el respeto de las mejores prácticas preconizadas por el departamento de TI.

En el corazón del terreno y de las operaciones, estos equipos de Negocio pueden verse tentados a adoptar nuevas herramientas y recursos tecnológicos no aprobados por el departamento de TI para ser cada vez más productivos y responder rápidamente a sus necesidades.

Por otro lado, la división informática, como garante de la seguridad de los sistemas de información, es responsable de que las tecnologías utilizadas sean seguras y cumplan la normativa vigente. El reto consiste, pues, en encontrar el justo equilibrio entre estos dos imperativos, para permitir a la empresa seguir siendo competitiva al tiempo que preserva la seguridad de sus datos.

¿Cuáles son las soluciones?

Sensibilizar y formar a los empleados en buenas prácticas

La formación en buenas prácticas de seguridad informática es esencial para prevenir la TI en la sombra. Es una cultura de empresa que hay que implantar cuanto antes, porque lo que está en juego es cada vez más importante a medida que la organización crece y se hace más compleja.

También es muy importante que los grandes grupos reciban apoyo con regularidad, sobre todo hoy en día, cuando el ecosistema tecnológico evoluciona con extrema rapidez.

Ya estamos trabajando con grandes grupos como Franprix y L'Oréal para dar a conocer Nocode a sus equipos, de modo que su adopción pueda estimular el crecimiento del grupo conciliando agilidad y seguridad.

Si usted también está interesado, estaremos encantados de hablar con usted.

Cooperar con el departamento informático

Los enfoques Nocode y Low-code también pueden devolver el control al Departamento de TI ofreciendo a los empleados soluciones llave en mano.

De este modo, los desarrolladores de negocio pueden conservar la agilidad que ofrecen los enfoques de Nocode y, al mismo tiempo, mantener informado al departamento de TI, proporcionándole el nivel de visibilidad necesario para protegerse de cualquier riesgo para la organización.

Si necesitas utilizar una nueva herramienta o servicio, asegúrate de pedir al departamento informático que compruebe la fiabilidad de la herramienta y otros parámetros.

Por último, los empleados pueden crear un prototipo de aplicación o sitio web y el departamento informático se encargará de crearlo. 

Establecer un sistema de gobernanza claro

Como se ha dicho antes en el artículo, identificar a los responsables de las operaciones inherentes a cada departamento es muy importante para mantener el control y construir un entorno que pueda ampliarse con el tiempo.

Son buenas prácticas que hay que adoptar -y pueden llevar mucho tiempo-, pero garantizarán el crecimiento de su empresa a medio y largo plazo.

Trabajar con las herramientas adecuadas

Para hacer frente a los retos de la gobernanza, a menudo es crucial trabajar con las herramientas adecuadas. Cada vez son más las soluciones de Nocode que ofrecen opciones de gobierno centralizado, sobre todo en sus planes Enterprise. Airtable, por ejemplo, ofrece una solución de gobernanza.

Las soluciones más conocidas por los equipos técnicos también han desarrollado soluciones Nocode, muy populares entre los grandes grupos. Por ejemplo,Appsheet, la solución Nocode de Google, en la que la configuración de derechos y accesos para las aplicaciones producidas es la misma que para los demás datos de la empresa. Microsoft trabaja del mismo modo con su solución Nocode PowerApps.

Conclusión

En conclusión, las TI en la sombra representan un reto importante para las organizaciones, tanto grandes como pequeñas. Aunque pueda parecer atractiva para los empleados en términos de autonomía y flexibilidad, conlleva riesgos significativos en términos de seguridad de los datos, cumplimiento de la legislación y pérdida de control sobre los sistemas informáticos de la empresa. Aunque pueda parecer ilusorio prevenir el fenómeno, es esencial que las empresas pongan en marcha medidas proactivas para concienciar y formar a los empleados en buenas prácticas de seguridad informática, así como fomentar una estrecha colaboración entre los equipos empresariales y el departamento de TI. Adoptando un enfoque cooperativo y fomentando la transparencia, las empresas pueden lograr un equilibrio entre innovación y seguridad, garantizando una gestión eficaz de la tecnología dentro de la organización.

‍