Las empresas tienen que aceptar la existencia del Shadow IT

Con los avances tecnológicos, cada día se ofrecen nuevas herramientas, dispositivos o aplicaciones que pueden determinar las operaciones cotidianas dentro de las organizaciones. Y aunque las nuevas tecnologías facilitan y mejoran cualquier actividad, su uso también puede tener nuevas implicaciones en la protección de la información.

En el ámbito organizacional, el uso de nuevas herramientas puede convertirse en un arma de doble filo para los equipos de TI, ya que por un lado estas herramientas proporcionan diversos beneficios, pero también pueden representar riesgos para la información, uno de los activos más importantes de cualquier empresa.

Hoy en día es muy importante ser consciente de que para poder asegurar un entorno completamente seguro hay que controlar todos los aspectos de la red. Pero esto es muy complicado, por no decir casi imposible, especialmente si existen en ella puntos que no se sabe ni que están ahí. A esto se le conoce como “Shadow IT”.

¿Qué es el Shadow IT?

Shadow IT, o TI Invisible, son los dispositivos, aplicaciones, software y servicios de TI utilizados dentro de las organizaciones y que se encuentran fuera de su control o de su propiedad, es decir que nunca han sido reconocidos por la organización y que en ocasiones son utilizados sin una autorización por parte de los departamentos de TI. Esto crea un gran número de puntos ciegos para la seguridad de la empresa.

Todo esto se debe principalmente a que la adopción de los cambios tecnológicos en las empresas no son lo suficientemente rápidos para satisfacer las necesidades actuales de los usuarios. Estos quieren disponer de las últimas soluciones tecnológicas y lo quieren lo antes posible.

Según un estudio elaborado por EMC cifra en 1,7 billones de dólares las pérdidas anuales generadas por el Shadow IT. El foco reside en que, si los puntos débiles del sistema no son conocidos por parte de los especialistas, pueden multiplicarse las brechas de seguridad y agravar la aparición de ciberataques como el malware o el ransomware, el espionaje industrial o los robos masivos de datos.

Riesgos del Shadow IT

Con mucha frecuencia, las personas más productivas y con grandes ambiciones compran y usan tecnología no autorizada (Shadow IT) para acelerar su trabajo, aumentar la productividad o facilitar el trabajo. Pero tal vez no estén considerando los riesgos serios que vienen con esa tecnología no autorizada, y que estos riesgos pueden amenazar su carrera, su privacidad y su organización.

Esta tendencia del Shadow IT puede exponer a las organizaciones a la exfiltración de datos, malware, phishing; puede abrir la puerta a los hackers para robar las identidades de los empleados y clientes, robar secretos de la empresa y hacer que las empresas fallen en las auditorías o violen las leyes. Y como la gente se esfuerza por evitar el departamento de TI, el Shadow IT es difícil de prevenir, administrar o controlar.

Entonces, ¿qué se puede hacer acerca del Shadow IT? ¿Cómo pueden las organizaciones dar a los ejecutivos y a los empleados las aplicaciones y herramientas que quieren, en el dispositivo que quieren,  y sin comprometer la seguridad?

Según Citrix, una empresa de seguridad, una forma de proporcionar de forma segura a los empleados las aplicaciones, datos y servicios que desean es con un servicio de espacio de trabajo digital unificado y seguro. Y si la organización da a sus empleados aplicaciones, datos y servicios atractivos, será menos probable que compren y utilicen Shadow IT, lo que permitirá al departamento TI controlar de nuevo y reducir la complejidad.

Aceptación del Shadow IT

En vez de ver al Shadow IT como una amenaza, las empresas deberían verlo como una oportunidad para motivar a los empleados a identificar las aplicaciones que desean usar. De esta forma, el departamento de TI podrá habilitar las aplicaciones que estén en conformidad con las reglas de la empresa.

El Shadow IT puede ser un detonante para la innovación, algo que podría ayudar a mejorar la eficiencia y el bienestar de toda una empresa.

Es necesario abrazar la idea de que los usuarios deben explorar nuevas tecnologías, nuevas herramientas y nuevos procesos. Todo el mundo ganará a medida que estos usuarios descubran aplicaciones o servicios que faciliten su trabajo y que los transformen en profesionales más eficientes en ventas o ejecuciones, dentro de una cadena de suministro.

¿Cómo aceptar el Shadow IT sin que suponga un riesgo?

Y ¿cómo se puede hacer esto sin que eso suponga un problema de seguridad? Para controlar el Shadow IT debe existir un equilibrio, dado que el control absoluto de soluciones tecnológicas y de software en una empresa es muy complicado.

Para evitar que los trabajadores recurran a programas no autorizados, hay que cubrir sus necesidades, diseñar políticas de uso asequibles y abogar por soluciones funcionales, además de que hay que educarlos tecnológicamente para que no haya dudas sobre el uso de las tecnologías aprobadas por la organización. También es importante educarlos en materia de ciberseguridad para que estén preparados.

La información es básica, se deben resolver las dudas de los empleados y dejar claro el uso de las tecnologías aprobadas, generando un entorno limpio en el que no se empleen conexiones o dispositivos fuera del plan organizativo de la empresa.

Es importante promover un ambiente colaborativo en el que los miembros puedan aportar sus ideas y expresar su feedback sobre las aplicaciones que emplean en su trabajo. Así, con su aportación podrán aportar formas más efectivas a la hora de diseñar un flujo de trabajo productivo.

Escucha a los trabajadores para renovar el software y brindar las mejores herramientas digitales para el desarrollo de su actividad, no hay que escatimar ni tratar de ahorrar un puñado de euros, ya que un software desfasado solo llevará disgustos y aumentará los puntos ciegos del Shadow IT.