Shadow IT. ¿Has oído hablar alguna vez de este término tan cinematográfico? Podía ser el título de una nueva serie de Netflix. Si estás en el mundo techie, seguro que no te es ajeno. Si es la primera vez que lo oyes, no es la primera vez que te topas con ello sin saberlo. En cualquiera de los dos casos, nos encantará saber si has tenido alguna experiencia parecida y conocer tu opinión al respecto.
Tabla de contenidos
¿Qué es Shadow IT?
Shadow IT hace referencia al hecho de que cualquier persona parte de una empresa utilice tecnologías —generalmente cloud— no autorizadas, verificadas, controladas y gestionadas de forma corporativa por el departamento de IT, o, en su defecto, por unas políticas de IT unificadas.
¿Dónde suele suceder el Shadow IT?
Es habitual en todo tipo de empresas y sectores, pero mucho más común en las Digital Natives, como es lógico, aunque no todo el mundo se atreva a hablar de ello abiertamente. En cualquier empresa de hoy en día, con un mínimo grado de desarrollo tecnológico o digital, podemos encontrar rastros de Shadow IT.
¿Por qué suele suceder el Shadow IT?
Hablando simple y llanamente, porque en este mundo digital todo se ha acelerado enormemente y, como buscavidas que somos, siempre estaremos a la búsqueda de nuevas tecnologías para agilizar las tareas más rutinarias. Es muy normal, y sano, querer agilizar procesos y tareas en una empresa, pero, a veces, hacerlo sin cierto control puede exponernos a riesgos inesperados, el Shadow IT es uno de ellos.
Si necesitas ejemplos concretos de esta actividad te dejamos este enlace.
¿Cuáles son los riesgos del Shadow IT?
Al momento de hablar de Shadow IT hay de varios tipos de riesgos, principalmente de seguridad tecnológica y normativa en términos de gestión de datos. Que los usuarios «instalen» aplicaciones cloud otorgándoles —generalmente de forma inconsciente— acceso a datos, ficheros, contactos, correos, etc., es uno de los riesgos más comunes. El Shadow IT sucede, tanto por el uso fraudulento que puedan hacer estas apps con el acceso otorgado, como también por una mala praxis en la gestión de los datos que recogen a través de esos accesos.
Hay varias aplicaciones, generalmente en su modelo de uso freemium, cuyos términos de uso y condiciones no se ajustan a las políticas de tratamiento de datos que una empresa está obligada a cumplir, ya sea por la exposición de los mismos datos, el lugar en el que se almacenan, etc. Este es uno de los más típicos casos de Shadow IT hoy en día.
Te dejamos nuestro artículo sobre Phishing en caso de que necesites más información sobre los riesgos de ciberseguridad.
Ejemplos comunes de Shadow IT
- El uso de whatsapp, discoord, telegram, etc. como herramientas de comunicación entre empleados, en lugar de un Slack, Teams, etc., o cualquier otra herramienta autorizada por el departamento de IT de la empresa.
- El uso de repositorios y/o servicios de envío de ficheros entre usuarios, tipo Wetransfer, Mega, o cuentas particulares de Google Drive, Dropbox, etc. en vez de cuentas y entornos corporativos Google Workspace, Dropbox Business, Box, Sharepoint, etc.
- Disponer de muchas herramientas, sin estar ninguna corporativizada, para el día a día de la gestión de tareas. Ejemplos típicos de esto son: cuentas particulares de Asana, Monday, Trello, etc., en vez de las mismas herramientas pero en su versión Business, u otras más potentes y seguras, como puede ser Jira.
- El empleo de aplicaciones de consumo comunes utilizando como login una cuenta corporativa, es decir, Twitter, Facebook, Uber, Cabify, Glovo, etc. Este es el ejemplo más común de Shadow IT.
Herramientas para detectarlo y modos de prevención del Shadow IT
Lo bueno es que hay muchas herramientas que ayudan a controlar el Shadow IT, los CASB* como Netskope, Cloudlock, etc., son muy útiles como complemento. Lo más importante siempre es concienciar y educar a la plantilla sobre los riesgos que el Shadow IT supone, al tiempo que se deben establecer ciertas políticas y responsables sobre el ecosistema IT de la empresa. Información clara y diálogo suelen ser la solución para casi todos los problemas de la vida, sobre todo en el ámbito profesional.
Conclusión: educar sobre los riesgos del Shadow IT
Como decíamos antes, todos somos conscientes de la velocidad a la que trabajamos —y vivimos— en estos tiempos, y a veces las empresas, o sus departamentos de IT y seguridad, no son capaces de seguir el ritmo que, de forma intrínseca, se nos exige. A veces, el uso de una de estas herramientas de control de Shadow IT, puede parecernos una solución aceptable, pero hemos de ser conscientes de los riesgos que puede correr nuestra empresa o la empresa del cliente, sobre todo en lo que a temas de protección de datos y seguridad informática se refiere.