¿Qué es la TI en la sombra?

La TI en la sombra es el uso de software, dispositivos, sistemas o aplicaciones de TI por parte de los departamentos o las personas de una organización sin el consentimiento explícito o el conocimiento del departamento  informático de la organización. El uso de aplicaciones de TI en la sombra ha aumentado considerablemente en los últimos años, debido sobre todo a la proliferación del teletrabajo y a la utilización de servicios y aplicaciones basados en la nube. La TI en la sombra puede acelerar la productividad y la innovación, pero también puede generar riesgos de seguridad y problemas de cumplimiento normativo graves, sobre todo cuando los datos se almacenan en sitios desconocidos por la TI. 

Ejemplos de aplicaciones y actividades de TI en la sombra

Cualquier aplicación que se use para los fines de la empresa sin la participación del departamento de TI puede considerarse como una aplicación de TI en la sombra. 

Las aplicaciones de la TI en la sombra se pueden clasificar en cuatro grandes categorías:

• Aplicaciones basadas en la nube a las que los usuarios acceden directamente a través de la red de la empresa.
• Aplicaciones basadas en la nube a las que los usuarios acceden mediante aplicaciones de software como servicio, como Microsoft Office 365 o Google Workspace.
• Software comercial adquirido por un departamento o un usuario final y cargado en el sistema (actualmente es menos común).
• Software desarrollado a medida que se ejecuta en el ordenador portátil de empresa de una persona.

Ejemplos de actividades de TI en la sombra:

• La descarga y el uso no autorizado de aplicaciones de flujo de trabajo o de productividad, como Trello o Asana.
• La creación y el uso de configuraciones de cargas de trabajo en la nube mediante las cuentas o las credenciales de una persona o de un departamento
• La compra y/o la utilización no autorizadas de aplicaciones de software como servicio externas o de otras suscripciones a servicios en la nube no supervisadas por un departamento de TI de la organización.
• El uso de plataformas de mensajería personal o de aplicaciones de comunicación, como WhatsApp o Signal, para las comunicaciones relacionadas con el trabajo. 
• El uso de cuentas de correo electrónico personales para realizar las actividades de la empresa. 
• El uso de dispositivos propios (que se conoce como BYOD, por las siglas en inglés de “traiga su propio dispositivo”) no autorizado. 

Los riesgos de la TI en la sombra

Es muy difícil, si no imposible, proteger los datos si los empleados los guardan en ubicaciones que escapan al control de la empresa. Además, el departamento de TI no puede saber qué datos de los clientes de su empresa, o cuántos de esos datos, están en riesgo si no sabe dónde se encuentran dichos datos. 

Por lo tanto, los principales riesgos de seguridad de la TI en la sombra son:

La pérdida de datos

Como su empresa no puede acceder a los datos almacenados en cuentas personales o en ordenadores portátiles privados, perderá esos datos cuando el empleado se vaya o sea despedido. Además, como los datos guardados en esas cuentas personales no están sujetos a las políticas y los procedimientos de la empresa, es posible que las copias de seguridad, el archivado o el cifrado de dichos datos no sean correctos según la política de la empresa.

La menor visibilidad y control

La TI en la sombra presenta problemas graves de visibilidad y control por la misma razón por la que conlleva problemas graves de pérdida de datos: no se puede proteger lo que no se ve. El mayor uso del autoaprovisionamiento puede acelerar la productividad y el proceso de incorporación de empleados, pero también descentraliza el aprovisionamiento de recursos, lo que hace que la TI tenga problemas para saber qué ocurre, con quién y dónde. Esto también hace que no haya una fuente única y fiable de información sobre los datos o que se tenga una fuente de información sobre los datos que esté comprometida o sea incompleta. 

El aumento de la vulnerabilidad a los ciberataques

Cada instancia de la TI en la sombra amplía la superficie expuesta a ataques de una organización y, como las aplicaciones de la TI en la sombra son invisibles para la TI, tampoco están protegidas por las soluciones de ciberseguridad de la empresa. Además, los usuarios de las aplicaciones de TI en la sombra suelen usar unas credenciales y contraseñas poco seguras, que los ciberdelincuentes pueden aprovechar fácilmente para lograr acceder a la red de la empresa.

El aumento de los costes debido al incumplimiento normativo

La TI en la sombra suele generar costes indirectos en una organización, debido a las multas y las sanciones por incumplimientos normativos y a los daños en la reputación en caso de una vulneración de los datos. Por otro lado, aunque algunos empleados recurren a la TI en la sombra como una forma de reducir costes, el uso a largo plazo de aplicaciones y servicios de TI en la sombra, por ejemplo, de almacenamiento de datos, suele no ser rentable a gran escala.

Cómo gestionar y mitigar los riesgos de la TI en la sombra

¿Cuál es la causa principal de la TI en la sombra?

El hecho de que los empleados no tengan lo que necesitan para llevar a cabo su trabajo de la mejor manera posible. 

Por lo tanto, a medida que las instancias de la TI en la sombra proliferan, la responsabilidad de gestionarla y mitigarla corresponde a las personas que deben garantizar que los empleados tengan acceso a todas las herramientas, recursos y servicios que necesitan para hacer bien su trabajo. 

Para mitigar los riesgos de la TI en la sombra, las organizaciones pueden:

• Formar a los empleados en el uso seguro y correcto de todas las herramientas y tecnologías. 
• Hacer cumplir las normas y los protocolos sobre el aprovisionamiento de nuevos servicios.
• Destacar y reforzar constantemente (mediante vídeos, formaciones, etc.) las políticas de seguridad y cumplimiento normativo de la empresa.

Pero, además de todo lo anterior, lo mejor que una empresa puede hacer para mitigar los riesgos de la TI en la sombra es usar una tecnología avanzada, como FlashArray™ de Pure Storage® y las copias instantáneas, que,  combinadas, aumentan la accesibilidad y la visibilidad de los datos, para analizar múltiples fuentes de datos, conservando los datos localmente. Además, pueden trabajar con datos directamente guardados en el almacenamiento de objetos de FlashBlade® o en Pure Cloud Block Store™ en la nube —lo que elimina la necesidad de crear copias separadas de los datos compartidos con otras herramientas o flujos de trabajo—.

Consiga el libro electrónico Copias instantáneas para Dummies.

Más información sobre FlashBlade//S™. 

Descargue nuestra guía completa para la protección de datos.