Navegar los riesgos de la TI en la sombra

¿Qué es la TI en la sombra?

El término "TI en la sombra" se refiere al uso de herramientas no autorizadas, aplicaciones de terceros, software en línea o dispositivos dentro de una organización sin el conocimiento o la aprobación del departamento de TI. Los empleados a menudo utilizan estos recursos no autorizados para mejorar su productividad laboral y acceder a funciones que no están disponibles a través de recursos autorizados.

Algunos ejemplos de TI en la sombra incluyen el uso de almacenamiento personal en la nube como Google Drive o One Drive, herramientas de comunicación de terceros como WhatsApp o Slack y aplicaciones de productividad como ClickUp o TickTick. Si bien estas herramientas pueden mejorar la productividad, también pueden introducir vulnerabilidades significativas de seguridad y riesgos de cumplimiento para la empresa. A veces, estas aplicaciones carecen de medidas de seguridad adecuadas, cifrado de datos y controles de cumplimiento normativo, lo que puede hacer que los datos confidenciales sean vulnerables a violaciones y accesos no autorizados.

¿Por qué la TI en la sombra es un problema creciente?

La TI en la sombra representa un reto creciente para muchas organizaciones. Estas son las principales razones por las que la TI en la sombra puede convertirse en un problema para su organización:

Familiaridad y facilidad de acceso a la tecnología

Los empleados tienen fácil acceso (y experiencia con) tecnologías avanzadas como servicios en la nube y aplicaciones SaaS, que pueden ayudarlos a encontrar soluciones rápidas de forma independiente.

Considere una situación en la que un empleado prefiere usar Asana para gestionar tareas de manera eficiente porque las herramientas de gestión de proyectos aprobadas por la empresa son menos intuitivas y carecen de ciertas características. Frustrado por las limitaciones, el empleado sigue utilizando Asana para controlar sus entregables, ampliando aún más la brecha entre las tecnologías de TI corporativas y las expectativas de los empleados.

Provisión inadecuada por parte del departamento de TI corporativo

La discrepancia entre las tecnologías de TI corporativas y las necesidades de los empleados a menudo lleva a los empleados a buscar soluciones alternativas para simplificar su trabajo. Cuando las herramientas corporativas son insuficientes o se producen retrasos en las adquisiciones, los empleados recurren a la TI en la sombra para satisfacer sus necesidades inmediatas.

Por ejemplo, considere una situación en la que los empleados necesitan compartir y colaborar en documentos rápidamente, pero encuentran que el sistema de intercambio de archivos corporativo es engorroso o anticuado. Frustrados por estas limitaciones, comienzan a utilizar servicios de nube de uso común como Dropbox o Google Drive para compartir y gestionar la información de la empresa. Esta falta de gobernanza, tanto en el intercambio como en la gestión de contenidos, puede generar resultados arriesgados.

Aunque estas soluciones temporales en línea satisfacen sus necesidades inmediatas, presentan riesgos relacionados con la privacidad de los datos y el cumplimiento de normativas. La falta de gobernanza sobre el contenido compartido y gestionado en estos servicios puede llevar a vulneraciones de seguridad de datos e incumplimiento de las normas del sector. Esta situación resalta la importancia de cerrar la brecha entre las provisiones de TI corporativas y las expectativas de los empleados.

Rápidos avances tecnológicos

Los avances tecnológicos están superando rápidamente la capacidad de TI corporativa para seguir el ritmo de las nuevas herramientas y aplicaciones debido al proceso de aprobación corporativa, que a menudo es tedioso. Esto genera una disparidad entre las herramientas y aplicaciones que los empleados necesitan (y están acostumbrados a usar fuera del trabajo) y lo que el departamento de TI corporativo puede proveer actualmente.

Como resultado, los empleados a menudo recurren a soluciones tecnológicas de acceso público para mantener y mejorar su productividad, incluso si esas soluciones no están autorizadas. Por ejemplo, podrían utilizar las versiones más recientes y no aprobadas de herramientas de IA, como ChatGPT, para redactar correos electrónicos e informes, eludiendo el software y los protocolos aprobados por la empresa.

Aunque estas herramientas de IA aumentan significativamente la productividad, también pueden introducir riesgos que no son visibles para el departamento de TI corporativo, como vulneraciones de seguridad de datos e incumplimiento de las normas de la industria. Esta situación destaca la necesidad de que el departamento de TI corporativo se mantenga al ritmo de los avances tecnológicos y se alinee estrechamente con las necesidades de los empleados.

Tendencias del trabajo remoto

El auge del trabajo remoto ha contribuido significativamente a la proliferación de la TI en la sombra, ya que los empleados dependen de dispositivos personales y aplicaciones externas que no son supervisados ni controlados por la seguridad de TI de la organización. Muchos empleados remotos utilizan computadoras portátiles personales, teléfonos inteligentes y servicios basados en la nube para llevar a cabo sus tareas, lo que conlleva posibles riesgos de seguridad y desafíos para la gestión de datos.

Esta tendencia resalta la necesidad de que las organizaciones ajusten sus estrategias de TI para facilitar el trabajo remoto seguro. Al comprender las herramientas que es probable que los empleados utilicen y al mantener la seguridad y la eficiencia, las empresas pueden gestionar mejor los riesgos asociados con la TI en la sombra mientras mantienen una fuerza laboral remota productiva.

Los riesgos de la TI en la sombra

La TI en la sombra implica muchos riesgos que pueden comprometer la seguridad y la integridad de una organización. Es importante estar familiarizado con los posibles riesgos, incluidos los siguientes:

• Seguridad de los datos: las aplicaciones no aprobadas pueden provocar violaciones y fugas de datos, poniendo en riesgo los datos sensibles. Este riesgo de seguridad existe tanto si el uso de estas aplicaciones es intencional como si no lo es, destacando la importancia de la vigilancia y el control sobre los recursos de TI.


• Infracciones de cumplimiento: el uso de software no autorizado puede dar lugar al incumplimiento de las regulaciones y estándares de la industria, exponiendo a la organización a sanciones legales y financieras. Los empleados que utilizan servicios de almacenamiento en la nube no aprobados para almacenar y compartir información confidencial pueden provocar infracciones de las regulaciones de protección de datos como el RGPD o la HIPAA, lo que expone a la organización a un riesgo significativo.


• Infecciones de malware: el uso de aplicaciones no verificadas aumenta el riesgo de que el malware y otras ciberamenazas se infiltren en la red de la organización, lo que podría llevar a compromisos del sistema y pérdida de datos.


• Aumento de los costos: los costos ocultos de TI surgen de la duplicación de funcionalidades, donde se utilizan diversas herramientas con capacidades superpuestas sin coordinación. Además, los gastos de software no rastreados y la remediación de problemas de seguridad causados por aplicaciones no autorizadas afectan negativamente el presupuesto y los recursos de la organización.


• Reducción de la productividad: la gestión y resolución de problemas de recursos de TI no autorizados puede distraer al personal de TI de sus responsabilidades principales, disminuyendo la productividad general. Aunque las herramientas no autorizadas pueden satisfacer a los usuarios finales, a menudo requieren trabajo adicional, como cumplir con los requisitos de retención o abordar las infracciones de seguridad para cumplir con las directrices organizacionales.

Ejemplos de tipos comunes de shadow IT

Existen muchos tipos de TI en la sombra, y reconocerlos ayuda a superar los desafíos que plantea el TI en la sombra. Comprender estos tipos comunes es esencial para que las organizaciones aborden y mitiguen eficazmente los riesgos asociados. Estos son algunos ejemplos de TI en la sombra de los que las organizaciones deben ser conscientes:

• SaaS y aplicaciones de productividad: aplicaciones como Google Docs, Trello, Slack, Asana y Dropbox son conocidas por su funcionalidad, pero a menudo carecen de la aprobación formal de TI. Según el informe State of SaaS 2023 de Productiv, el 51 % de las aplicaciones SaaS en las organizaciones se clasifican como TI en la sombra.


• Herramientas de comunicación: herramientas como WhatsApp, Skype y Zoom facilitan la colaboración, pero eluden los canales de comunicación seguros establecidos por TI. Esto introduce riesgos de seguridad, ya que la información sensible puede no estar adecuadamente protegida.


• Políticas de dispositivos personales o de uso de dispositivos propios: los empleados a menudo utilizan sus dispositivos personales, incluidos las computadoras portátiles y los teléfonos inteligentes, para fines laborales. Sin las medidas de seguridad adecuadas para proteger y monitorear estos dispositivos, la organización se vuelve vulnerable a brechas de seguridad.


• Dispositivos IoT: los dispositivos IoT no aprobados conectados a la red de la empresa representan amenazas para la seguridad. Dispositivos como rastreadores de actividad física y televisores inteligentes utilizados en un entorno laboral sin la supervisión y protección adecuadas pueden introducir vulnerabilidades inesperadas, como el acceso no autorizado a la red o fugas de datos.

Cómo las soluciones modernas de gestión de contenido mitigan los riesgos de shadow IT

Las soluciones de gestión de contenido de Hyland ayudan a minimizar los riesgos asociados con la TI en la sombra mediante funciones integrales de gestión y seguridad. A continuación, se presentan las características clave que ofrecen las plataformas de Hyland para abordar los riesgos de TI en la sombra:

• La gestión centralizada de datos optimiza la seguridad de los datos y el monitoreo del acceso, asegurando que toda la información se almacene en un único repositorio seguro.


• Los sólidos protocolos de seguridad, que incluyen características avanzadas como cifrado, controles de acceso y detección de amenazas, ayudan a proteger contra el acceso no autorizado, las brechas de datos y las amenazas cibernéticas, preservando la confidencialidad de la información sensible.


• Las capacidades de uso compartido y colaboración seguras ayudan a posibilitar un intercambio de información seguro y controlado, tanto interna como externamente. Esto disminuye la dependencia de herramientas no autorizadas que presentan riesgos de seguridad.


• Las capacidades de cumplimiento normativo ofrecen herramientas para una gestión adecuada de los archivos y trazabilidad de auditoría. Esto asegura que todas las prácticas de manejo de datos cumplan con los estándares legales y regulatorios.


• La integración inteligente mejora la experiencia del usuario con herramientas aprobadas por la empresa, simplificando los flujos de trabajo y manteniendo la uniformidad de los datos en diferentes sistemas. Este enfoque reduce la necesidad de software no autorizado y fomenta un entorno seguro y supervisado.


• La gestión integral de usuarios capacita a los departamentos de TI para controlar eficazmente el acceso y los permisos. La configuración de permisos granulares permite derechos de acceso personalizados basados en roles de usuario, mitigando el riesgo de acceso no autorizado a los datos y mejorando la protección general de los datos.