¿Qué es Shadow IT?

¿Qué es Shadow IT?

La TI invisible es cualquier recurso de software, hardware o tecnología de la información (TI) utilizado en una red empresarial sin la aprobación, el conocimiento o la supervisión del departamento de TI.

Algunos ejemplos de TI invisible son el uso compartido de archivos de trabajo en una cuenta personal de almacenamiento en la nube, la celebración de reuniones a través de una plataforma de videoconferencia no autorizada cuando la empresa utiliza un servicio aprobado diferente o la creación de un chat grupal no oficial sin la aprobación de TI.

La TI invisible no incluye malware ni otros activos maliciosos plantados por hackers. Se refiere solo a los activos no autorizados implementados por los usuarios finales autorizados de la red.

Los usuarios finales y los equipos suelen adoptar la TI invisible porque pueden empezar a utilizarla sin esperar la aprobación de TI, o porque consideran que ofrece una funcionalidad mejor para sus fines que cualquier TI alternativa. Pero, a pesar de estos beneficios, la TI invisible puede plantear riesgos de seguridad significativos. Debido a que el equipo de TI no está al tanto de la TI invisible, no monitoriza esos activos ni aborda sus vulnerabilidades. La TI invisible es particularmente propensa a la explotación por parte de los hackers. 

Causas de la TI invisible

Según Cisco, el 80 % de los empleados de la empresa utilizan la TI invisible. Los empleados individuales adoptan a menudo la TI invisible por su comodidad y productividad: creen que pueden trabajar de forma más eficiente o eficaz al utilizar sus dispositivos personales y su software preferido, en lugar de los recursos de TI autorizados de la empresa. Otro estudio, citado por el IBM Institute for Business Value, descubrió que el 41 % de los empleados adquirían, modificaban o creaban tecnología sin el conocimiento de su equipo de TI/SI. 

Esto no ha hecho más que aumentar con la generalización del uso de la tecnología por parte de los consumidores y, más recientemente, con el auge del teletrabajo. El software como servicio (SaaS) permite a cualquier persona con una tarjeta de crédito y un mínimo de conocimientos técnicos implementar sofisticados sistemas de TI para la colaboración, la gestión de proyectos, la creación de contenido y más. Las políticas de bring your own device (BYOD) de las organizaciones permiten a los empleados utilizar sus propios ordenadores y dispositivos móviles en la red corporativa. Pero incluso con un programa formal de BYOD, los equipos de TI suelen carecer de visibilidad sobre el software y los servicios que los empleados utilizan en el hardware BYOD, y puede ser difícil hacer cumplir las políticas de seguridad de TI en los dispositivos personales de los empleados.

Pero la TI invisible no siempre es el resultado de que los empleados actúen solos: los equipos también adoptan las aplicaciones de TI invisible. Según Gartner, el 38 % de las compras de tecnología son gestionadas, definidas y controladas por los líderes empresariales en lugar de por TI. Los equipos desean adoptar nuevos servicios cloud, aplicaciones SaaS y otras tecnologías de la información, pero a menudo consideran que los procesos de compras implantados por el departamento de TI y el CIO son demasiado engorrosos o lentos. Así que eluden las TI para conseguir la nueva tecnología que desean. Por ejemplo, un equipo de desarrollo de software podría adoptar un nuevo entorno de desarrollo integrado sin consultar al departamento de TI, puesto que el proceso de aprobación formal retrasaría el desarrollo y haría que la empresa perdiera una oportunidad de mercado.

Boletín de Think

¿Su equipo detectaría a tiempo el próximo día cero?

Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprenda rápidamente de tutoriales de expertos y artículos explicativos, directamente en su bandeja de entrada. Consulte la Declaración de privacidad de IBM.

Su suscripción se enviará en inglés. Encontrará un enlace para darse de baja en cada boletín. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

https://www.ibm.com/es-es/privacy

Ejemplos de TI invisible

El software, las aplicaciones y los servicios de terceros no autorizados son quizás la forma más generalizada de TI invisible. Algunos ejemplos comunes son:

  • Aplicaciones de productividad como Trello y Asana
     

  • Aplicaciones de almacenamiento en la nube, uso compartido de archivos y edición de documentos como Dropbox, Google Docs, Google Drive y Microsoft OneDrive
     

  • Aplicaciones de comunicación y mensajería, como Skype, Slack, WhatsApp, Zoom, Signal, Telegram y cuentas de correo electrónico personales

Estos servicios en la nube y ofertas de SaaS suelen ser de fácil acceso, intuitivos de usar y disponibles de forma gratuita o a muy bajo coste, lo que permite a los equipos implementarlos rápidamente según sea necesario. A menudo, los empleados llevan estas aplicaciones de TI invisible al lugar de trabajo porque ya las utilizan en su vida personal. Los empleados también pueden ser invitados a usar estos servicios por clientes, socios o proveedores de servicios, por ejemplo, no es raro que los empleados se unan a las aplicaciones de productividad de los clientes para colaborar en proyectos.

Los dispositivos personales de los empleados (teléfonos inteligentes, ordenadores portátiles y dispositivos de almacenamiento, como unidades USB y discos duros externos) son otra fuente común de TI invisible. Los empleados pueden usar sus dispositivos para acceder, almacenar o transmitir recursos de red de forma remota, o pueden usar estos dispositivos en las instalaciones como parte de un programa BYOD formal. De cualquier manera, a menudo es difícil para los departamentos de TI descubrir, monitorear y administrar estos dispositivos con los sistemas tradicionales de gestión de activos.

Riesgos de la TI invisible

Aunque los empleados suelen adoptar la TI invisible por sus beneficios percibidos, los activos de TI invisible plantean riesgos potenciales de seguridad para la organización. Estos riesgos incluyen:

Pérdida de visibilidad y control de las TI

Dado que el equipo de TI generalmente desconoce los activos de TI invisible, las vulnerabilidades de seguridad en estos activos no se abordan. Los usuarios finales o los equipos departamentales pueden no comprender la importancia de las actualizaciones, los parches, las configuraciones, los permisos y los controles normativos y de seguridad críticos para estos activos, lo que agrava aún más la exposición de la organización.

Inseguridad de los datos

Los datos confidenciales pueden almacenarse, accederse a ellos o transmitirse a través de dispositivos y aplicaciones de TI invisible no seguros, lo que pone a la empresa en riesgo de vulneraciones o fugas de datos. Los datos almacenados en las aplicaciones de TI invisible no se capturarán durante las copias de seguridad de los recursos de TI autorizados oficialmente, lo que dificulta la recuperación de la información tras la pérdida de datos. Y la TI invisible también puede contribuir a la inconsistencia de los datos: cuando los datos se distribuyen en varios activos de TI invisible sin ninguna gestión centralizada, los empleados pueden estar trabajando con información no oficial, inválida u obsoleta.

Problema de cumplimiento

Regulaciones como la Ley de Responsabilidad y Portabilidad del Seguro Médico, el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago y el Reglamento General de Protección de Datos tienen requisitos estrictos para el procesamiento de información de identificación personal. Las soluciones de TI invisible creadas por empleados y departamentos sin experiencia en cumplimiento pueden no cumplir con estos estándares de seguridad de datos, lo que lleva a multas o acciones legales contra la organización.

Ineficiencias empresariales

Las aplicaciones de TI invisible pueden no integrarse fácilmente con la infraestructura de TI autorizada, obstruyendo los flujos de trabajo que dependen de información o activos compartidos. Es poco probable que el equipo de TI tenga en cuenta los recursos de TI invisible al introducir nuevos activos sancionados o al aprovisionar la infraestructura de TI para un departamento determinado. Como resultado, el departamento de TI puede realizar cambios en la red o en los recursos de la red de manera que interrumpan la funcionalidad de los activos de TI invisible en los que confían los equipos.

Beneficios de la TI invisible

En el pasado, las organizaciones trataban a menudo de mitigar estos riesgos prohibiendo por completo la TI invisible. Sin embargo, los líderes de TI aceptan cada vez más la TI invisible como algo inevitable, y muchos han llegado a aprovechar sus beneficios empresariales . Entre estos beneficios se incluyen:

  • Permitir que los equipos sean más ágiles a la hora de responder a los cambios en el panorama empresarial y a la evolución de las nuevas tecnologías
     

  • Permitir que los empleados utilicen las mejores herramientas para sus trabajos
     

  • Agilizar las operaciones de TI al reducir los costes y recursos necesarios para adquirir nuevos activos de TI.

Para mitigar los riesgos de la TI invisible sin sacrificar estos beneficios, muchas organizaciones ahora buscan alinear la TI en la sombra con los protocolos de seguridad de TI estándar en lugar de prohibirla por completo. Para ello, los equipos de TI suelen implantar tecnologías de ciberseguridad como las herramientas de gestión de la superficie de ataque, que monitorizan continuamente los activos de TI de una organización que se conectan a Internet para descubrir e identificar la TI invisible a medida que se adopta. Entonces estos activos invisibles pueden evaluarse para detectar vulnerabilidades y solucionarse. 

Las organizaciones también pueden utilizar software de agente de seguridad de activos en la nube (CASB), que garantiza conexiones seguras entre los empleados y cualquier activo en la nube que utilicen, incluidos activos conocidos y desconocidos. Los CASB pueden descubrir servicios en la nube invisible y someterlos a medidas de seguridad como el cifrado, las políticas de control de acceso y la detección de malware. 
Soluciones relacionadas
Soluciones de seguridad para la empresa

Transforme su programa de seguridad con las soluciones del mayor proveedor de seguridad empresarial.

 Explore las soluciones de ciberseguridad
Servicios de ciberseguridad

Transforme su negocio y gestione el riesgo con servicios de consultoría de ciberseguridad, nube y seguridad gestionada.

         Explore los servicios de ciberseguridad
    Ciberseguridad de la inteligencia artificial (IA)

    Mejore la velocidad, la precisión y la productividad de los equipos de seguridad con soluciones de ciberseguridad basadas en IA.

         Explore la ciberseguridad de la IA
    Dé el siguiente paso

    Tanto si necesita soluciones de seguridad de datos, de gestión de endpoints o de gestión de identidades y accesos (IAM), nuestros expertos están dispuestos a trabajar con usted para lograr una posición de seguridad sólida. Transforme su empresa y gestione los riesgos con un líder de la industria mundial mundial en consultoría de ciberseguridad, cloud y servicios de seguridad gestionados.

         Explore las soluciones de ciberseguridad Descubra los servicios de ciberseguridad