Con el aumento de la computación en el Cloud, el Internet de las cosas (IoT) y la cultura de «trae tu propio dispositivo» (BYOD), además de las últimas tendencias de trabajo híbrido, los usuarios toman cada vez más los asuntos de TI en sus propias manos.
Supongamos que su empresa utiliza Microsoft Teams para las videoconferencias, pero un miembro del departamento de ventas necesita la aplicación Zoom para comunicarse con un cliente potencial. El empleado se adelanta y descarga el software de Internet sin consultar al departamento de TI. La persona tiene buenas intenciones, queriendo hacer el trabajo, pero esta práctica cae en la problemática práctica de la TI en la sombra.
¿Qué es la TI en la sombra?
Este término se refiere a los «dispositivos, software y servicios de TI fuera de la propiedad o el control de las organizaciones de TI», según la definición de Gartner. Los ejemplos de Shadow IT incluyen intentos de:
- Instalar aplicaciones no autorizadas.
- Conectar dispositivos personales a la red de la empresa.
- Resolver problemas tecnológicos sin la orientación de TI.
- Crear una nueva cuenta (por ejemplo, registrarse en un sitio web con su correo electrónico de trabajo).
Como práctica que aporta tanto beneficios como riesgos a las organizaciones, las opiniones están divididas cuando se trata de la TI en la sombra. Siempre habrá un grado de TI en la sombra, ya que los empleados intentan personalizar su uso de la tecnología en el lugar de trabajo. Pero entender las causas de la TI en la sombra ofrece una oportunidad para que las organizaciones mejoren la experiencia digital y el compromiso.
Con la herramienta de gestión de la experiencia digital adecuada, los equipos de TI tienen la visibilidad necesaria para minimizar cualquier brecha de seguridad y rendimiento.
Qué motiva a los usuarios a recurrir a la tecnología no autorizada
La pandemia de Covid-19 y las fuerzas de trabajo distribuidas han puesto de manifiesto la falta de supervisión de las TI en las organizaciones, ya que los empleados se conectan a las redes corporativas de forma remota y toman la iniciativa para mejorar su propia experiencia digital. Los usuarios pueden recurrir a la tecnología no autorizada para cubrir una necesidad que ven en su jornada laboral. En otras palabras, podrían estar intentando:
- Acelerar los procesos de trabajo.
- Trabajar mejor con las partes interesadas externas.
- Fomentar la innovación probando nuevas herramientas.
- Personalizar su experiencia con la tecnología en el lugar de trabajo.
- Resolver los problemas de TI más rápidamente.
Pasar por un proceso de aprobación para utilizar un nuevo servicio o aplicación puede llevar tiempo y afectar a la productividad. También puede crear resistencia a encontrar nuevas y mejores formas de trabajar e innovar.
La lentitud de la respuesta del servicio de asistencia técnica es otro factor que impulsa la TI en la sombra. Los problemas técnicos son una fuente común de frustración para los empleados porque pueden causar retrasos y tiempos de inactividad.
La lentitud en la resolución afecta también a la productividad y el compromiso del personal. Si los usuarios creen que tardarán demasiado en resolver los problemas de TI enviando tickets de soporte, podrían intentar encontrar y utilizar soluciones por su cuenta. La investigación de Lakeside Software sobre la experiencia digital de los empleados (DEX) indica que la mayoría de los empleados sólo informan de un problema tecnológico a los departamentos de TI el 60% de las veces o menos.
Mayor productividad e innovación son los beneficios de la TI en la sombra
A veces, la TI en la sombra puede ayudar a fomentar la innovación y la productividad. En muchos casos, los empleados sólo intentan utilizar aplicaciones que les permitan seguir siendo productivos.
El 97% de los profesionales de TI encuestados en Estados Unidos afirman que los empleados son más productivos cuando se les permite utilizar sus tecnologías preferidas, según una encuesta realizada por Entrust, una empresa de seguridad de TI. Sin embargo, la investigación de Lakeside indica que sólo el 46% de los empleados encuestados disponen de todas las herramientas digitales y el apoyo necesario para ser productivos.
Los usuarios suelen tener buenas intenciones al desplegar sus propias soluciones tecnológicas. Tomemos el ejemplo de CCleaner, un popular software de limpieza del sistema que muchas personas descargan para mejorar el rendimiento de sus ordenadores eliminando cookies, archivos no utilizados y otras tareas sencillas. En 2017, los malos actores instalaron una puerta trasera en este software de utilidad, permitiendo la descarga de más malware. El hackeo de CCleaner afectó a más de 2,27 millones de ordenadores, lo que pone de manifiesto los riesgos de descargar apps sin la autorización y el control de TI.
Los empleados a menudo desconocen las políticas de la empresa en relación con la TI en la sombra y no son conscientes de los problemas de seguridad. Muchas empresas no cuentan con esas políticas. Entrust descubrió que el 37% de los profesionales encuestados afirman que su organización carece de claridad sobre las consecuencias internas del uso de soluciones sin la aprobación de TI.
Riesgos de seguridad de la TI en la sombra
La principal preocupación de la tecnología no autorizada es la falta de control y visibilidad del entorno digital. Los equipos de TI no pueden proteger dispositivos y aplicaciones que no conocen. Este punto ciego deja a las organizaciones vulnerables a las ciberamenazas, las violaciones de datos, los problemas de rendimiento del sistema y el incumplimiento de las normativas.
Mayor exposición a las amenazas
La TI en la sombra aumenta la superficie de ataque porque hay más dispositivos conectados a su red. En otras palabras, hay más puntos de acceso que pueden ser explotados. Un informe sobre resiliencia cibernética sugiere que el 21% de las organizaciones tuvieron incidentes cibernéticos debido a recursos de TI no sancionados. El estudio también revela que el 60% de las organizaciones no incluyen la TI en la sombra en sus evaluaciones de amenazas.
Los resultados de la encuesta realizada por 1Password a 2.119 trabajadores de oficina indican que el 63,5% ha creado al menos una cuenta sin la autorización o el conocimiento de su organización. La encuesta también analizó los hábitos en materia de contraseñas de aquellos que crearon cuentas de TI en la sombra:
- Reutilización de contraseñas memorables: 33.2%
- Uso de un patrón de contraseñas similares: 48.2%
- Elección de una contraseña única cada vez: 2,6%.
Las contraseñas débiles hacen que las organizaciones sean susceptibles de sufrir fallos de seguridad. Las credenciales comprometidas podrían utilizarse para acceder a la red corporativa y a la información sensible.
Ineficacia operativa
El almacenamiento de datos en múltiples ubicaciones puede crear ineficiencias en el sistema y silos de información. Si un empleado es despedido, la organización puede tener dificultades para acceder a los datos almacenados en los servicios en la nube.
Además, los dispositivos y sistemas no autorizados pueden afectar al rendimiento de la red si no se controlan. Por ejemplo, un incidente relacionado con la latencia del sistema podría ser causado por un software no autorizado que consume la mayor parte del uso de la CPU.
Riesgos de cumplimiento
Las organizaciones suelen estar sujetas a regulaciones sobre el almacenamiento de datos sensibles, y pueden enfrentarse a multas o demandas si exponen los datos sensibles a violaciones. La TI en la sombra crea puntos de auditoría adicionales para garantizar el cumplimiento de la normativa.
La visibilidad integral de las TI es fundamental
La gestión de los problemas de ciberseguridad es la principal prioridad para el 40% de los directores generales encuestados en el estudio DEX de Lakeside. Según el estudio, el 31% del personal de TI encuestado citó la proliferación de la tecnología de la información en la sombra como el principal obstáculo para garantizar que la TI proporcione una experiencia digital superior a los empleados.
El aumento de la TI en la sombra refuerza la necesidad de:
- Políticas de TI en la sombra perfiladas, que pueden ayudar a empoderar a los empleados.
- La gestión de la experiencia digital (DEM), que proporciona a TI visibilidad de lo que hacen los empleados.
El papel de la Gestión digital de la experiencia de los empleados en la gestión de la TI en la sombra
Las herramientas de gestión de la experiencia digital -como Digital Experience Cloud de Lakeside, con tecnología de SysTrack– dan a las organizaciones la visibilidad que necesitan para contrarrestar los riesgos de seguridad de la TI en la sombra. La plataforma de Lakeside recopila datos de experiencia a través de telemetría del endpoint y encuestas, lo que permite al departamento de TI supervisar y medir cómo interactúan los empleados con la tecnología del lugar de trabajo, ya sea departamental o de consumo.
La monitorización de la experiencia digital también puede ayudar a resolver los puntos de dolor de los usuarios y minimizar su necesidad de participar en prácticas no autorizadas. La visibilidad integral permite a las organizaciones:
- Entender qué tipo de aplicaciones y dispositivos utilizan los empleados. Con estos datos, el departamento de TI puede ajustar los recursos en función de las necesidades de los empleados.
- Asegurarse de que los empleados siguen las mejores prácticas de ciberseguridad y privacidad de datos.
- Mantener el cumplimiento de la normativa y el rendimiento del sistema.
- Supervise las amenazas, analice los sistemas y aplique parches a las aplicaciones en busca de vulnerabilidades.
- Resuelva rápidamente los problemas de TI gracias al análisis automatizado de la causa raíz (RCA).
- Adopte un enfoque proactivo del soporte de TI, solucionando los problemas antes de que los usuarios se vean afectados.
Articulo original: https://www.lakesidesoftware.com/how-manage-shadow-it-your-organization/
Escrito por John Lynch de Lakeside
Traducido por Víctor Crespo de Towers IT
