Hacer frente a la amenaza fantasma: la shadow IT
¿Qué es la shadow IT?
Desde hace mucho tiempo, en muchas organizaciones, los distintos departamentos consideran que los departamentos informáticos no están lo bastante disponibles, no son lo bastante rápidos o ponen demasiados límites para responder a sus expectativas, por lo que tratan de prescindir de su DSI. Ya en los años 80, en la era de la microinformática naciente en contraposición a los sistemas grandes y pequeños, vimos la aparición de equipos de "microinformática" en los departamentos empresariales, que desarrollaban sus propias soluciones, desconectadas del sistema central y completamente al margen del DSI de la organización. Tuvieron que pasar muchos años para que los DSI se apropiaran de la microinformática, la integraran en su estrategia y finalmente recuperaran el control del SI.
En los últimos años, la llegada de las ofertas de SaaS (Software as a Service) y, más en general, la nube, ofrecen infinitas posibilidades de prescindir del servicio informático e implantar soluciones de aplicación desconectadas del sistema de información de la organización. Estas soluciones "en línea", a las que se accede de forma muy sencilla a través de un navegador y el propio acceso a Internet de la organización, a menudo no requieren ninguna instalación especial en el PC y difícilmente activan alertas en el departamento de TI.
En la mayoría de los casos, no es necesaria la intervención de los servicios informáticos, no se necesitan derechos administrativos en el puesto de trabajo, no hay flujos de red que abrir ni normas de seguridad que eludir y el acceso no es más que una navegación web estándar, en principio autorizada para los usuarios....
¿Es la shadow IT una amenaza?
No hay consenso sobre esta cuestión, la prensa especializada e Internet están llenos de artículos a favor de la shadow IT. No cabe duda de que la shadow IT mejora la eficacia de sus usuarios a muy corto plazo, estimula la innovación y de que a menudo ofrece un acceso más rápido a los recursos necesarios, a veces a un coste reducido, gracias al uso de servicios en la nube gratuitos o asequibles. También permite mejorar la comunicación y la colaboración gracias a aplicaciones y plataformas especialmente intuitivas y accesibles, ¡lo más en una experiencia de usuario positiva frente a la reducción de la administración y la burocracia! Y tanto si hablamos del uso de aplicaciones gratuitas por iniciativa de los usuarios, como de soluciones SaaS financiadas por la organización pero fuera del presupuesto del departamento de TI, no se puede dudar de las buenas intenciones que hay detrás de la decisión de implantar la shadow IT, e incluso de todos los beneficios que sus partidarios habrán obtenido de este uso.
Sin embargo, cualesquiera que sean las razones para implantar estas soluciones, y por muy eficaces que sean, la shadow IT conlleva una serie de riesgos de los que probablemente no son plenamente conscientes quienes las inician o utilizan. Y los principales riesgos son inherentes al hecho de que el DSI desconoce la existencia...
Prevenir la aparición de la shadow IT
La suma de varios factores está impulsando el creciente despliegue de la shadow IT: por un lado, una oferta cada vez más amplia de soluciones en la nube fáciles de implementar; por otro, una gran necesidad de responder rápido a lo que parecen requisitos vitales, así como el uso cada vez más extendido de la informática personal con herramientas gratuitas, fáciles de usar y ricas en funciones.
Pero lo más importante en la aparición y el desarrollo de la shadow IT es, concretamente, el deseo de los empleados de trabajar de forma más eficaz con sus programas favoritos que ya utilizan a título personal, o la ambición de los directivos de dotar a sus equipos de soluciones que consideran mejores que los medios informáticos aprobados por la empresa. Hasta el punto que cuando un departamento informático detecta el uso de este tipo de herramientas y quiere prohibirlas, las quejas llegan hasta el comité de dirección, con una ristra de argumentos negativos contra el departamento informático, como si su objetivo fuera, en última instancia, impedir que el resto de departamentos fueran eficaces.
Debemos tomar nota de esta nueva situación, y si bien los departamentos de TI deben seguir siendo los garantes de la coherencia, el cumplimiento y la seguridad del SI, así como de sus activos de información...
Detección y gestión de la shadow IT
El objetivo es tanto utilizar herramientas técnicas capaces de contener o detectar la presencia de shadow IT en el SI como gobernar mejor el funcionamiento de los departamentos con el departamento de TI para detectar el uso de shadow IT.
La detección técnica de la presencia de shadow IT en el SI no requiere necesariamente la implementación de herramientas específicas, sino más bien la configuración de herramientas estándar de ciberseguridad y el seguimiento específico de las señales, a veces débiles pero significativas, de la presencia de shadow IT reveladas por estas mismas herramientas. Se pueden combinar varias soluciones:
-
Herramientas de uso de los terminales (por ejemplo, EDR - Endpoint Detection and Response), que recopilan y analizan el comportamiento de los terminales y también pueden reaccionar con una respuesta (por ejemplo, bloqueando el acceso a un recurso).
-
Los dirigidos más específicamente a la red y que pueden impedir o detectar el acceso a recursos no autorizados en la nube, por ejemplo, cortafuegos, proxy, NAC (Network Access Control), SASE (Secure Access Service Edge).
-
Herramientas que cubren todas las infraestructuras y realizan análisis cruzados y correlacionados, como XDR (eXtended Detection and Response) o SIEM (Security Information & Event Management).
También existen herramientas...