El concepto Shadow IT o TI Invisible es un término que existe desde hace tiempo y que hace referencia a todos aquellos dispositivos, hardware o servicios que se encuentran fuera del control del departamento TI y que no cuentan con el permiso explícito corporativo.

Se trata de la evasión de filtros o falta de control de algunas aplicaciones o gadgets por parte de los usuarios ya que los administradores de TI no se dan cuenta que al abrir permisos para apps corporativas también abren la puerta a amenazas que están fuera de control, puesto que sin querer otorgan privilegios a los usuarios para el uso de otras aplicaciones que tienen funcionalidades parecidas pero que no están autorizadas por las políticas corporativas. Así mismo crece la tendencia de los usuarios para utilizar herramientas tecnológicas y apps que no están autorizadas y pasan por alto notificar a sus departamentos de IT sobre su uso, aumentando con esta práctica los riegos sobre la información digital.

¿Cómo puede una empresa gestionar el Shadow IT?

Para ello es importante realizar una monitorización de la red corporativa para averiguar qué software y aplicaciones están utilizando los usuarios, para intentar proteger la información sensible o propiedad intelectual de la organización.

Es vital utilizar firewalls y proxies que ayuden a aminorar los riesgos y visualicen el acceso a aplicaciones de terceros siempre como parte de una estrategia que cubra las necesidades de la compañía y los usuarios. Esto es importante puesto que los negocios crecen a una velocidad vertiginosa y los departamentos también necesitan crecer al tiempo para cubrir sus necesidades as-a-service, lo cual, no suele ocurrir al mismo ritmo, de ahí que haya usuarios que decidan utilizar aplicaciones y software que aún no está aceptado por el departamento IT o por la política de la empresa, al aumentar esta práctica se incrementan los riesgos sobre la información digital y aparecen nuevas brechas de seguridad.

El Shadow IT es muy habitual cuando hablamos de BYOD – Bring Your Own Device –  o de móviles corporativos donde los usuarios instalan aplicaciones y utilizan servicios en la nube en dispositivos no autorizados o que estando autorizados no cuentan con una VPN para acceder a la información corporativa. Disponer de una VPN es una buena opción ya que se restringe la información que se guarda y que el acceso pueda ser bloqueado de forma remota en caso de robo o pérdida del dispositivo corporativo.

El departamento de TI también debe realizar pruebas sobre posibles vulnerabilidades que puedan afectar a los dispositivos y estar preparados para su manejo en control remoto. Es importante que conozca el número de dispositivos conectados a las redes corporativas y que puedan ser perfectamente identificados.

Es indudable el número de ventajas que trae para una empresa el acceso a servicios en la nube, la utilización de aplicaciones, el uso de determinado hardware… esto incrementa la productividad de las organizaciones y contribuye al negocio, por tanto, es importante buscar opciones que no restrinjan el Shadow IT si no que ofrezcan alternativas a las empresas siempre que sea para su beneficio.

Así mismo las decisiones a cerca de una estrategia de seguridad para esta práctica deberían basarse en evaluaciones de riesgos, que permitan a la empresa y a los departamentos de IT encargados de su desarrollo, estimar el impacto que representaría para la empresa un incidente de Shadow IT y mitigar las posibles vulnerabilidades. Es importante diseñar un plan con las medidas oportunas que ayuden a reducir el impacto y que especifique cómo se actuaría en caso de un incidente de seguridad.