TI en la sombra es el uso de software, dispositivos, sistemas o aplicaciones de TI por parte de departamentos o personas dentro de una organización sin el consentimiento o conocimiento explícito del departamento de TI de esa organización. El uso de aplicaciones de TI en la sombra ha crecido considerablemente en los últimos años, principalmente debido a la proliferación del trabajo remoto y el uso de servicios y aplicaciones basados en la nube. Si bien la TI en la sombra puede acelerar la productividad y la innovación, también puede introducir graves riesgos de seguridad y problemas de cumplimiento, especialmente cuando los datos se almacenan en lugares que TI no conoce.
Ejemplos de aplicaciones y actividades de TI en la sombra
Cualquier aplicación utilizada para fines comerciales sin involucrar al departamento de TI de la organización puede considerarse una aplicación de TI en la sombra.
Las aplicaciones de TI en la sombra se dividen en cuatro categorías principales:
- Aplicaciones basadas en la nube a las que los usuarios acceden directamente a través de la red corporativa.
- Aplicaciones basadas en la nube a las que los usuarios acceden a través de aplicaciones SaaS como Microsoft Office 365 o Google Workspace.
- Software listo para usar comprado por un departamento o usuario final y cargado en el sistema (ahora menos común).
- Software desarrollado a medida que se ejecuta en la computadora portátil corporativa de una persona.
Entre los ejemplos de actividades de TI en la sombra se incluyen los siguientes:
- La descarga y el uso no autorizado de aplicaciones de flujo de trabajo o productividad como Trello o Asana.
- La creación y el uso de cargas de trabajo en la nube configuradas a través de cuentas o credenciales personales o departamentales.
- La compra y/o el uso no autorizados de aplicaciones SaaS de terceros u otras suscripciones a servicios en la nube que no estén siendo monitoreadas por el departamento de TI de una organización.
- Usar plataformas de mensajería personal o aplicaciones de comunicación como WhatsApp o Signal para la comunicación relacionada con el trabajo.
- Usar cuentas de correo electrónico personales para realizar negocios.
- Traiga su propio dispositivo (BYOD) no autorizado.
Riesgos de TI en la sombra
Es difícil o casi imposible proteger sus datos si los empleados los almacenan en ubicaciones fuera del control de su empresa. Su departamento de TI tampoco puede saber qué datos de clientes de su empresa están en riesgo si no saben dónde viven esos datos.
En consecuencia, los principales riesgos de seguridad de la TI en la sombra son los siguientes:
Pérdida de datos
Debido a que su empresa no puede acceder a los datos almacenados en cuentas personales o en computadoras portátiles personales, perderá esos datos cuando el empleado se vaya o se suelte. Además, dado que los datos de esas cuentas personales no están sujetos a políticas y procedimientos corporativos, es posible que no se realicen copias de seguridad, archivos o cifrados de manera adecuada según la política de la empresa.
Menor visibilidad y control
La TI en la sombra presenta problemas graves con la visibilidad y el control por la misma razón que presenta problemas graves con la pérdida de datos: No puede asegurar lo que no puede ver. El aumento en el uso del autoaprovisionamiento puede acelerar la productividad y la incorporación, pero también descentraliza el aprovisionamiento de recursos, lo que hace que TI tenga problemas para saber qué está sucediendo, con quién y dónde. Esto también lleva a no tener una única fuente confiable de verdad para los datos, o a tener una fuente comprometida o incompleta de verdad para los datos.
Mayor vulnerabilidad a los ciberataques
Cada instancia de TI en la sombra expande la superficie de ataque de una organización y, dado que las aplicaciones de TI en la sombra no son visibles para TI, tampoco están protegidas por las soluciones de ciberseguridad de la empresa. Además, los usuarios de aplicaciones de TI en la sombra suelen usar credenciales y contraseñas débiles que los ciberdelincuentes pueden explotar fácilmente para obtener acceso a una red corporativa.
Aumento de los costos debido al incumplimiento
La TI en la sombra a menudo introduce costos indirectos a una organización en forma de multas y sanciones regulatorias, además de daños a la reputación en el caso de una filtración de datos. Además, si bien algunos empleados pueden recurrir a la TI en la sombra como una forma de reducir costos, el uso a largo plazo de aplicaciones y servicios de TI en la sombra, como el almacenamiento de datos, a menudo no es rentable a escala.
Cómo administrar y mitigar los riesgos de TI en la sombra
¿Cuál es la principal causa de TI en la sombra?
Los empleados no tienen lo que necesitan para hacer su trabajo lo mejor que puedan.
En consecuencia, a medida que proliferan las instancias de TI en la sombra, la responsabilidad de administrarlas y mitigarlas recae en las personas responsables de asegurarse de que los empleados tengan acceso a todas las herramientas, los recursos y los servicios que necesitan para hacer bien su trabajo.
Para mitigar los riesgos de TI en la sombra, las organizaciones pueden:
- Capacite a los empleados sobre el uso seguro y adecuado de todas las herramientas y tecnologías.
- Hacer cumplir las reglas y los protocolos en torno al aprovisionamiento de nuevos servicios.
- Resalte y refuerce constantemente (a través de videos, capacitación, etc.) las políticas de la empresa en torno a la seguridad y el cumplimiento.
Pero, además de todo lo anterior, lo mejor que una empresa puede hacer para mitigar los riesgos de TI en la sombra es usar tecnología avanzada como Pure Storage ® FlashArray ySnapshots, que, combinadas, aumentan la accesibilidad y visibilidad de los datos para analizar varias fuentes de datos mientras mantienen sus datos locales. Pueden trabajar con datos directamente almacenados en el almacenamiento de objetos FlashBlade ® o Pure Cloud Block Store ™ en la nube, lo que elimina la necesidad de crear copias separadas de datos compartidos con otras herramientas o flujos de trabajo.
Obtenga el libro electrónico Snapshots for Dummies .
Obtenga más información sobre FlashBlade//S ™.
Descargue nuestra guía completa para la protección de datos.