Shadow IT

Shadow IT se refiere al comportamiento de los empleados que deliberadamente evitan las políticas de seguridad y controles con el fin de utilizar servicios, aplicaciones o software no autorizados[1].

Todo lo anterior incluso pueden ser soluciones especificadas y desplegadas en la empresa por departamentos distintos a TI (Stealth TI)[2], mayormente aplicaciones en nube[3], por su accesibilidad, flexibilidad y ubicuidad, entre otros atributos -aunque no limitados a estos.

shadowIT-01

Enfrentamos un probable incremento de costos, brechas en la seguridad de la información, pérdida o filtración de datos, ineficiencia operativa, duplicación de servicios, incapacidad para valorar apropiadamente el aporte de TI en los resultados de la organización, carencia de alineamiento de los servicios y soluciones de TI con los objetivos empresariales, impacto en las organizaciones cada vez más virtuales y distribuidas (oficinas remotas, teletrabajadores, socios comerciales, clientes).

Un peligro latente. Un sin número de amenazas. Un riesgo creciente. Todo esto en un marco de tiempo indeterminado –tal vez sepamos cuándo inició el servicio que causa todo esto pero difícilmente sabremos cuándo terminará. ¿Podremos analizar el comportamiento que conlleva al uso del Shadow IT? El costo de determinar, en estas condiciones, el origen de una violación, y tomar la acción correctiva puede ser grande, habría inseguridad para garantizar la continuidad del negocio conforme ha sido establecida por la organización, y el incumplimiento de los requisitos de cumplimiento puede tener serias consecuencias legales, incluyendo multas. Las brechas de seguridad pueden dañar la reputación de la empresa y la pérdida de confianza del consumidor del servicio.

Adivinaron, esto es porque las necesidades de TI de estos empleados no son satisfechas por los proveedores de TI en la empresa o por las soluciones con las que se cuenta. Claro, elaboramos como razones, pero no limitadas a, necesidad de cumplir objetivos; la falta de recursos y capacidades (tiempo, personal, equipos, presupuesto, conocimiento, experiencia, entre otros); prioridades, intereses, agenda personal; cultura organizacional; estructura de la organización (aparato burocrático); restricciones administrativas o presupuestarias para las adquisiciones; procesos internos engorrosos -para las adquisiciones, evaluaciones, autorizaciones, por ejemplo[4]; time-to-market; operaciones internas[5]; aspectos legales o de cumplimiento normativo; coyuntura económica, social o política; aversión o apetito de riesgo; demanda; consideremos que las soluciones que TI podría proporcionar tal vez no se ajusten a las necesidades actuales del negocio; necesidad de satisfacer las políticas corporativas (o de TI); no se considera de forma apropiada la perspectiva del negocio  y, más bien, se busca la facilidad de la administración (de TI).

Y el porcentaje es alto, aunque usted no lo crea, como lo muestra la gráfica que responde a la pregunta: ¿Conoce el número de aplicaciones Shadow IT que se utilizan en su empresa?[6]

shadowIT-02

Cabría preguntarse, ¿Cómo se asegura la continuidad del servicio (disponibilidad de plataforma/equipo, respaldo, transferencia de conocimiento)? ¿Qué acciones se deben seguir en caso unas credenciales se vean comprometidas (recuperación del control del servicio, modificación de credenciales)? ¿Cómo se plantea realizar el soporte técnico de la solución Shadow IT (será local y la persona tendrá la disponibilidad necesarias, o será externo y sujeto a contratación)? ¿De qué manera la solución Shadow IT podría comprometer la plataforma de TI de la organización (operación inadecuada o factores externos)? ¿Se puede integrar Shadow IT (algunas aplicaciones o servicios o hasta dispositivos) a los activos de TI e instalarles las medidas de seguridad apropiadas?[7] Si los clientes/usuarios claramente sienten que necesitan una determinada solución para compartir documentos de forma rápida o utilizar servicios en línea, ¿se puede incluir esto en la política de TI de la empresa?

Pero también son fuente de innovación y hasta pueden convertirse en prototipos de nuevos y futuros servicios de TI, siempre que estén alineados con los objetivos de la organización.

Detener esta ‘iniciativa’ será casi imposible –una razón es la “consumerización de TI”; implementar mecanismos para demorar su ‘aparición’ en la empresa, difícil –ya no es sólo una “inconveniencia”[8]. No tratemos de desafiar la fuerza de la gravedad. ‘Sobrevivir’ a ella es algo más plausible. No nos convirtamos en el enemigo. Negarla pensando que –aún- somos “lo máximo” es contraproducente, además de irresponsable.

Diversos autores nos brindan sus sugerencias –y muchas son evidentes, desde el punto de vista de la mejora continua o de la aplicación de marcos de trabajo o adopción de mejores prácticas en la industria:

  • Cambiar nuestro chip de la configuración por defecto “control” a la de “habilitador”.
  • Determinar dónde ocurre (¿limitaciones geográficas?) y por qué (¿apoyan realmente a los objetivos del negocio?); cómo ocurre (¿infraestructura controlada?); averiguar qué se utiliza sin autorización[9] (utilizar sniffers, gosip, otros); entender exactamente qué recursos se utilizan, con cuánta frecuencia, y quién los usa, qué datos están involucrados; qué aplicaciones y cuáles opciones son las que se utilizan –utilizar la propuesta 6W-2H para responder las preguntas anteriores.
  • Reducir los tiempos de evaluación –adoptemos recomendaciones de calidad y mejora continua.
  • Agilizar los procesos de implementación –apliquemos recomendaciones del PMI por ejemplo.
  • Proveamos mejores servicios que los obtenidos utilizando aplicaciones Shadow IT.
  • La nube no es un enemigo –pero no olvide crear mecanismos de autenticación, autorización y contabilidad adecuados.
  • Ser [verdaderamente] proactivos. Prioricemos la experiencia del cliente/usuario.
  • Reforzar lo que no será tolerado cuando se trata de proyectos Shadow IT. Implica que deberá buscarse la visibilidad suficiente para que las políticas específicas que deben aplicarse puedan ser aplicadas.
  • Priorizar los riesgos, bloquear en lo posible lo que sí es altamente riesgoso o restringir el uso de aplicaciones potencialmente dañinas.
  • Ofrecer alternativas.
  • Cuidar el presupuesto (flexibilidad, elasticidad) –porque Shadow IT no siempre está presupuestado.
  • Supervisar el consumo del servicio –contar con un análisis de tendencias para tomar decisiones.
  • Gestionar el servicio y, por supuesto, la seguridad del mismo, la que ofrece, y la que los clientes/usuarios necesitan en cumplimiento de las políticas de seguridad de la empresa. Si nuestros datos se replican (por las interesantes opciones de respaldo de muchas aplicaciones), ¿dónde terminarán? ¿quién los verá? ¿cómo serán utilizados?
  • Involucrarse con las unidades de negocio externas a TI –debemos buscarlas porque ya pasaron los días en que estas unidades buscaban a TI.
  • Aprobar las operaciones de Shadow TI de corto plazo –las aplicaciones ya están en operación y ayudaría el tomar un mejor conocimiento al explorar la tecnología para una solución de largo plazo. Los clientes/usuarios y el equipo de TI deben trabajar juntos para integrar estas herramientas y procesos, desarrollando un método para la adopción de soluciones futuras.

Eliminemos el oscurantismo -ya desde hace tiempo en muchas organizaciones el control que TI ejercía se ha venido erosionando, porque se ha perdido la confianza o porque nuevas [e interesantes] aplicaciones aparecen cada vez más rápido y son más fáciles de utilizar además de ser “justo lo que requerimos”, entre otras razones. Ya no sólo se trata de decirle al cliente/usuario si puede o no utilizar su Smartphone/tablet [personal] ni qué aplicaciones está autorizado a descargar o utilizar (LOL). Sí, sobre el dispositivo corporativo algo podemos hacer –e invertir[10].

Así, sería conveniente convertirse en un verdadero y proactivo proveedor de soluciones. Apliquemos un poco de inteligencia emocional y seamos los aliados que buscan resolver problemas tecnológicos –desde la perspectiva de los clientes/usuarios (apoyo en la creación de valor), aunque la solución no sea la más barata –pero seguramente más segura. Implica crear un sentido de cambio en cómo TI es –o será- vista dentro de la organización[11].

Mostremos cómo y por qué se hacen las cosas como se hacen, expongamos los motivos de la seguridad requerida por la organización, revisemos cómo el servicio Shadow IT apoya o apoyará  la política de seguridad de la empresa. Sinceremos nuestros recursos y capacidades para hacer frente a nuevos requerimientos del negocio.

Cambiemos la relación entre TI y las unidades de negocio. Esto requiere comunicación y entendimiento de ambas partes para no verse como obstáculo, una de la otra. Mejoremos la relación entre TI y los clientes/usuarios e incorporemos TI en las acciones y procesos de innovación de los clientes/usuarios –que potencialmente requerirán alguna solución Shadow IT. Hagamos que TI sea un recurso disponible para ayudar a los clientes/usuarios a maximizar el potencial de su tecnología porque esta relación es esencial para construir equipos fuertes.

La asociación entre TI y los clientes/usuarios comienza con la creación de la cultura adecuada y garantizar que los procesos hacen que trabajar con IT sea altamente eficiente [mi experiencia personal en RCP, MINEDU, y no soy el único].

Si la experiencia del cliente/usuario es segura y sin problemas, no van a tener necesidad de ir a Shadow IT para encontrar soluciones que les ayuden a ser más productivos[12]. Apoyemos una política de TI de puerta abierta para nuevos proyectos, asesoramiento y ayudar a proporcionar orientaciones para el diseño y la implementación de nuevos proyectos[13]. Tenga presente que su cliente es la empresa –y que la tecnología está cada vez más al alcance de todos[14] los clientes/usuarios –los que a su vez tienen cada vez más conocimiento técnico.

[1]      Fuente: https://www.armor.com/resources/newsroom/how-to-prevent-shadow-it/; disponible en mayo/2016

[2]      Fuente: https://en.wikipedia.org/wiki/Shadow_IT; disponible en mayo/2016

[3]      Fuente: http://www.delcor.com/resources/blog/how-to-handle-and-prevent-the-use-of-shadow-it-by-association-staff; disponible en mayo/2016

[4]      Fuente: http://relus.com/how-to-handle-shadow-it/; disponible en mayo/2016

[5]      Fuente: http://www.informationweek.com/strategic-cio/it-strategy/shadow-it-8-ways-to-cope/d/d-id/1319535; disponible en mayo/2016

[6]      Fuente: https://downloads.cloudsecurityalliance.org/initiatives/surveys/capp/Cloud_Adoption_Practices_Priorities_Survey_Final.pdf; disponible en mayo/2016

[7]      Fuente: http://www.cio.com/article/2380960/byod/6-tips-to-help-cios-manage-shadow-it.html; disponible en mayo/2016

[8]      Fuente: http://www.pomeroy.com/docs/default-source/white-papers/how-to-avoid-being-overrun-by-shadow-it.pdf; disponible en mayo/2016

[9]      Fuente: http://www.networkcomputing.com/applications/how-control-shadow-it/883700879; disponible en mayo/2016

[10]    Fuente: http://www.tomsitpro.com/articles/preventing-shadow-it,2-932.html; disponible en mayo/2016

[11]    Fuente: https://jumpcloud.com/blog/help-clients-prevent-shadow/; disponible en mayo/2016

[12]    Fuente: https://www.citrix.com/news/citrix-in-the-news/feb-2016/cso-online–how-to-prevent-shadow-it.html; disponible en mayo/2016

[13]    Fuente: http://www.csoonline.com/article/3032209/security/how-to-prevent-shadow-it.html#slide3; disponible en mayo/2016

[14]    Fuente: https://www.informatica.com/potential-at-work/shadow-it-fight-it-embrace-it-or-adapt-to-it.html#fbid=iOx6H05NHnZ; disponible en mayo/2016

4 comments on “Shadow IT

  1. Pingback: Algo más sobre seguridad | El techblog de Jagi S.A.C.

  2. Pingback: Ya habíamos hablado de gestionar el cambio en una entidad pública. De hecho, también de limitaciones para un apropiado cambio, y máxime si se trata de proyectos. | El techblog de JAGI S.A.C.

  3. Pingback: Doxware, una variante del ransomware o del extortionware | El techblog de JAGI S.A.C.

  4. Pingback: Varias maneras de mejorar tu SLA | El techblog de JAGI S.A.C.

¿Me comentas?