in

¿Cuándo es Shadow IT una buena idea?

shadow it blog 2 1200x675 ¿Cuándo es Shadow IT una buena idea?

La mayor parte de lo que uso en el trabajo es Microsoft: Word, Powerpoint, Outlook, todo el paquete de productividad empresarial. Pero hace unos años trabajé con una consultora que compartía varios documentos en Google Drive. No tardé en darme cuenta de que las cuentas que usaban estaban vinculadas a correos electrónicos personales, separados de los que usaban para contactarme.

Mi primer instinto fue la incredulidad de que pudieran ser tan descuidados y que cualquiera de nuestros equipos de TI nos hubiera dejado operar fuera de los canales respaldados. De repente se me ocurrió la pregunta: ¿Qué significaba esto para la seguridad y confiabilidad de mis interacciones con ellos?

Este fue un caso simple de cómo la TI en la sombra (cualquier software o tecnología que los empleados usen para negocios fuera de los sistemas establecidos oficialmente por el departamento de TI de la organización) puede extenderse a las tareas diarias de los empleados, a menudo sin que ellos ni siquiera piensen en los riesgos.

En este caso particular, podría haber sido peor. Estaban utilizando un servicio de buena reputación con una infraestructura confiable que respaldaba su disponibilidad. Tenían la opción de adoptar medidas de seguridad como la autenticación de dos factores. El contenido de los documentos no era particularmente sensible y las transacciones no incluían información personal del cliente. Y, en general, los beneficios de la colaboración simple y en tiempo real eran demasiado grandes para ignorarlos.

Todo esto no quiere decir que la TI en la sombra sea una buena idea. En un mundo ideal, los departamentos de TI conocerían, supervisarían y protegerían todas las aplicaciones, complementos o servicios de software que utilizan sus empleados. La realidad es que los equipos de TI están muy ocupados. Los entornos de TI cada vez más complicados, la oferta de aplicaciones en expansión y la escasez de empleados con las habilidades adecuadas hacen que la administración de las operaciones diarias de la empresa sea un desafío suficiente sin agregar tareas adicionales.

Los equipos de TI simplemente no tienen tiempo para buscar cada pieza de TI en la sombra y colocarla en la infraestructura adecuada. En cambio, tienen que pensar en cómo abordan este problema y trabajar con sus empleados para satisfacer sus necesidades sin retrasarlos.

Detectando las sombras

El primer paso para comprender la TI en la sombra es reconocer cómo se convierte en parte de las operaciones comerciales. Los empleados recurren a aplicaciones no autorizadas cuando tienen una necesidad que las ofertas actuales del departamento de TI no satisfacen. Saber cuándo está sucediendo es la parte difícil.

En el caso de Google Docs, el equipo necesitaba entornos de colaboración en tiempo real y no había buenas opciones internamente. La instalación de software de colaboración no estaba en la hoja de ruta de TI de la empresa. La implementación de un nuevo software dentro del entorno de TI parece bastante simple, pero rara vez lo es. Muy pocos proyectos de TI son simples o instantáneos. Incluso si los empleados hubieran pedido a TI que implementara una solución, es posible que haya tardado demasiado en incorporarse a la hoja de ruta. En lugar de esperar, el equipo consideró que el riesgo era bajo. Estos empleados solo intentan hacer su trabajo, no socavar intencionalmente al departamento de TI.

Ilumina una luz sobre eso

Una forma de reducir esta desconexión entre las necesidades de los equipos de TI y otros departamentos es pensar críticamente sobre qué hace que la TI en la sombra sea problemática dentro de una organización. Los tres factores clave a considerar son:

  • Fiabilidad: Si una pieza de software supera la conveniencia hasta un punto crítico para el negocio, TI no puede permitir que opere fuera de los canales aprobados. Controlar sus aspersores de césped de forma remota no se consideraría una misión crítica. Controlar la tubería principal de agua de su vecindario de forma remota podría considerarse crítico. Controlar la red de agua de toda la ciudad de forma remota definitivamente se consideraría fundamental.

La primera pregunta que debe hacerse es «¿Qué probabilidades hay de que esta aplicación deje de funcionar?» Cuanto más probable sea que haya una interrupción, más necesitarán los equipos de TI para encontrar una alternativa. La segunda pregunta es «¿Qué sucede si los empleados ya no pueden usar este software?» Cuanto más alarmante sea la respuesta, más urgente es que el equipo de TI tome el control del software.

También debe considerar las implicaciones posteriores de cualquier software. Si, por ejemplo, un equipo de marketing decide implementar una nueva plataforma de software de marketing por correo electrónico de una startup relativamente no probada, es posible que solo afecte al marketing si se desconecta. Pero dado que el software de automatización de marketing debe estar conectado a la base de datos de ventas de la empresa para poder operar, los contactos de la empresa podrían estar en riesgo, lo que tiene implicaciones mucho mayores.

  • Seguridad: Una de las preocupaciones más frecuentes de las aplicaciones de TI en la sombra es su impacto en la seguridad. Si un software externo se conecta a almacenes internos de información personal, no es aconsejable. Al evaluar un nuevo software, una evaluación de riesgos es fundamental. Las evaluaciones de riesgos analizan la funcionalidad del software, las conexiones de datos internas, los controles de acceso y las características de seguridad. Es importante utilizar únicamente software de marcas acreditadas que se hayan esforzado por proteger su propia infraestructura y asegurarse de que su uso no permitirá un punto de acceso externo a la red de la organización.

Una vez escuché de un equipo que usaba un panel de administración de proyectos en línea para rastrear el progreso de los estudios de casos de clientes. La configuración de la aplicación se configuró para permitir que cualquiera la encuentre buscando en la web, lo que resultó en una filtración. Los resultados podrían haber sido peores, pero es probable que esto se haya evitado mediante una participación más cercana con TI para requerir un acceso más seguro al tablero. Incluso unos pocos minutos de conversación podrían haber educado a los empleados sobre los riesgos potenciales.

  • Compatibilidad: El último punto a considerar es asegurarse de que la nueva aplicación no cause interrupciones en los sistemas informáticos oficiales instalados. Las funciones de colaboración de software y el intercambio de datos de interfaces de programación de aplicaciones (API) pueden tener efectos no deseados en los servidores que los rodean. También es importante asegurarse de que las nuevas aplicaciones no sobrecarguen la red. Las primeras implementaciones de la productividad basada en la nube a menudo gravaban el ancho de banda disponible al requerir una conexión constante a los servidores host. Los sistemas de TI oficiales están en su lugar por una razón, por lo que las nuevas aplicaciones no interrumpen el curso normal de las operaciones.

Operaciones de iluminación

El primer paso para evaluar los riesgos de la TI en la sombra comienza con el descubrimiento. TI no es el enemigo y realmente quiere crear soluciones viables. Los empleados deben sentirse cómodos al acercarse a TI con sugerencias sin temer que la aplicación sea prohibida sin motivo o que su pregunta se convierta en el comienzo de un proyecto de revisión e implementación de meses de duración. Los empleados de primera línea saben mejor lo que necesitan y TI conoce las formas más rápidas de lograrlo.

Para cualquier aplicación que se encuentre en la red interna o acceda a ella, TI necesita una fuerte visibilidad de la red para ver qué tráfico fluye y hacia dónde se dirige. Esta visibilidad por sí sola ayudará a identificar posibles aplicaciones de TI en la sombra en funcionamiento. Ese conocimiento le da a TI la oportunidad de comunicarse con estos departamentos y evaluar qué controles, si los hay, pueden necesitar ser aplicados.

Con este conocimiento de los flujos de tráfico de la red, el siguiente paso es priorizar cuáles, si las hay, aplicaciones ocultas requieren ajustes proactivos. Si bien sería ideal tener todas las aplicaciones bajo control operativo de TI, la disponibilidad actual de TI en la sombra hace que eso sea casi imposible.

Shadow IT es solo una fuente de riesgo para las empresas si no se administra, pero no todas las aplicaciones deben prohibirse con prejuicios. Las aplicaciones de bajo riesgo que aumentan drásticamente la productividad pueden contribuir significativamente a la productividad de la organización, y ese es el objetivo final de cada departamento de TI.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Logo Blu Ray Tres razones por las que los Blu-Rays sobrevivirán a la popularidad del servicio de transmisión

Tres razones por las que los Blu-Rays sobrevivirán a la popularidad del servicio de transmisión

IMG 8293 Sendero Great Spirit Circle en la isla Manitoulin

Sendero Great Spirit Circle en la isla Manitoulin