¿Qué es shadow IT y por qué es un riesgo?
Shadow IT, el software que los empleados usan sin la aprobación del departamento de TI, es más grande y peligroso de lo que la mayoría de las organizaciones creen. Qué es, cómo surge y cómo abordarlo.
- 1 de octubre de 2024
- 5 min
Shadow IT es uno de los mayores puntos ciegos en la gestión de software empresarial. El término se refiere a toda tecnología, software, aplicaciones, almacenamiento en la nube y herramientas de comunicación que los empleados usan sin la aprobación explícita de TI o compras. Y es más prevalente de lo que la mayoría de las organizaciones piensa.
¿Cómo surge el shadow IT?
Shadow IT suele originarse a partir de un problema genuino. Un empleado necesita una herramienta para realizar su trabajo, el proceso de aprobación tarda demasiado o la alternativa ofrecida por TI es incómoda. La vía más rápida es crear una cuenta gratuita o contratar una suscripción pequeña con la tarjeta de crédito corporativa.
Lo que empieza con una persona y una herramienta, crece rápidamente. Los compañeros se suman, se comparten archivos través de plataformas no aprobadas y datos sensibles de la empresa terminan en servidores fuera de la UE, sin que nadie lo detecte.
¿Por qué es un problema el shadow IT?
Shadow IT tiene tres consecuencias concretas:
1. Riesgos de seguridad. Las herramientas no aprobadas no se evalúan para seguridad, no reciben actualizaciones ni son monitorizadas. Son una puerta abierta para fugas de datos y ciberataques.
2. Riesgos de cumplimiento. Los datos procesados mediante herramientas no aprobadas quedan fuera del control del RGPD de la organización. Aun así, la organización es responsable en caso de una fuga de datos.
3. Desperdicio. Las organizaciones pagan por herramientas centralizadas mientras los empleados usan en paralelo alternativas gratuitas o baratas. La consolidación es imposible sin tener un control claro.
Shadow IT y NIS2
Con la llegada de NIS2, el shadow IT representa un riesgo aún mayor. La obligación de diligencia exige que las organizaciones tengan un inventario actualizado de todo el software y proveedores, incluidas las herramientas adquiridas fuera del proceso formal de compras. Por definición, el shadow IT impide que ese inventario sea completo.
¿Cómo abordar el shadow IT?
El enfoque no empieza por prohibir, sino por entender. ¿Por qué usan los empleados ciertas herramientas? ¿Qué falta en la oferta aprobada? Solo al responder esas preguntas se puede consolidar eficazmente y mejorar la oferta formal de software.
Pasos prácticos: analiza los extractos de las tarjetas de crédito y facturas en busca de suscripciones desconocidas, realiza encuestas a los empleados sobre las herramientas que usan, y comunica los hallazgos a TI y compras para una estrategia consolidada.
Preguntas frecuentes
Las preguntas más frecuentes sobre este tema.
¿Qué es exactamente el shadow IT?
Shadow IT es todo software y tecnología que los empleados usan sin la aprobación ni conocimiento de TI o compras. Piensa en herramientas gratuitas, almacenamiento personal en la nube o plataformas de comunicación no aprobadas.
¿Qué tan grande es el problema del shadow IT en una organización promedio?
Las investigaciones muestran que en promedio el 40-60% de las herramientas SaaS en una organización no se gestionan centralizadamente. La magnitud real del shadow IT suele estar sistemáticamente subestimada.
¿Cómo descubro qué shadow IT hay en mi organización?
Empieza con una auditoría de software mediante análisis de extractos de tarjeta de crédito, facturas y encuestas a empleados. Complementariamente, herramientas como Zylo, Torii o Blissfully pueden ayudar a detectar automáticamente el uso de SaaS.
¿Listo para ahorrar en software?
SoftVaro negocia por ti el mejor trato con más de 4.000 proveedores. Independiente, transparente, en 24 horas.