El concepto “Shadow IT», activos de TI en la sombra, se refiere a todos aquellos dispositivos, aplicaciones, servicios o infraestructuras de tecnología de la información que son utilizados en la organización sin el conocimiento o aprobación explícita del área de TI o de La Dirección. Estos activos pueden originarse por diversas razones: como ser falta de conciencia sobre las políticas de TI establecidas o controles inefectivos (ejemplo de estos últimos: facilidad de acceso a tecnologías externas sin permisos establecidos, colaboradores que utilizan aplicaciones no autorizadas, proveedores externos con facilidades de acceso no claramente definidas, aplicaciones de acceso remoto sin permisos estrictos y auditoría de uso).
Es fundamental entender y abordar los activos de TI en la sombra dentro de una organización. Esto implica identificar, evaluar y gestionar estos activos de manera efectiva para minimizar riesgos y garantizar la seguridad, compliance y eficiencia en el entorno de TI.
Algunas acciones recomendadas:
- Descubrimiento y Evaluación: Utilizar herramientas de descubrimiento de activos para identificar y rastrear todos los dispositivos y aplicaciones que están siendo utilizados en la organización sin autorización. Esto puede incluir dispositivos móviles, software en la nube, aplicaciones de colaboración, software de acceso y control remoto, servicios de almacenamiento de archivos, entre otros.
- Análisis de Riesgos: Evaluar los riesgos asociados con los activos de TI en la sombra, incluyendo posibles vulnerabilidades de seguridad, riesgos de cumplimiento normativo, impacto en el rendimiento de la red y posibles costos ocultos.
- Educación y Concientización: Sensibilizar a los empleados sobre los riesgos y las políticas de TI de la organización, fomentando una cultura de seguridad y cumplimiento. Esto puede incluir la implementación de programas de formación, la comunicación regular sobre las políticas de TI y la promoción de canales de comunicación abiertos para que los empleados informen sobre activos de TI en la sombra.
- Implementación de Políticas y Procedimientos: Establecer políticas y procedimientos claros para el uso de tecnología dentro de la organización, incluyendo la aprobación previa de nuevas aplicaciones o servicios, la gestión de accesos y permisos, y la monitorización continua de los activos de TI.