*

Negocios

Qué es Shadow IT y cómo afecta a las empresas

Las implementaciones de servicios y soluciones de tecnología sin el aval (y en muchos casos, sin el conocimiento) de las áreas de IT generan grandes riesgos de seguridad, pero también promueven una mayor agilidad. ¿Qué rol pueden ocupar los CIOs en la era del shadow IT?

Por WALTER DUER - 24 de Abril 2019
Qué es Shadow IT y cómo afecta a las empresas

Shadow IT es el eclipse que nadie fotografía para subir a las redes sociales. La tecnología en las sombras. Esa que se filtra por diferentes sectores de la empresa sin que nadie, excepto los implicados en la primera línea, se enteren. La innovación está al alcance de la mano de todo el mundo y eso hace que muchas veces diferentes áreas de las compañías, desde Marketing hasta Ventas, desde Producción hasta Administración, contraten servicios de tecnología y hasta implementen soluciones de software (hoy basta tener un buen acceso a un store para conseguir la app que haga exactamente lo que se necesita) sin consentimiento ni conocimiento del área de IT. No se trata de un tema menor: según datos de Gartner de 2017, el 38 % del gasto total en nuevas tecnologías de empresas grandes es gestionado, definido y controlado por las diferentes áreas de negocios. De hecho, y gracias a la proliferación de plataformas SaaS y basadas en la nube, en 10 años este porcentaje del gasto IT va a pasar por fuera del sector de tecnología de las compañía, según un estudio de ServerCentral.

“Hace algunos años la contratación de tecnología era responsabilidad exclusiva del departamento de IT por la complejidad de sus componentes: hardware, software, proyectos... Hoy, la oferta en la nube, a demanda y hasta pagando con una tarjeta de crédito, reduce drásticamente las dificultades y los tiempos, y facilita el acceso al soporte tecnológico al área de negocio que lo requiera, incluyendo contrataciones de forma independiente entre ellas”, detalla Cesar Búa, gerente senior de Soluciones de Arquitectura de Red Hat Argentina.

La proliferación de estas herramientas en las sombras no es un capricho ni una casualidad, sino producto de la realidad que viven muchas organizaciones, que “sufren” cada vez que necesitan resolver un problema a través de soluciones informáticas. “A veces este tipo de implementaciones son convenientes porque se pueden dar soluciones de IT a empresas grandes sin pasar por todas las ‘burocracias’ de IT”, sostiene Federico Aón, director de Comercio, Industria y Logística de Snoop Consulting. “Si Recursos Humanos necesita contratar un software que lo ayude a hacer selección de CV, tiene más sentido que trate el tema directamente con el líder del área o con el gerente de selección a que intente ‘vendérselo’ al gerente de Sistemas”, ejemplifica

Nicolás di Tada, fundador y CEO de Manas.Tech, una startup argentina de reciente trayectoria, coincide en que “shadow IT es un síntoma: si los colaboradores de una organización tienen a su disposición los medios necesarios para responder a necesidades cambiantes, no necesitarían recurrir a herramientas no oficiales”. El emprendedor agrega que “el problema es cuando la alternativa oficial se percibe como más lenta, más incómoda o burocrática que buscarle una vuelta ‘bajo el radar’”.

Que cierren las puertas

Si bien por un lado es cierto que la incorporación de tecnología mediante el modelo shadow puede ser más ágil, también es verdad que el peligro de hacerlo es alto. Camilo Gutiérrez, jefe del laboratorio de investigación de la empresa de seguridad de la información ESET Latinoamérica, advierte que shadow IT genera riesgos ya que permite “la apertura de vulnerabilidades para las cuales la infraestructura de tecnología de la empresa no está preparada”. Según el experto, este es el camino para que “los usuarios descarguen o roben información, accedan a datos confidenciales o privilegiados o, simplemente, instalen contenido con malware o dejen una puerta entornada para que los cibercriminales puedan aprovecharse de esta falla”. Hacia 2020, predice Gartner, un tercio de los ataques exitosos contra las empresas se producirá sobre alguno de los recursos shadow.

Existen otros riesgos asociados al concepto de shadow IT que no necesariamente tienen que ver con la seguridad de la información: ineficiencias por pérdida de sinergias, herramientas duplicadas o mal integradas, falta de cumplimiento a normas regulatorias… “Otra desventaja es la falta de reutilización del esfuerzo invertido: es muy común ver el mismo problema a nivel operativo resuelto una y otra vez en distintas ramas del árbol organizacional, en donde, en todas las instancias, se hizo a escondidas y sin beneficio mutuo”, destaca di Tada.

Las soluciones para mitigar las amenazas de shadow IT pueden ser tanto preventivas como de gestión de riesgos. Entre las primeras se cuentan la definición de políticas, como “limitar el número de ejecuciones de aplicaciones que estén por fuera de lo que un empleado debería utilizar dentro de la infraestructura de la empresa”, detalla Gutiérrez. También existen herramientas DLP (data loss prevention, prevención de pérdida de datos) para controlar la información que emplean y extraen los diferentes equipos que conforman la red o los clásicos productos de software para detectar y evitar que se propaguen códigos maliciosos.

“Para prevenir este tipo de efectos es necesario incorporar en las empresas políticas claras sobre la contratación de software o hardware externos, evaluando riesgos y concientizando a los colaboradores sobre su uso”, indica Marcelo Sica, gerente Corporativo de TI de Biogénesis Bagó. “Estas implementaciones deberían estar acompañadas por infraestructura propia que ayude a monitorear los accesos a sitios o servicios permitidos desde dentro de las organizaciones”, aporta.

Búa se encuentra en línea: “Es esencial responder en tiempo y forma a todas las demandas y necesidades de negocio, de manera efectiva y veloz, y otorgar al departamento atribuciones que trasciendan a su rol de brindar soporte tecnológico y le permita relacionarse con las áreas centrales de la compañía, vinculadas a la estrategia de negocio”.

Únete a él

Por el lado de la gestión, todo parece llevar a la antigua máxima que indica que cuando no puedes con tu enemigo, lo mejor es sumarlo a tus filas. Federico Viola, gerente de Sistemas, Procesos y Tecnología de San Miguel, una de las principales citrícolas de la Argentina, sostiene que ya no existe una posibilidad cierta de evitar por completo el shadow IT: “El paradigma necesita cambiar: se debe pasar de combatirlo a gobernarlo y gestionarlo para mitigar los riesgos asociados”. Para el experto, hoy no se puede “ignorar, negar ni eliminar la totalidad de los servicios que vienen desde shadow IT” y propone promover “una discusión transparente con el resto de las áreas de la compañía respecto al alcance de responsabilidades en torno a las decisiones IT”. Este cambio, que representaría una cesión de control por parte de IT, genera en simultáneo “una mejor gestión de los activos de información de la empresa”, de acuerdo a Viola.

Damián Szulman, socio de la consultora especializada en innovación Seidor, coincide en que “el principal desafío es propiciar un cambio cultural para que, en un futuro, las diferentes áreas puedan resolver sus problemas a la velocidad a la que los negocios lo exigen sin ponerse en riesgo por quedar por afuera del paraguas de protección de IT”. Para esto, agrega el experto, la transformación tiene que iniciarse, precisamente, en las áreas de sistemas: “Deben estar preparadas para convertir cada sector de la empresa en líder tecnológico en su campo”.

“Hace 20 años el rol de IT era garantizar que la tecnología funcionaba, tanto en los aspectos relacionados con el hardware como con el software, y se le reclamaba muy poco en términos de innovación o diseño”, apunta Ernesto Kiszkurno, socio de Practia, consultora dedicada a la innovación y la transformación digital. “Hoy, en cambio, se pretende que el énfasis del área se traslade hacia la innovación y el diseño”, agrega.

En su artículo Out of the shadows and into the light, el gerente General Global de Accenture Cloud Platform, Michael Liebow, asegura que la transición debe ser medida y por fases. En una primera etapa, los líderes de TI deben descubrir todos los proyectos y aplicaciones que se ejecutan en la sombra. Luego, necesitan evaluar si es posible gobernarlos y cómo. Y recomienda implementar una plataforma de administración en la nube (CMP, cloud management platform), que encapsula las mejores prácticas para este nuevo esquema y permite la automatización, la estandarización y el autoservicio.

CIOs en busca del sol

Este proceso debería ser también el puntapié inicial para que las áreas de IT avancen sobre el esquema de bimodalidad, según el cual las operaciones se dividen en dos modos: el primero, enfocado en la optimización y en el uso eficiente de los recursos; el segundo, centrado en innovar con un modelo de experimentación que promueve el error temprano y el ensayo mediante MVP (mínimo producto viable). Es decir, el desarrollo y despliegue ultra ágil que implique máximos niveles de colaboración, interacción y comunicación entre IT y el resto de la compañía con el objetivo en común de resolver los problemas de negocios.

¿Qué rol deberían jugar los líderes de IT en este proceso? “El CIO es el responsable de abrir la discusión y de sacar de las sombras a shadow IT, aun si no toma el control en el sentido tradicional”, dice Viola. “Gobernarlo implica visibilizarlo y acordar criterios para determinar el valor que aporta a la compañía, definir el nuevo esquema de responsabilidades resultantes y los mecanismos para gestionar este nuevo canal de delivery que ya no sería shadow IT sino ‘business led IT’”. Aunque, aclara, este nuevo modelo debería concentrarse en sistemas de complejidad técnica baja y fuera de misión crítica. “Ciertos aspectos no deben cederse, como la definición de estándares y políticas o la gestión de recursos”, concluye.

“El rol del CIO es clave: debe liderar no solo los servicios informáticos propios, sino también la gestión de todos los servicios externos, adoptando un rol estratégico, para buscar la mejora sobre la eficiencia del negocio y velar por la seguridad de la información”, apunta Sica.

“Cuando IT se pone como dique de contención, el agua termina rebalsándolo. En panoramas de este estilo hay que sumarse a la discusión y buscar la forma de mantener cierta coherencia con las tendencias y buenas prácticas del mercado en cuestiones de IT. Con el tiempo, si hacemos bien nuestro trabajo, vendrán a consultarnos y a sumarnos cada vez, desde etapas más tempranas”, indica Kiszkurno, para quien “lo que muchas veces sucede es que en realidad lo que hay son disputas de poder por quién tiene el presupuesto o el control de la tecnología y eso no termina siendo sano para la organización”.

Si se distribuye el proceso de toma de decisiones y aprobación de herramientas, acompañado de una distribución de los skills y el conocimiento necesario (un experto de IT que atienda las necesidades de un subconjunto de área y sea su champion) es posible lograr una dinámica más rápida, y que la opción de ‘pedir permiso’ sea vista como más viable que ‘pedir perdón’”, detalla di Tada

A favor de las sombras

Federico Aón, de la consultora especializada en IT Snoop Consulting, no desprecia el modelo shadow: “Nuestro trabajo con las áreas que no tienen el conocimiento técnico de IT es diferente y se adapta a los interlocutores mediante técnicas que permiten avanzar rápidamente en la resolución de problemas, generando ideas innovadoras asociadas a las necesidades reales de los usuarios finales: de primera mano se entiende qué se quiere lograr, cuáles son los objetivos, qué es lo más importante”.

Esto acelera el proceso de prototipado y de validación de la solución. “IT deja de ser el cuello de botella para cada necesidad del negocio”, agrega. Aunque admite que este modelo podría tender al caos. “Las áreas de IT deben tener cierta gobernanza sobre esto, dejarlo fluir, sin impedirlo”, concluye.

Fuente: esta nota fue publicada en la edición 304 de la revista Apertura, en abril de 2019.



¿Te gustó la nota?

Notas Relacionadas