La TI en la sombra: por qué existe y cómo abordarla

13 de agosto de 2021
Kaseya
Ciberseguridad

¿Qué es la TI en la sombra?

La TI en la sombra es el uso de sistemas de tecnología de la información, software, dispositivos, servicios y aplicaciones fuera del departamento de TI o sin su aprobación explícita. Con la creciente prevalencia de la adopción de la nube en los últimos años, la TI en la sombra ha crecido exponencialmente dada la facilidad de descarga y uso de aplicaciones y servicios basados en la nube.

Los departamentos de TI no suelen ser conscientes de la existencia de este tipo de aplicaciones utilizadas por empleados individuales o unidades de negocio enteras, de ahí el término "TI en la sombra".

¿Cuál es otro nombre para la TI en la sombra? 

Alternativamente, la TI en la sombra también suele denominarse TI deshonesta, TI asilvestrada, TI sigilosa, TI falsa, TI integrada o TI cliente. 

¿Por qué existe la TI en la sombra?

Una encuesta de Stratecast y Frost & Sullivan destaca que el 80% de los empleados afirman utilizar aplicaciones en el trabajo que no están aprobadas por TI.  

Como se ha mencionado anteriormente, el aumento de la adopción de la nube ha impulsado el crecimiento de la «TI en la sombra» en los entornos informáticos actuales. Estas aplicaciones informáticas no autorizadas, que operan en la sombra, cubren las carencias que dejan las aplicaciones aprobadas por la empresa para garantizar que los empleados dispongan de las herramientas adecuadas que necesitan para realizar su trabajo de la forma más eficiente posible.  

Casi el 80% de los trabajadores admite utilizar aplicaciones SaaS en el trabajo sin obtener la aprobación del departamento de TI. En general, estas soluciones en la sombra son adoptadas por un empleado o un equipo con la intención de mejorar la eficacia de su función y aumentar la productividad. Por ejemplo, si un empleado descubre una solución para compartir archivos mejor y más eficaz que la permitida oficialmente, puede descargarla y empezar a utilizarla como TI en la sombra.  

¿Qué tecnología entra dentro de la TI en la sombra?

La «TI en la sombra» abarca todo tipo de actividades relacionadas con las tecnologías de la información, así como las compras en las que no participa el departamento de TI de una empresa. Por lo general, se clasifica en cuatro categorías: 

  • Hardware - Portátiles, desktops, tabletas, teléfonos inteligentes y servidores  
  • Programas informáticos - Soluciones informáticas estándar y empaquetadas
  • Aplicaciones: aplicaciones de terceros como herramientas de productividad, colaboración, mensajería, etc.
  • Servicios: servicios en nube como infraestructura como servicio (IaaS), software como servicio (SaaS) y plataforma como servicio (PaaS).  

¿Cuáles son algunos ejemplos de TI en la sombra?

Ahora que ya sabemos qué es la TI en la sombra, veamos cómo suele entrar en juego: 

  • Cuentas de correo electrónico personales utilizadas por los empleados para realizar gestiones
  • Aplicaciones SaaS de terceros que no están bajo el control del departamento de TI y que se utilizan para operaciones empresariales.
  • Dispositivos no autorizados que no entran en el ámbito de las políticas de "traiga su propio dispositivo" (BYOD) emitidas por el departamento de TI. 

¿La TI en la sombra es buena o mala?

Aunque, en la mayoría de los casos, los empleados utilizan la TI en la sombra con la intención de mejorar la eficacia, la eficiencia y la productividad de sus tareas, la TI en la sombra sigue planteando un importante reto al que las empresas deben hacer frente. Sin embargo, aunque la TI en la sombra pueda tener una connotación negativa, cabe señalar que también ofrece algunas ventajas potenciales. Analicemos las ventajas e inconvenientes de la TI en la sombra. 

¿Cuáles son las ventajas de las TI en la sombra?

Para ayudarle a comprender mejor la TI en la sombra, hemos elaborado una lista de las ventajas que ofrece a las organizaciones. 

  • Reducción de costos internos: la cultura BYOD implica menos gastos generales y costos para los departamentos de TI. 
  • Satisfacción de los empleados - Cuando las personas sienten que tienen el control, suelen estar más contentas que cuando se ven obligadas a utilizar una tecnología desconocida. 
  • Productividad individual: los empleados suelen ser más productivos utilizando tecnología con la que están familiarizados. 
  • Potencial de descubrimiento - Cuando los empleados utilizan una serie de herramientas, hay más probabilidades de que surjan o se descubran mejores herramientas y tecnologías. 

¿Cuáles son los riesgos de las TI en la sombra? 

Es posible que los empleados no comprendan del todo que las organizaciones toman las medidas adecuadas y necesarias para garantizar la seguridad durante el proceso de selección de dispositivos y aprobación de aplicaciones. A falta de un examen adecuado de las nuevas tecnologías, la TI en la sombra puede suponer un grave peligro para la ciberseguridad de las organizaciones. Algunas de las desventajas de la TI en la sombra son: 

  • Brechas de seguridad y pérdida de datos: cuanto mayor es la variedad de tecnologías que se utilizan, más expuesta está una organización a cometer errores de seguridad o a sufrir incidentes de pérdida de datos. 
  • Cumplimiento de normativas y reglamentos: la implementación de múltiples aplicaciones y soluciones diferentes da lugar a auditorías más duras y a una mayor probabilidad de que la tecnología no cumpla los requisitos necesarios. 
  • Ineficiencias en la colaboración - Cuando los empleados utilizan tecnologías y aplicaciones diferentes, la fluidez de la colaboración suele verse comprometida. 
  • Barreras a la innovación - Las posibilidades de innovar con una determinada tecnología se reducen si las organizaciones no la adoptan plenamente. 
  • Visibilidad y control reducidos: la tecnología no autorizada es más difícil de seguir y controlar. 
  • Pérdida de tiempo e inversión: El tiempo invertido en implementar tecnología se desperdicia y el retorno de la inversión es limitado sin el respaldo adecuado. 
  • Gestión de la configuración: crear una base de datos de gestión de la configuración (CMDB) y definir el funcionamiento conjunto de los sistemas es cada vez más complicado. 

¿Cómo afrontar las TI en la sombra?

Aunque la TI en la sombra es una parte inherente de cualquier infraestructura de TI, los administradores de TI pueden tomar ciertas medidas no sólo para identificarla y gestionarla, sino también para mitigar los riesgos potenciales que plantea para la integridad de los datos y sistemas críticos para la empresa. He aquí algunas estrategias útiles para abordar eficazmente el problema de la TI en la sombra: 

  • Supervisa tu entorno informático: una de las mejores formas de frenar el problema de la «TI en la sombra» es supervisar constantemente todos los dispositivos conectados y no conectados a la red, lo que te ayudará a identificar exactamente dónde se encuentran todos los datos de la empresa. La supervisión continua de la red permite a los administradores de TI comparar las listas entre análisis y detectar cuándo aparecen dispositivos nuevos o desconocidos en la red.  
  • Llevar un inventario: además de supervisar tus redes, también debes centrarte en llevar un inventario de todos los recursos conocidos y desconocidos de tu entorno informático, y actualizarlo periódicamente mediante una solución de inventario de red. 
  • Implemente lineamientos regulatorios - para satisfacer las necesidades específicas de las distintas unidades de negocio, el departamento de TI puede crear y compartir con sus empleados una lista de aplicaciones/software aprobados que pueden utilizar aparte del software estándar emitido. 
  • Restringir el uso de aplicaciones de terceros: además, es posible que desee restringir el acceso de los usuarios a determinadas aplicaciones que no desea que utilicen sus empleados. Asegúrese de que sus empleados conozcan bien la política de la empresa y de que no se les permita utilizar ninguna aplicación restringida con fines laborales. 

¿Qué es Shadow IT Discovery?

El descubrimiento de TI en la sombra es el proceso de utilizar soluciones relevantes para analizar el tráfico de red con el fin de identificar cualquier aplicación no gestionada y desconocida que los empleados puedan estar utilizando. Además de descubrir estas aplicaciones, la solución debe ayudar a proporcionar una evaluación del riesgo de las aplicaciones descubiertas. La solución también debe ayudar a identificar cualquier ruta de fuga de datos que pueda ser una puerta potencial para que los hackers accedan a los datos críticos de su empresa. 

¿Qué es una política informática en la sombra? 

Si bien la TI en la sombra puede contribuir a fomentar la autonomía, el conocimiento tecnológico y la productividad de los usuarios, también puede suponer un riesgo importante para el cumplimiento normativo de la empresa y la seguridad de los datos. Por ello, las empresas suelen elaborar una política de TI en la sombra que establece una serie de directrices para el uso adecuado de esta tecnología. Dicha política también destaca las restricciones que se aplican al uso de aplicaciones de terceros no autorizadas y define las responsabilidades de los empleados y del departamento de TI. 

Combate los riesgos de la TI en la sombra con Kaseya 

Kaseya VSA mejora constantemente y pronto contará con un módulo para supervisar su infraestructura en la nube de Azure y AWS, con el fin de garantizar que siempre esté al tanto de los dispositivos conocidos y desconocidos de su red. Además, la copia de seguridad de los datos es un aspecto muy importante para garantizar la seguridad de los datos críticos para su negocio.

Las unidades de negocio que utilicen aplicaciones de TI en la sombra de terceros no autorizadas pueden, sin darse cuenta, dejar de realizar copias de seguridad de sus datos SaaS en dichas aplicaciones. La perfecta integración de Kaseya VSA con Spanning la posibilidad de realizar copias de seguridad SaaS de nube a nube, lo que le ayudará a realizar copias de seguridad también de sus datos en aplicaciones de TI en la sombra. 

¿Quieres saber más sobre cómo combatir la TI en la sombra? ¡Solicita ahora una demostración de Kaseya VSA

Una plataforma completa para la gestión de TI y seguridad

Kaseya 365 es la solución integral para gestionar, proteger y automatizar las TI. Gracias a sus integraciones fluidas en todas las funciones críticas de TI, simplifica las operaciones, refuerza la seguridad y aumenta la eficiencia.

Solicite una demostración Descubre Kaseya 365

Una plataforma. Todo en uno para TI.

Los clientes de Kaseya 365 disfrutan de las ventajas de las mejores herramientas de gestión de TI y seguridad en una única solución.

Descubre Kaseya 365

Su éxito es nuestra prioridad número 1

Partner First es un compromiso de condiciones flexibles, riesgo compartido y soporte dedicado a su empresa.

Descubre Partner First Pledge

Informe Global de Referencia para MSP 2025

El Informe Global de Referencia para MSP 2025 de Kaseya es su recurso de referencia para comprender hacia dónde se dirige la industria.

Descargar ahora

Explora las categorías

La verificación de copias de seguridad ahora es más inteligente: presentamos la verificación de capturas de pantalla con tecnología de IA

En una época marcada por ciberataques constantes, la complejidad de las infraestructuras y las crecientes expectativas de los clientes, ya no basta con disponer simplemente de copias de seguridad. Copias de seguridadSeguir leyendo

Leer la entrada del blog
Directiva NIS 2. Normativa europea en materia de ciberseguridad

Diez preguntas que debes hacer a tu equipo de TI sobre el cumplimiento de la normativa NIS2

Asegúrese de que su organización esté preparada para hacer frente a las amenazas de seguridad y recuperarse de los incidentes. Lea el blog para conocer las diez áreas clave que debe tener en cuenta para cumplir con la normativa NIS2.

Leer la entrada del blog
Concepto de la normativa de ciberseguridad NIS2 con holograma digital

Ya sea que estés basado en la UE o no, NIS2 es una preocupación a nivel directivo que no se puede ignorar 

Aunque tu empresa no se vea directamente afectada, es probable que hayas oído hablar de la Directiva NIS de la UE y de su sucesora, la NIS2. LaSeguir leyendo

Leer la entrada del blog