Shadow IT: ¿tiene algo de bueno?

Las personas que me conocen saben que, ante la pregunta de si Shadow IT tiene algo de bueno, hace unos años la parte más impulsiva de mi ser me habría llevado a gritar afirmar enérgicamente que no mientras agitaba los brazos como si las mangas de la camisa estuvieran ardiendo. Luego habría soltado una perorata (probablemente ininteligible debido a mi exaltación) y, pocos minutos más tarde, necesitaría una bebida azucarada o un ansiolítico. Incluso puede que las dos cosas al mismo tiempo.

Los años, sin embargo, nos hacen un poco más renuentes a las respuestas explosivas e, incluso, nos empujan a reflexionar un poco más en profundidad sobre posturas que, en su momento, pensábamos que eran firmes e inamovibles. Incluso podemos llegar a cambiar de opinión, y aceptar que nuestra postura era más dogmática que pragmática. Yo he hecho ese ejercicio de reflexión, claro, y aunque sigo pensando que no es una práctica recomendable, sí que veo que tiene algunos puntos interesantes. Así que, bueno, hablemos de Shadow IT.

¿Qué es Shadow IT?

Lo primero, claro, es buscar una definición formal del concepto, para posteriormente poder analizarlo. Aunque cada uno pueda aportar algún matiz, en general hablamos de todo tipo de elementos tecnológicos (software, dispositivos, servicios, etcétera) empleados en una empresa, pero que no son gestionados ni controlados por el departamento de IT. En algún caso es posible que los responsables de la infraestructura ni siquiera sean conscientes de su existencia, razón por la que también se emplea el término Invisible IT.

Por si surge la duda al respecto, BYOT no es Shadow IT. Y es que aunque en ese caso la tecnología es aportada por los trabajadores de la organización, la inserción de los mismos en la infraestructura IT se lleva a cabo (o al menos así debería ser) de acuerdo a una política definida previamente para estos casos. Es más, incluso podemos plantearnos bring your own technology como una vía para evitar la proliferación de TI invisible en nuestra organización.

Por lo tanto, y por dejar claros los términos, Shadow IT es que un empleado utilice software no gestionado por el departamento de IT, pero también lo es que el departamento de marketing esté utilizando un servicio externo para gestionar, por ejemplo, las campañas de mailing a clientes sin contar con la aprobación y supervisión correspondientes, o que un empleado instale, por su cuenta y riesgo, un router para proporcionar acceso a Internet a sus dispositivos personales, a los de sus compañeros o, incluso, a la visitas.

Shadow IT y el caos

Vale, sé que con la imagen superior empiezo fuerte, pero es que realmente lo considero necesario. ¿Imaginas que eso es la infraestructura que tienes que gestionar, y que en contra de lo que parece, está plenamente operativa? Bien, pues esa es la visión que yo tengo de TI invisible: un caos terrible, totalmente inseguro y, a partir de cierto punto, algo tan ingobernable como Yemen, Somalia o Sudán del Sur. Una especie de estado fallido, pero en versión departamental.

El primer problema de Shadow IT es, claro, la seguridad. Aunque a veces los usuarios tiendan a olvidarlo, detrás de cada decisión y cada elemento que tiene su origen en el departamento de tecnología hay una política de seguridad dirigida a proteger el conjunto de la infraestructura. Nunca, nunca hay que olvidar que el nivel de seguridad de una infraestructura no se obtiene calculando la media de sus elementos, no: la seguridad de la cadena la determina siempre el eslabón más débil.

Tanto es así, que el nacimiento del paradigma Zero-Trust tiene mucho que ver con la aceptación de esa premisa. No podemos confiar ni en aquello en lo que, en principio, deberíamos poder confiar. Y lo mismo ocurre con UEBA. Basta con pensarlo unos segundos para darnos cuenta de que Shadow IT es, por definición, uno de esos elementos nocivos que hacen necesario desconfiar de aquello que, en teoría, debería ser confiable.

Al plantear este punto, en alguna ocasión me han respondido alegando que los responsables de haber introducido esos elementos también pueden haber tenido en cuenta la seguridad de la infraestructura. Y de acuerdo, es cierto, pero es que incluso en ese caso, la introducción de esos elementos «seguros a su manera» puede no ser coherente con las políticas de seguridad que hemos definido nosotros. Y en el momento en el que toda la infraestructura deja de estar regida por las mismas políticas, el grado de seguridad de la misma empieza a decaer.

Además, la seguridad no es lo único que se puede ver comprometido. Volvamos al ejemplo del departamento de marketing que, de espaldas al departamento de IT, emplea un servicio online para gestionar comunicaciones promocionales con clientes. Es posible (y hasta probable) que el plan de compliance que tanto tiempo y trabajo nos ha costado diseñar e implementar, tenga una fuga del tamaño de un campo de fútbol.

Otro aspecto muy importante de Shadow IT es que podemos estar permitiendo, sin saberlo, acciones que escapan de la legalidad. Volvamos al caso del software: si no tenemos controlado el software instalado en los sistemas, ¿qué sabemos de su origen? No es solo que el software «pirata» sea un coladero de patógenos, es que incluso si hablamos de aplicaciones «limpias», su simple presencia en la infraestructura que administramos ya nos pone en el punto de mira de las autoridades, por el uso de software ilegal.

¿Y qué tiene de bueno?

Vale, para empezar yo cambiaría bueno por bueno entre comillas. Shadow IT es un termómetro, un indicador de cómo estamos gestionando la infraestructura y los recursos con respecto a las necesidades de los trabajadores de la organización. Si los elementos no autorizados proliferan es una señal de que quizá estemos desatendiendo las necesidades de los trabajadores y, en consecuencia, se están viendo forzados a actuar de esta manera.

Por lo tanto, si detectamos Shadow IT en nuestra organización, no debemos optar por una respuesta puramente represiva. Evidentemente el objetivo de nuestra actuación debe ir en la línea de erradicar ese problema, pero estará de más averiguar las razones que han impulsado a los empleados a actuar por su cuenta. ¿Quizá es que no hemos ponderado adecuadamente sus necesidades? ¿Puede ser que ellos conozcan herramientas que se adaptan mejor a sus necesidades que las que nosotros conocemos?

Esto, en realidad, ocurre en más ocasiones de las que nos gusta pensar. Vuelvo, una vez más, al ejemplo de Shadow IT en el departamento de marketing. Lo más probable es que si está integrado por personas curiosas y competentes, hayan encontrado soluciones que se adaptan como un guante a sus necesidades. ¿Y qué es lo que tendríamos que hacer nosotros a ese respecto? Creo que la respuesta es obvia: tenerlo en cuenta y, si cabe la posibilidad, incluir las herramientas que emplean en nuestra infraestructura y en nuestras políticas de seguridad y compliance.

En la misma línea, aunque más como medida preventiva para evitar Shadow IT en nuestra organización, es de gran ayuda mejorar la comunicación del resto de departamentos con el nuestro. Una política asertiva, empática y de escucha activa puede parecernos una pérdida de tiempo, pero no lo es en absoluto. Si estamos abiertos a escuchar y valorar sus propuestas, estaremos cerrando una puerta, seguramente la principal, a escenarios en los que hay presencia de TI invisible. Incluso si sus propuestas no son viables, una explicación razonada de ello y la búsqueda conjunta de otras posibilidades, ya nos evitará problemas mayores.

Y de nuevo, volvemos a un elemento clave, la formación de los empleados en materia de seguridad. Shadow IT es un ejemplo más de que, como nos planteaba Sheila Ayelen Berta, las empresas no deberían descuidar la capacitación de sus empleados. Hablamos, pues, de un problema de cultura de empresa, algo que se puede (y debe erradicar) con un enfoque proactivo y, sobre todo, con la capacidad de ponerse en los zapatos del otro, para llegar a entender su casuística.

¿Y por qué veo este punto tan claro? Creo que a estas alturas ya debe resultar obvio, pero allá voy: yo mismo he sido responsable de Shadow IT en algunas empresas en las que trabajé en mi infancia y adolescencia laboral. En algunas ocasiones por curiosidad (por no decir tontería), en otras por necesidad real y, en casi todas ellas, sin llegar a ser consciente de los riesgos provocados por mis actos. Hoy empatizo, más que nunca, con los responsables de aquellos departamentos de IT. Pero, por otra parte, también recuerdo lo frustrantes que eran todas las peticiones a dicho departamento que nunca eran respondidas.

Quizá, solo quizá, de haber recibido una respuesta en aquellas ocasiones, no me habría tomado las libertades que me tomé. Y seguramente mi opinión actual sobre Shadow IT se hubiera formado mucho antes. Y también, quizá, si mis peticiones hubieran sido atendidas (aunque fuera para recibir un no razonado) yo no habría actuado así. Así que sí, me ratifico, TI Invisible es un termómetro que nunca hay que perder de vista. Y no solo para evitarlo, sino también para aprender de sus orígenes.

La entrada Shadow IT: ¿tiene algo de bueno? es original de MuySeguridad. Seguridad informática.