Cuando los empleados acuden a sistemas o software basados en la nube que no han sido previamente aprobados y examinados por los equipos de seguridad y de TI de las empresas, la información empresarial pueden llegar a ser vulnerable a nuevos peligros. Las aplicaciones empresariales, cuyo fin es el de ayudar a mejorar la productividad del puesto de trabajo como Evernote o Dropbox, pueden llegar a poner en peligro a toda la organización por su exposición y falta de cumplimiento normativo.

Lo bueno, si es que se puede considerar así

• Eficiencia.- Los empleados que aprovechan el Shadow IT no esperan a los equipos de TI ni sus respuestas a posibles peticiones. Esto les permite completar tareas relacionadas con el trabajo de manera mucho más rápida, impulsando la mentalidad del “manos a la obra”
• Innovación.- Las personas que se salen de su rutina para construir y utilizar técnicas de Shadow IT, reflejan un sofisticado nivel de innovación. Estos sistemas son únicos y en muchas ocasiones se convierten en la base para el desarrollo, más adelante, de prototipos organizacionales.
• Calidad.- Con el rápido crecimiento del Shadow IT, las aplicaciones de consumo ofrecen una calidad de servicio muchas veces no igualadas por las aplicaciones tradicionales. Es por esto que el uso del Shadow IT se estima que es 10 veces el del cloud “aprobado”.

Lo malo...

• Sin monitorización.- Los departamentos de TI y de Seguridad de las organizaciones pierden completamente el control sobre la seguridad de la aplicación y el cumplimiento normativo, lo que nos conduce a una situación altamente peligrosa para la empresa, especialmente en lo que se refiere a los datos corporativos sensibles
• Tensión interna.- Los departamentos de TI a menudo se ven obligados a rechazar las peticiones de los empleados de poder utilizar aplicaciones fuera de la nube, bien por razones de seguridad y/o ancho de banda (p.ej., carencia de recursos para poder comprobar y estandarizar la aplicación). Los empleados, por su lado, cuando se rechazan sus peticiones, tienden a utilizar aquellas aplicaciones que pueden poner en riesgo la seguridad y el cumplimiento normativo
• Lenta adaptación.-Si las empresas no pueden seguir el uso de la nube por los empleados, son incapaces de determinar que aplicaciones corporativas necesitan ser mejoradas. Esto crea un círculo donde los empleados sienten que deben ir en búsqueda de nuevas aplicaciones Shadow IT, mientras que las compañías se enrocan en los servicios tradicionales

... y lo feo

• Fugas.- Sin garantía de seguridad para las aplicaciones de Shadow IT, los datos sensibles o regulados de la empresa se enfrentan al peligro de ser filtrados (y sin que las empresas tengan la capacidad de reconocer o determinar cuáles han podido ser) o robados. Con cada vez más ataques dirigidos contra los sistemas en la nube, así como la cada vez mayor exigencia normativa que fuerza a la puesta en marcha de técnicas de protección tales como el cifrado o la tokenización a la hora de migrar datos hacia los sistemas en la nube, el riesgo para la empresa es importante
• Gasto.- Las empresas suelen invertir mucho en un sistema particular y asignar un presupuesto específico en su departamento TI. El Shadow IT desvía el gasto hacia otros sistemas y aplicaciones que pueden no satisfacer plenamente las necesidades corporativas. Con cerca del 40% del gasto de TI yéndose a otros departamentos fuera del de TI, la falta de control puede llegar a suponer importantes ineficiencias
• Inconsistencia.- Cálculos y operaciones llevadas a cabo por diferentes aplicaciones cloud, pueden representar pequeñas diferencias que se van acumulando a lo largo de toda la compañía. Sin estandarización, las empresas corren el riesgo de arrastrar datos e informaciones defectuosas por periodos largos de tiempo.

La nube IT cumplidora

La gran noticia es que hay una forma para que los equipos de seguridad y TI de las organizaciones puedan aprovecharse de “lo positivo” del uso del Shadow IT a plena luz del día. Adoptando soluciones CASB (Cloud Access Security Broker o gestor de seguridad de acceso a la nube), las empresas ganan visibilidad en todo el uso de la nube, pueden monitorizar qué datos están siendo utilizados en las nubes, identificar conductas de usuario cloud anómalas, y fijar políticas que restrinjan el acceso a la nube o protejan datos sensibles en la nube gracias a técnicas como el cifrado y la tokenización. Más información en www.bluecoat.com y en una infografía pulsando en este enlace.