Shadow IT. ¿Por qué puede ser una amenaza para la seguridad informática de las empresas?
La transformación digital exige nuevas competencias en las fuerzas de trabajo de las organizaciones. En la medida que las personas fortalecen sus competencias en el uso de las nuevas tecnologías, es mayor su disposición a prescindir de la función de TI (Tecnología de la Información) y Seguridad de la Información (SI).
La competencia en el mercado por la innovación viene generando diversidad de opciones cuya premisa es “hacerlo más fácil y rápido para el usuario”. En consecuencia, las organizaciones son permeadas por las tecnologías emergentes a través de iniciativas que no siempre forman parte del plan general de CIO (Chief Information Officer) y pueden estar fuera del radio de acción del CSO (Chief Security Officer), y es allí donde se presenta el fenómeno del “Shadow IT”, que es una construcción paralela a los sistemas y tecnología implementados por los departamentos de TI de las compañías.
El Shadow IT (SIT) es entonces un fenómeno que seguirá creciendo en las empresas, lo que incrementará y diversificará la fuente de riesgos para el negocio. Este término no incluye aquellos casos en donde existe una tercerización gestionada por TI de la actividad, como el Cloud o la subcontratación de desarrollo de software, siempre y cuando este proceso quede bajo control y supervisión de las áreas apropiadas. Pero sin duda las soluciones Cloud y la aparición de otras soluciones muy específicas para diferentes áreas del negocio han potenciado este fenómeno a niveles que alcanza, según diversas fuentes, hasta el 40% del total de la inversión en innovación.
El problema de los SIT es que son cada día más fáciles de crear y en muchas organizaciones hasta deseables por parte de sus líderes: áreas del negocio que perciben no ser atendidos oportunamente por los departamentos de TI y en consecuencia recurren a “independizarse”; gerentes en la necesidad de acelerar la transformación digital que promueven la innovación y premian la creatividad, iniciativa y el éxito temprano. Estos son escenario que se repite en muchas empresas, y que ahora se potencian ante la urgencia de cambios y adaptaciones al nuevo entorno.
Para Roberto Sánchez Vilariño, socio de PwC Argentina “Es fácil encontrarse con la creencia que no es posible innovar y mantener simultáneamente el control sobre los activos de información del negocio, o que desmotivar la incorporación de SIT es atentar contra la transformación digital. Para derribar dichas creencias, se hace necesario establecer un modelo de gestión que saque de las sombras esa tecnología y adopte esquemas de trabajo que alineen la innovación con la gestión y el control interno”.
Escenarios típicos de SIT se encuentran en áreas como Marketing, Control y Producción, Seguridad Física o RRHH. Generalmente están asociados a soluciones exclusivas del departamento y en muchos de los casos a tecnologías muy específicas como para que TI se involucre activamente (Sistemas de Alarma, Captación de Talento, SCADA/IoT, etc.).
Hay eventos importantes como la masificación del protocolo de comunicaciones TCP/IP, el desarrollo de las soluciones de código libre, abaratamiento de las telecomunicaciones y del hardware que permiten mayores capacidades, o la aparición de los System On a Chip (SOC) que disparan la innovación y derriban barreras de entrada a soluciones que, en el pasado, solo eran accesibles para pocas empresas. Pero son precisamente esos mismos catalizadores los que las hacen más vulnerables a ataques genéricos, y este fenómeno se ha reflejado en un número importante de nuevas tecnologías, que PwC ha estudiado y resume en su estudio “Los Ocho Esenciales”: Internet de las Cosas, Realidad Aumentada, Realidad Virtual, Blokchain, Inteligencia Artificial, Impresiones 3D, Drones y Robótica.
“Tomando como ejemplo esas tecnologías, vemos con facilidad que muchas de ellas ya están presentes en los negocios y casi podemos asegurar que nuestra confianza sobre cómo las estamos gestionando es baja, y un punto no menos importante es quiénes nos proveen este tipo de tecnología, en muchos casos son empresas jóvenes, con un gran potencial, pero poca capacidad para afrontar el desarrollo de productos o servicios con las normas y evaluaciones pertinentes de seguridad y calidad” explica al respecto Roberto Sánchez Vilariño.
La posibilidad de conocer el estado de cualquier dato, en cualquier fuente, en cualquier formato y en cualquier momento, debe ser un objetivo por lograr por el CIO, en la era digital. En paralelo debe asegurarse que cualquier parte relacionada al negocio pueda interactuar con el mínimo esfuerzo por parte de TI y en franco cumplimiento de los accesos asignados. El desarrollo de una visión holística y una estrategia integral para definir la hoja de ruta deben ser entonces las siguientes acciones por ejecutar. Las organizaciones de TI y SI que no se adapten a la nueva dinámica de la tecnología dejarán de cumplir su rol y su relevancia disminuirá, con consecuencias graves para el negocio.
Finalmente, es importante recordar que existe un valor significativo en la protección de los activos de información, y para ello, debe haber garantías de que se cumple con las políticas y procedimientos, que la información está protegida, que la continuidad de la operación no esté comprometida y el cumplimiento regulatorio no está en riesgo. Independientemente del tipo de negocio, cumplir con estas aseveraciones darán confianza a los inversionistas y reguladores.