TI en la sombra

Tipos de sistemas de tecnología de la información

En las organizaciones, la TI en la sombra se refiere a los sistemas de tecnología de la información (TI) implementados por departamentos distintos del departamento central de TI, para eludir ^[1] las limitaciones y restricciones impuestas por los sistemas de información centrales. ^[2] Si bien puede promover la innovación y la productividad, la TI en la sombra presenta riesgos de seguridad y preocupaciones de cumplimiento, especialmente cuando dichos sistemas no están alineados con la gobernanza corporativa. ^[3]

Orígenes

Los sistemas de información en las grandes organizaciones pueden ser una fuente de frustración para sus usuarios. ^[2] Para sortear las limitaciones de las soluciones proporcionadas por un departamento de TI centralizado, así como las restricciones que se consideran perjudiciales para la productividad individual, los departamentos no relacionados con TI pueden desarrollar recursos de TI independientes y para necesidades o requisitos específicos o urgentes. ^[4] En algunos casos, se pueden contratar especialistas en TI o adquirir soluciones de software fuera del departamento de TI centralizado, a veces sin el conocimiento o la aprobación de los canales de gobernanza corporativa.

Beneficios

Aunque a menudo se percibe como un intento de socavar la gobernanza corporativa, la existencia de TI en la sombra suele ser un indicador de que las necesidades de los departamentos individuales no se satisfacen desde un ecosistema de información gestionado de forma centralizada. Por lo tanto, los beneficios inmediatos de la TI en la sombra son los siguientes:

• Innovación: Shadow IT podría considerarse como un espacio protegido para soluciones potenciales o prototipos en respuesta a la evolución de los requisitos empresariales cambiantes. Además, se puede evitar o mejorar la alineación entre departamentos en función de las limitaciones dentro de la empresa en general.
• Productividad individual: las soluciones Shadow se adaptan a las necesidades de cada departamento y permiten que las personas involucradas sean más efectivas. Un estudio ^[5] confirma que el 35% de los empleados sienten que necesitan eludir alguna medida o protocolo de seguridad para trabajar de manera eficiente.
• Costos internos reducidos: Algunas políticas de sombra, como BYOD , reducen los costos directos de hardware y software, mientras que permitir el soporte localizado disminuye los gastos generales de los departamentos de TI.

Desventajas

Además de los riesgos de seguridad de la información , algunas de las implicaciones de la TI en la sombra son: ^{[6] [7]}

• Costos : A nivel corporativo, se podría incurrir en tiempo e inversión adicionales en la integración, validación y cumplimiento adicionales de las infraestructuras de TI ocultas descubiertas. Por otro lado, es posible que el departamento que elija las soluciones con el precio más bajo para sus soluciones ocultas no haya considerado los costos de implementación y mantenimiento. Esto también da como resultado una menor rentabilidad de la inversión en caso de que no haya suficiente aceptación.
• Coherencia: las soluciones técnicas en la sombra pueden ir más allá del control de versiones centralizado y, por lo tanto, pueden desviarse de las metodologías o los cálculos estandarizados. La coexistencia de múltiples infraestructuras en la sombra también genera un panorama de aplicaciones muy fragmentado, lo que también dificulta la gestión centralizada de la configuración.
• Ineficiencias operativas: las soluciones ocultas establecidas pueden impedir la implementación general de procesos más eficientes debido a su uso generalizado o a una documentación inadecuada. El sistema oculto también puede estar más allá de la capacidad del departamento de TI centralizado para su integración y mantenimiento, especialmente cuando se vuelve "demasiado grande para quebrar".

Cumplimiento

La TI en la sombra aumenta la probabilidad de flujos de datos no controlados, lo que dificulta el cumplimiento de diversas legislaciones, regulaciones o conjuntos de mejores prácticas. Estas incluyen, entre otras:

• Ley Sarbanes-Oxley (Estados Unidos)
• Basilea II (Normas internacionales para la banca)
• GLBA ( Ley Gramm-Leach-Bliley ), ^[8]
• COBIT ( Objetivos de Control para la Información y Tecnologías Relacionadas )
• FISMA ( Ley Federal de Gestión de Seguridad de la Información de 2002 )
• DFARS ( Suplemento al Reglamento de Adquisiciones Federales de Defensa )
• PCGA ( Principios de contabilidad generalmente aceptados )
• SOC ( Controles del sistema y de la organización )
• HIPAA ( Ley de Portabilidad y Responsabilidad del Seguro Médico )
• HITECH ( Ley de Tecnología de la Información Sanitaria para la Salud Económica y Clínica )
• NIIF ( Normas Internacionales de Información Financiera )
• ITIL ( Biblioteca de Infraestructura de Tecnologías de la Información )
• PCI DSS ( Estándar de seguridad de datos de la industria de tarjetas de pago )
• RGPD ( Reglamento General de Protección de Datos ), ^[9]
• CCPA ( Ley de Privacidad del Consumidor de California )
• NYDFS ( Departamento de Servicios Financieros de Nueva York ) ^[10]

Predominio

Dentro de una organización, la cantidad de actividades de TI en la sombra es, por definición, desconocida, especialmente porque los departamentos a menudo ocultan sus actividades de TI en la sombra como medida preventiva para garantizar el funcionamiento continuo. Incluso cuando se conocen las cifras, las organizaciones son reacias a admitir voluntariamente su existencia. Como excepción notable, The Boeing Company ha publicado un informe de experiencia ^[1] en el que describe la cantidad de aplicaciones en la sombra que han introducido varios departamentos para sortear las limitaciones de su sistema de información oficial.

Según Gartner, para 2015, el 35 por ciento de los gastos de TI de la mayoría de las organizaciones se gestionarán fuera del presupuesto del departamento central de TI. ^[11]

Una encuesta francesa de 2012 ^[12] realizada a 129 gerentes de TI reveló algunos ejemplos de TI en la sombra:

• Macro de Excel 19%
• Software 17%
• Soluciones en la nube 16%
• Planificación de recursos empresariales 12%
• Sistemas de BI 9%
• Sitios web 8%
• Equipos de ferretería 6%
• VoIP 5%
• Soporte de TI en la sombra 5%
• Proyecto TI en la sombra 3%
• BYOD 3%.

Ejemplos

Entre los ejemplos de estos flujos de datos no oficiales se incluyen las unidades flash USB u otros dispositivos portátiles de almacenamiento de datos, el software de mensajería instantánea, Gmail u otros servicios de correo electrónico en línea, Google Docs u otros servicios de intercambio de documentos en línea y Skype u otro software de VoIP en línea , así como otros productos menos sencillos: bases de datos Access desarrolladas internamente y hojas de cálculo y macros Excel desarrolladas internamente . Los riesgos de seguridad surgen cuando los datos o las aplicaciones se mueven fuera de sistemas, redes, ubicaciones físicas o dominios de seguridad protegidos.

Referencias

1. Handel, Mark J.; Poltrock, Steven (2011). "Trabajando en torno a aplicaciones oficiales: experiencias de un gran proyecto de ingeniería". CSCW '11: Actas de la conferencia ACM 2011 sobre trabajo cooperativo con apoyo informático . págs. 309–312. doi :10.1145/1958824.1958870. S2CID  2038883.[1]
2. Newell, Sue; Wagner, Eric; David, Gary (2006). Sistemas de información torpes: una revisión crítica de los sistemas empresariales. Sistemas de información ágiles: conceptualización, construcción y gestión. p. 163. ISBN 1136430482.
3. Kopper, Andreas; Westner, Markus; Strahringer, Susanne (1 de junio de 2020). "De la TI en la sombra a la TI gestionada por la empresa: un análisis comparativo cualitativo para determinar las configuraciones para una gestión exitosa de la TI por parte de las entidades empresariales". Sistemas de información y gestión del comercio electrónico . 18 (2): 209–257. doi : 10.1007/s10257-020-00472-6 . hdl : 10419/288329 . ISSN  1617-9854.
4. Zarnekow, R; Brenner, W; Pilgram, U (2006). Gestión integrada de la información: aplicación de conceptos industriales exitosos en TI . ISBN 978-3540323068.
5. RSA, noviembre de 2007, The Confessions Survey: Office Workers Reveal Everyday Behavior That Places Sensitive Information at Risk, disponible en (PDF) , archivado desde el original (PDF) el 11 de febrero de 2012 , consultado el 15 de septiembre de 2017
6. Tamás, Fábián (2022). "TI en la sombra en el nuevo triángulo de gestión de TI".
7. Myers, Noah; Starliper, Matthew W.; Sumers, Scott L.; Wood, David A. (8 de marzo de 2016). "El impacto de los sistemas de TI en la sombra sobre la credibilidad de la información percibida y la toma de decisiones gerenciales".
8. "Ley Gramm-Leach-Bliley".
9. "En construcción".
10. "23 NYCRR 500". govt.westlaw.com . Consultado el 17 de octubre de 2019 .
11. "Las predicciones muestran que los presupuestos de TI están fuera del control de los departamentos de TI". Gartner . Archivado desde el original el 29 de junio de 2013 . Consultado el 25 de abril de 2012 .
12. RESULTADOS DE L'ENQUETE SUR LE PHENOMENE DU "SHADOW IT" por Thomas Chejfec: http://chejfec.com/2012/12/18/resultats-complets-de-lenquete-shadow-it/

Enlaces externos

• [2] Discusión en Tech Republic
• [3] Primer informe de la industria sobre adopción y riesgo de la nube
• [4] Shadow IT en el nuevo triángulo de gestión de TI