La TI en la sombra y la TI deshonesta ya no son sinónimos. La nube y el COVID-19 han provocado que la TI se divida en tres ramas distintas.
Hace veinte años, la TI en la sombra era solo un punto fugaz en el radar de la mayoría de los CIO (de hecho, los CIO eran muy nuevos en ese momento y el rol de CISO apenas se había inventado). La mayoría de las LAN no estaban conectadas a Internet y, si lo estaban, no había mucho temor de que los piratas informáticos se infiltraran en la red corporativa.
Cuando se produjo Shadow IT, era competencia de los superusuarios que tenían la bendición de un vicepresidente para evitar TI y configurar la infraestructura y las aplicaciones que el vicepresidente necesitaba para producir los resultados que exigía su jefe.
La otra forma más común en la que se produjo la TI en la sombra fue cuando alguien como un ingeniero, investigador o científico hizo TI completa para obtener la tecnología que quería porque TI (o su jefe) dijo que no podía tenerla.
El hilo común en ambos ejemplos es que aquellos involucrados en Shadow IT eran personas con conocimientos tecnológicos que tenían los medios y la capacidad para adquirir, aprovisionar, orquestar, gestionar y ejecutar sus propias pilas de tecnología o al menos solucionar problemas de aplicaciones. de su parte.
20 años después
Hoy en día, esto ya no es el caso. Con la llegada de IaaS, PaaS y SaaS, lo único que se necesita para evitar la TI es la voluntad de hacerlo. Según la empresa AV McAfee y otras investigaciones, esto es particularmente cierto para las herramientas de mensajería y colaboración de contenidos como el correo electrónico, la gestión de proyectos, el intercambio de archivos, etc. Las ofertas Freemium de la mayoría de los proveedores de SaaS en la nube hacen que sea muy fácil para el usuario empresarial promedio superar cualquier barrera que la TI ponga en su camino.
El hilo común entre los ejemplos actuales y los del pasado es la ignorancia en materia de TI. Entonces, como ahora, si TI no sabe esto, no es TI en la sombra, es TI deshonesto. La diferencia entre los dos es más que semántica, especialmente a la luz del aumento en la adopción de la nube impulsado por COVID-19 .
Según Rob Zahn, CIO de AAA de Ohio, lo que ya estaba cambiando rápidamente antes de la pandemia era la voluntad de TI de permitir a los usuarios empresariales encontrar y utilizar sus aplicaciones preferidas. La pandemia simplemente aceleró este cambio de paradigma.
"Escuchemos cuál es el proyecto, confíen en nosotros", dijo sobre el papel de TI en la aprobación de proyectos de tecnología a nivel departamental. “Tenemos mucho trabajo en nuestro plato. Escucharemos... daremos algunos consejos, y si parece que realmente no hay nada en lo que TI deba involucrarse, (lo cerraremos).
Si TI sabe lo que están haciendo sus contrapartes comerciales, pero no necesita involucrarse en la gestión diaria de la tecnología, entonces es TI en la sombra: una pila de tecnología conocida que se ejecuta fuera de la supervisión directa de TI. Todo lo demás es TI deshonesto.
En la actualidad, existen tres tipos distintos de TI. Tiene la tecnología que TI organiza, aprovisiona y gestiona (TI tradicional). Y también existe la TI en la sombra y la TI deshonesta. Cada uno de ellos impacta el negocio de manera diferente en términos de costo, tiempo y esfuerzo de gestión y riesgo.
La TI no autorizada representa el mayor riesgo para su organización en términos de seguridad y cumplimiento. La TI en la sombra no se queda atrás y puede resultar bastante costosa si se gestiona mal. Incluso TI falla, por lo que no existe una panacea allí. Pero al menos saben qué salió mal y, por lo general, cómo solucionarlo.
El cambio en la mentalidad de TI
Hay muchas razones para la voluntad de TI de adoptar aplicaciones basadas en la nube en la actualidad. Por un lado, la TI siempre carece de personal y financiación en relación con las demandas que le impone la transformación digital. Otra es que las ofertas de los proveedores de nube son las mismas o tan ricas en funciones como sus primos cliente-servidor locales. En muchos casos, los proveedores de SaaS establecen continuamente los estándares para su categoría específica de productos. Me viene a la mente Salesforce.com. Hubspot.com es otro.
Para TI, implementar sus propias aplicaciones que compitan favorablemente en costo, características y funcionalidad con SaaS es una pérdida de tiempo y recursos. Es mejor que la TI ayude a la organización a beneficiarse de la tecnología, no poseerla y gestionarla.
Luego hay muchas aplicaciones personalizadas y de misión crítica que TI es (y debería ser) responsable de mantener ocupadas. Estas aplicaciones no se pueden reemplazar ni trasladar fácilmente a una nube, por lo que es responsabilidad de TI garantizar que sigan siendo completamente funcionales y viables durante el mayor tiempo posible.
El papel fundamental de la TI en la gestión de la TI en la sombra
TI realmente brilla cuando trabaja en estrecha colaboración con la empresa para garantizar que tenga los recursos tecnológicos que necesita para hacer dos cosas clave: aumentar los ingresos y reducir los costos finales. Con las tecnologías actuales (móvil, SaaS, nube, 5G, etc.), ambas cosas son posibles al mismo tiempo.
No importa cuán expertos crean que son los usuarios empresariales en la adquisición y gestión de tecnología, el papel de TI nunca ha sido más importante. Solo ellos tienen la experiencia para comprender verdaderamente los riesgos de seguridad y cumplimiento de las ofertas de nube actuales. Esto se debe a que simples errores de configuración en aplicaciones aparentemente simples pueden exponer grandes cantidades de datos confidenciales a cualquiera que los mire.
Dado el entorno regulatorio actual, estas configuraciones erróneas exponen a las organizaciones a todo tipo de multas y demandas. (Me vienen a la mente la Regla General de Protección de Datos (GDPR) de la UE y la Ley de Privacidad del Consumidor de California (CCPA). También hay una serie de leyes imitadoras en proceso).
Otro tema que sólo TI tiene experiencia para gestionar son los permisos (también conocidos como derechos o privilegios) otorgados a los usuarios en entornos de nube. Según un proveedor de IAM con el que hablé recientemente, AWS ofrece a los usuarios de la nube hasta 7000 derechos diferentes. Esto los convierte en “administradores en la sombra” y en una gran amenaza para la seguridad de las aplicaciones, la red y los datos de una organización si no saben lo que están haciendo.
Como en el pasado, la ironía que enfrenta la TI hoy es que eventualmente tendrá que administrar la mayor parte de la TI oculta y de la TI no autorizada que ingresa a la organización, por lo que es mejor mantenerse lo más lejos posible.
Zahn de AAA sugiere desempolvar zapatillas viejas. Además de escanear constantemente su red en busca de nuevas aplicaciones y nuevas vulnerabilidades, los CIO necesitan hablar con sus colegas. Descubra lo que están haciendo. ¿Qué tecnología utilizan actualmente? ¿Qué tecnología quieren utilizar? ¿Qué proyectos están en marcha y cómo puede TI respaldarlos mejor? De esta manera, la TI será vista como un socio y no como una barrera.
Fuente: BairesDev
