Shadow IT

Usamos el término Shadow IT para referimos al uso de sistemas, aplicaciones, dispositivos, infraestructura o servicios de tecnología dentro de una organización sin la aprobación o conocimiento del departamento de TI.

Generalmente surge por empleados o áreas que buscan soluciones rápidas para trabajar de manera más eficiente, sin esperar la autorización formal de TI. 

Sin embargo, también se presenta en ocasiones por parte de personal de TI que utiliza herramientas obtenidas en Internet o desarrollos propios, sin pasar por el proceso de autorización de su área.

Algunos ejemplos de shadow IT son:

• Usar plataformas de AI no autorizadas para elaborar informes (ChatGPT, cuando la empresa promueve el uso de Copilot),
• Usar cuentas personales de almacenamiento en la nube (Google Drive, Dropbox) para compartir archivos de trabajo.
• Organizar reuniones en plataformas no autorizadas (Zoom, cuando la empresa solo permite Teams).
• Crear grupos de chat no oficiales para coordinar proyectos.

El shadow IT no es malware, pueden ser herramientas legítimas, pero usadas fuera del control corporativo.

Aunque los usuarios pueden obtener acceso rápido a herramientas que mejoran su flujo de trabajo, los riesgos no justifican esta práctica ya que se pueden presentar los siguientes problemas:

• Seguridad: datos sensibles pueden quedar expuestos en servicios no protegidos.
• Cumplimiento: incumplimiento de regulaciones (ej. LPDPPP, PCI DSS).
• Integridad: sistemas paralelos generan duplicidad y falta de trazabilidad.

Shadow IT es un arma de doble filo: puede impulsar la eficiencia individual, pero también introduce riesgos significativos si no se integra en la estrategia de seguridad y gobernanza de la organización.