Shadow IT es un término utilizado para nombrar todos aquellos sistemas fisicos y lógicos de TI dentro de una organización sin aprobación, o sin el conocimiento del departamento de TI.
Algunos de nosotros hemos trabajado en la industria de las tecnologías de información el tiempo suficiente como para recordar con añoranza cuando teníamos total control de la infraestructura de sistemas. No había hardware o software que no pasara por nuestra aprobación para poder ser instalado. Los usuarios no tenían el conocimiento o recursos para adquirir y mantener tecnología.
El software no aprobado podría “aparecer” en los equipos quizás por qué alguien describió una nueva aplicación o un dispositivo que en teoría le ayudaría a mejorar su productividad. Cuando aparecieron las primeras redes inalámbricas, los negocios inmediatamente recibieron un gran impulso en movilidad de sus recursos, sin embargo, los equipos de TI fueron más lentos para reaccionar debido a los retos de seguridad que presentaban los accesos inalámbricos.
El tamaño del problema comenzó a ser más evidente cuando el departamento de TI recibió solicitudes para dar soporte y mantenimiento a dispositivos y aplicaciones de los cuales no tenía conocimiento. Los equipos de sistemas lucharon para ganar de nuevo el control de la infraestructura informática, explicando el impacto de recursos y costos, así como los riesgos para la seguridad de datos privados y cumplimiento de regulaciones. Se implementaron bloqueos a los equipos de escritorio, se realizaron auditorias, se escribieron políticas como parte de un esfuerzo para eliminar la proliferación de sistemas no aprobados. Por corto tiempo este sistema de control fue establecido, sin embargo, muy rápido el Shadow IT estaba de regreso.
El Shadow IT llegó para quedarse
Hoy cualquier usuario armado con una tarjeta de crédito y un navegador puede comprar suscripciones a licencias de software y tener una nueva aplicación ejecutándose en la organización prácticamente de inmediato. Importar datos e integrase a otras aplicaciones empresariales igualmente sin ninguna participación del departamento de sistemas e incluso sin informarlo.
La presión en las personas por ser productivos hoy en día tiene mucho más peso para algunos que la seguridad de los datos o cumplir con regulaciones corporativas. Cuando alguien del staff necesita accesar o compartir datos, ya no recurren con frecuencia al departamento de TI para que les provea la información o la asistencia. Para que pasar por solicitudes, autorizaciones, aprovisionamientos, pruebas y seguridad, cuando ellos pueden por si solos encontrar una solución y solucionar el problema en cuestión de minutos.
Riesgos del Shadow IT
Incumplimiento de regulación SAM (Software Asset Management): Para todas las organizaciones y departamentos de TI es un gran reto actualmente controlar software instalado incluso con procesos eficientes. Cuando las licencias de software son provistas fuera de los procesos establecidos sin autorización del departamento de TI, el cumplimiento de la regulación SAM no es posible y la organización esta expuesta a riesgos innecesarios. Descubrir software no aprobado podría requerir una auditoria de toda la infraestructura junto con los costos financieros relacionados para este trabajo y poder asegurar cumplimiento a la regulación. En los peores escenarios esto deriva en sanciones de autoridades como la BSA y problemas legales para los CIO o CEOs de las organizaciones.
Incumplimiento a regulaciones de gobierno, industria y estándares: Las empresas invierten mucho capital para asegurar que cumplen con regulaciones impuestas por industria y el gobierno. En adición, las organizaciones adoptan estándares como ISO/IEC 20000 para demostrar calidad a sus clientes, invirtiendo tiempo y recursos para documentar sus sistemas, flujo de procesos y modelos negocios. El tener documentación que no refleja la realidad es un desperdicio de alto costo en estos rubros.
Falta de pruebas y control de cambios: Cuando nuevos dispositivos o aplicaciones aparecen dentro de la infraestructura corporativa sin guías y regulaciones del departamento de TI, los procesos de administración de liberaciones y cambios son ignorados y el impacto en otros aspectos de la infraestructura derivados de su uso no pueden ser considerados. Uno de las principales razones para implementar software as a service (SAAS) es que el proveedor toma propiedad del control de los procesos de liberación y actualización de tal manera que los usuarios siempre están en la última versión. Sin embargo, las actualizaciones pueden hacer que los sistemas fallen. Administrar el ciclo de cambio, pruebas y liberación es complicado per se, con el Shadow IT se agrega una nueva capa de complejidad al tener que considerar terceras partes dentro del proceso
Administración de configuraciones: Los departamentos de TI pasan meses e incluso años armando una base de datos de configuraciones (CMDB) así como definiendo las relaciones entre todos los sistemas. Si el usuario decide ir por fuera de los canales oficiales, servicios y sistemas clave pueden no estar correctamente definidos o recibir soporte debido a que el departamento de TI no tiene conocimiento de todos los componentes integrados.
{{cta(‘63830f4d-3f98-4ab3-aa40-170579217f2f’)}}
¿Qué se puede hacer al respecto?
El departamento de TI debe de realizar reuniones de revisión de forma regular dentro del negocio. Estas reuniones deben tener una agenda clara y al menos incluir lo siguiente:
1) Disponibilidad de servicio.
2) Eficiencia del servicio.
3) Datos de Service Desk.
4) Datos de incidentes e incidentes graves.
5) Datos de solicitudes de servicio.
6) Problemas más importantes.
7) Actividad de cambios y liberaciones.
8) Nuevos retos y requerimientos del negocio.
Se debe señalar los efectos y problemas que el Shadow IT estan generando y preguntar a las personas responsables por que no están acudiendo al departamento de TI para sus requerimientos. Revise sus procesos internos, ¿están siendo demasiado burocráticos?
Los mercados globales están generando una competencia mucho mayor, en adición los difíciles tiempos que los negocios en todo el mundo están sufriendo, los obliga a ser más ágiles para sobrevivir. Los colaboradores de las organizaciones están bajo gran presión para mantenerse productivos, tanto en el lugar de trabajo como en casa. Imponer más restricciones e incrementar los candados para prevenir accesos en las estaciones de trabajo es un ejercicio sin sentido hoy en día. pues hoy los usuarios tienen todo lo que necesitan también en su smartphone personal o en una tableta.
El Shadow IT, las aplicaciones basadas en la nube y los dispositivos personales son ya competencia para los departamentos de TI, la única manera de asegurar que podemos controlar y realizar un mejor trabajo en la infraestructura de TI es estando cera del usuario, entendiendo sus retos y entregando soluciones para lo que necesitan. Si el departamento de TI es visto como un asesor confiable y es ágil en proveer lo que se necesita, cuando se necesita, no hay razón del usuario para buscar en otros lados.
Fuente: http://www.computerweekly.com/opinion/Managing-shadow-IT
{{cta(‘ca35bcab-76ee-41a6-96ee-53f03034a25e’)}}