La historia se sigue repitiendo. En la década de 1970 no había muchos riesgos de seguridad informática porque la tecnología y el desarrollo de sistemas residía en el departamento de informática de las empresas y ellos desarrollaban los reportes y aplicaciones en las mainframes.

El nacimiento de la PC en la década de 1980 puso en las manos de la gente común y ajena a la tecnología la capacidad de construirse sus propios sistemas como reacción a los malos tiempos de entrega y saturación del departamento de informática. Desde ese momento hubo una desincronización de aplicaciones, pues los datos de las PC no se compartían con el resto de la empresa.

Luego vino la época de la estrategia cliente/servidor, donde parte residía del lado del usuario no informático pero los datos finalmente se sincronizaban con el resto de la empresa mediante infraestructura muy sofisticada.

Con el nacimiento de la nube muchas empresas empiezan a beneficiarse de unos años para acá en dejar de invertir en infraestructura y vivir las ventajas de tener las aplicaciones, sistemas e infraestructura como un servicio.

Sin embargo, con ésta última estrategia se le vuelve a dar la oportunidad al usuario convencional el adquirir por su cuenta servicios y/o aplicaciones como un servicio que pueden contratar para resolver sus problemas.

Esto tiene a su vez dos nuevos problemas:

1. El departamento de informática desconoce de estas aplicaciones y su administración resulta complicada, inclusive para llegar a ser descubierta
2. Esas aplicaciones pueden llegar a resolver un tema del negocio, pero pueden abrir la puerta a serios y graves problemas de seguridad, tanto así que la firma Gartner considera que para 2020 la tercera parte de los ataques exitosos de informática vendrán de las aplicaciones contratadas fuera del departamento de informática conocido como  SHADOW IT o “Informática en las sombras»

Y a todo esto no debemos olvidar la tendencia de productividad que indica que los empleados son más productivos si conocen la tecnología que usan, y por ello desde hace años la tendencia de permitir el BYOD o poder traer tu propio dispositivo al trabajo (del inglés Bring Your Own Device) ya implica un nuevo riesgo

¿Qué se puede hacer? Hay varias acciones ante éste problema:

1. El departamento de informática debe de estar más cerca que nunca de los departamentos ajenos a informática. Mi sugerencia personal es que cuando menos el 60% del tiempo debe de conocer sus necesidades y así asegurar el padrón de aplicaciones necesarias
2. El departamento de informática debe buscar herramientas de inventariado de aplicaciones para siempre conocer lo que hacen sus usuarios sin por ello limitar la capacidad de ejecución de los mismos
3. El departamento de informática debe de hacerse de las últimas tendencias en sistemas de seguridad, tal como los aplicativos para emular el uso de las aplicaciones en un ambiente real antes de ser liberadas al público para así detectar en un ambiente controlado la posibilidad de tener algún tipo de amenaza.
4. Particular cuidado se deberá de tener con lo referente al manejo de contraseñas. Puedo asegurar que veo con más frecuencia papelitos pegados al monitor de las computadoras donde se tienen las contraseñas empleadas en cada aplicación por la dificultad que representa acordarse de todo. Muy probablemente la incorporación de tecnología biométrica de alto nivel (como la que lee el iris y las venas de la cara con cámaras infra rojas, por ejemplo) será una de las alternativas a la eliminación de las contraseñas y el aseguramiento de lo que cada individuo puede o no hacer con las aplicaciones.

Esto entre otros puntos.

Mi conclusión es que no se debe de limitar el que las áreas ajenas a la tecnología cuenten con las mejores aplicaciones para desempeñar sus labores, pero a su vez se debe de asegurar el no regresar a la década de 1970 limitando las aplicaciones a la validación de un área ajena a las necesidades de las mismas.

Es el momento en el que el rol del área de tecnología se vuelva cada vez menor en lo referente a operar la tecnología y mucho más hacia la integración flujo y mejoras de procesos de la organización y la liga de la misma hacia sus clientes y proveedores.

Por lo anterior el Shadow IT es una realidad, que más que ser eliminada deberá de ser administrada.