Computación en la Sombra / Shadow Computing

La brecha entre las áreas de negocio y el área o gerencia de TI se está ampliando. Con una presión cada vez mayor por mejorar los resultados las áreas de negocios, frustradas por estructuras organizacionales rígidas, están eludiendo al área TI para generar sus propios sistemas y/o aplicaciones. Esto es conocido como “Shadow Computing” –Computación en la Sombra–. Este no es un concepto nuevo; las áreas de TI vienen desesperándose por muchos años con los usuarios y las áreas de negocios que descargan e instalan su propio software para mejor desempeñar su trabajo, más ahora con las facilidades que provee la nube. [1]

¿Por qué las áreas de negocios ocupan Shadow Computing?

Para al menos tratar de resolver el problema de la TI en la sombra, primero debemos descubrir qué lo causa. Las área de negocios recurren a soluciones de TI no aprobadas por muchas razones, pero en la mayoría de los casos se debe a que las soluciones de TI, de una organización, no satisfacen las necesidades del negocio lo suficientemente bien.

Algunas personas encuentran nuevas tecnologías y soluciones que les ayudan a hacer su trabajo más rápido y a obtener mejores resultados. Otros simplemente tienen su propio conjunto de software y servicios con los que se sienten cómodos trabajando.

En general el principal problema es que la infraestructura corporativa de TI responde a los requerimientos a una velocidad mucho más lenta que la que esperan las áreas de negocio, y no siempre satisface sus necesidades. Además, los usuarios habituales a menudo no conocen los riesgos de la TI paralela. Entonces, en lugar de recurrir al área de TI corporativa, para obtener ayuda y asistencia, los colaboradores comienzan a usar software y servicios no aprobados para desarrollar sus propias funcionalidades.

¿Qué implican los servicios disponibles en la Nube?

La cultura de consumo dentro de la empresa (tener lo que quiere, cuándo lo quiere, cómo lo quiere y al precio que desea), junto con tecnologías y modelos de TI obsoletos, ha acelerado la adopción de la computación en la nube por las áreas de negocios y usuarios. La nube en la sombra, el uso no autorizado y no controlado de los servicios en la nube, ahora se ha convertido en el equivalente actual del problema de Shadow Computing, que crea riesgos y oportunidades para los negocios.

¿Qué Significa esto para las Áreas de TI?

Los días de la gran TI se han ido, pero las áreas de TI exitosas serán aquellas que trabajan con la empresa para resolver los problemas más importantes de la organización. Por lo tanto, TI debe pasar de una autoridad centralizada a un asesor, corredor –broker– y orquestador de servicios de negocios.

Riesgos de Seguridad de Shadow Computing

Existen tres tipos de riesgos principales de ciberseguridad al usar TI en la sombra [2]:

  1. Pérdida de datos.

  2. Vulnerabilidades y errores sin parches (no resueltos, sin actualización).

  3. Problemas de cumplimiento.

Pérdida de datos. Cuando el software no aprobado se ejecuta dentro de la red, siempre existe el riesgo de perder datos que son críticos para la empresa. Por un lado, existe una posibilidad razonable de que no haya copias de seguridad –backups– de estas aplicaciones y de que los colaboradores que las utilizan no hayan pensado en crear una estrategia de recuperación adecuada. Por lo tanto, si sucede algo, se pueden perder datos importantes y habrá poca o ninguna posibilidad de restaurarlos.

Por otro lado, el software que no está controlado por el departamento de TI plantea un mayor riesgo de acceso ilegítimo a los datos, porque el administrador no tiene control sobre quién accede a estas aplicaciones. Cuando se usan soluciones no aprobadas, algunos colaboradores pueden ver o modificar datos a los que se supone que no tienen acceso. Mientras no se tenga control total sobre lo que sucede dentro de la red, todas estas posibilidades existen.

Vulnerabilidades y errores sin parches. Los proveedores de software lanzan constantemente nuevos parches para resolver vulnerabilidades y errores encontrados en sus productos. Por lo general, depende del equipo de TI de la empresa vigilar dichas actualizaciones y aplicarlas de manera oportuna. Pero cuando se trata de Shadow Computing, los administradores no pueden mantener todos estos productos y dispositivos actualizados simplemente porque no son conscientes de su existencia.

Problemas de Cumplimiento. El cumplimiento normativo es crítico para muchas organizaciones. Hay muchas normas que las organizaciones deben cumplir, desde la Gestión de activos de software (SAM), Sarbanes – Oxley hasta el Reglamento general de protección de datos (GDPR). Para las empresas reguladas, el uso de Shadow Computing puede generar grandes complicaciones por violar los requisitos de cumplimiento.

Riesgos Shadow Computing para el Negocio

Además de los riesgos críticos de ciberseguridad, el software no administrado y no controlado plantea serios riesgos para el negocio, incluidas las ineficiencias, los riesgos financieros, y la perdida de operatividad. [3]

Ineficiencias. Aunque aumentar la eficiencia es una de las razones por las que muchas personas comienzan a usar la TI en la sombra en primer lugar, hay muchas posibilidades de que el resultado sea todo lo contrario.

Cada nueva tecnología debe ser verificada y probada por el equipo de TI antes de implementarse en la infraestructura corporativa. Esto es necesario para garantizar que el nuevo software funcione correctamente y que no haya conflictos de software y hardware o fallas graves.

Riesgos Financieros. En muchos casos, las soluciones de TI en la sombra duplican la funcionalidad de los productos estándar aprobados por el departamento de TI. Como resultado, la compañía desperdicia dinero.

Pérdida de Operatividad. Muchas veces el área de TI toma conocimiento de un determinado software del Shadow Computing cuando este deja de funcionar por que el colaborador que lo soportaba ya no está en la organización, y se encuentra con que no existe documentación del software en cuestión, no hay contratos con proveedores, y tampoco existe otra persona que lo conozca. Esta situación implica el riesgo de no poder dar continuidad a la operación del software, interrumpiéndose así definitivamente su uso, con el consiguiente trastorno para el negocio.

Posibles Beneficios de Shadow Computing

Hay varias formas en que Shadow Computing puede ser beneficiosa para la organización. Primero, las nuevas tecnologías implementadas por los colaboradores pueden resultar más eficientes que las soluciones estándar integradas en su infraestructura corporativa.

Las personas usan software y aplicaciones no aprobadas porque tienen ciertas necesidades que las soluciones ofrecidas por el departamento corporativo de TI no cubren. Y a pesar de presentar serios riesgos de seguridad, estos nuevos productos también pueden aumentar la eficiencia y la productividad y dar a la organización una ventaja competitiva.

Algunas personas han argumentado que Shadow Computing ya está arraigada y que permite la innovación dentro de una organización.

A menudo, Shadow Computing permite que la administración se concentre en problemas organizacionales más grandes e importantes. Dado que TI no tiene suficientes fondos, proporciona una forma diferente y mejor de tener software interactivo. Muchas personas consideran que es una mejora, no un perjuicio para el negocio.

Gobernanza para Shadow Computing

Las organizaciones necesitan establecer un gobierno de TI muy fuerte y hacer cumplir la Gobernanza Shadow Computing. El gobierno puede configurarse para acomodar cada estructura organizacional, pero no debe desviarse significativamente de un proceso establecido. Los procesos más efectivos siguen estos pasos:

  1. Desarrollar un plan estratégico. Esto debería incorporar la declaración de la misión de la organización y proporcionar una guía general para los detalles de un plan de TI. Es fundamental que el plan estratégico incluya métricas de datos.

  2. Incorporar o desarrollar planes tácticos con los que todas las partes de la organización acuerden y / o puedan trabajar y que estén alineados con el plan estratégico. Estos planes tácticos deben revisarse y analizarse constantemente para determinar si funcionan.

  3. Considerar todas las áreas de la organización para determinar las necesidades de software y TI de la organización. Poner todo sobre la mesa para que pueda ser presentado y discutido. El grupo de planificación y análisis financiero debe hacer una proyección sobre dos o tres ciclos de actualización para comprender los costos de mantenimiento de software, servidores y personal. Si está utilizando soluciones SaaS (Software as a Service) o PaaS (Platform as a Service), los costos deben cubrir un mínimo de seis años, ya que el proveedor de SaaS o PaaS determina el ciclo de actualización. El área de TI debe revisar todas las sugerencias del software en cuanto a compatibilidad, vulnerabilidad y seguridad general.

  4. La dirección ejecutiva y, según la organización, el directorio debe determinar qué software se implementa. Dado que TI representa un riesgo potencial muy alto para la organización, la junta debe ser informada sobre el progreso realizado.

¿Qué hacer cuando se descubre una aplicación Shadow Computing [4]

La organización puede proporcionar muchos servicios y dirección para controlar la Shadow Computing. Estos incluyen lo siguiente:

  1. Consolidar las aplicaciones cuando se pueda. Todos las áreas de negocios necesitan soluciones para escribir documentos y administrar ventas, inventario y tareas administrativas, incluidas las finanzas, el análisis de datos, IoT (Internet of Things), integraciones, etc.

  2. Monitorear constantemente la actividad del usuario. Existen herramientas que pueden ejecutar un análisis mensual de aplicaciones que se pueden comparar con el mes anterior. Se registran los cambios y se envían a la gerencia para investigar y determinar cómo ingresó algo nuevo al sistema.

  3. Desarrollar y aplicar políticas para bloquear la actividad de aplicaciones riesgosas. Algunas aplicaciones tienen una función de “compartir” o “subir” que se puede eliminar si esas funciones no son fundamentales para el éxito del negocio.

  4. Analizar las aplicaciones para determinar cómo encajan en el negocio. El administrador debe tratar de determinar los riesgos de una aplicación y elegirla sabiamente.

  5. Educar a los usuarios sobre Shadow Computing. Hay que asegurar que los usuarios entiendan su responsabilidad con la organización para minimizar el riesgo y los problemas de usar software fuera del proceso de gobierno.

  6. Si hay fondos disponibles, utilice un equipo desarrollo Low Code. Este tipo de soluciones se orienta a aquellas que se pueden completar en menos de 100 horas. Al involucrar al área de TI en la resolución de pequeños problemas, el colaborador obtiene una mejor funcionalidad del trabajo, la empresa retiene el control sobre su huella de TI y el área de negocio siente que está recibiendo una atención adecuada. [5]

  7. Documentar, las aplicaciones Shadow Computing que se “descubren” aplicando los procedimientos formales y estándares que el área TI ocupa para ello.

Referencias

[1] https://www.pwc.co.nz/pdfs/pwc-security-publications-managing-the-shadow-cloud-november-2015.pdf

[2] https://www.ekransystem.com/en/blog/shadow-it-risks

[3] https://sfmagazine.com/post-entry/october-2019-shadow-it-and-governance/

[4] https://www.google.com/search?q=shadow+computing&safe=active&rlz=1C5CHFA_enCL862CL863&sxsrf=ALeKk03ECmGNqUn4nn1z2FSLnC_fSM3caw:1589051063063&source=lnms&tbm=isch&sa=X&ved=2ahUKEwiQ55LBvKfpAhXVD7kGHcnUAsMQ_AUoAXoECA0QAw&biw=1440&bih=719#imgrc=k1a7J3o3pcn2jM

[5] https://msaffirio.wordpress.com/2020/01/15/programacion-low-code/

#Gestión #Informática #Management

©2020 by Sociedad Consultores Independientes SpA (SCIneu)

Av. Suecia 0142, Oficina 202, Providencia, Santiago, Chile Fono: (2) 2979 7042   info@scineu.com