Poner fin a la 'guerra eterna' contra Shadow IT
El uso de tecnología no autorizada ha sido el dolor de cabeza de TI durante décadas. La nube lo aceleró y la IA solo elevará los riesgos. Ya es hora de una política, y una estrategia, que funcione.
Una de las responsabilidades más importantes del CIO moderno es la integridad de los datos. La corporación debe estar segura de que los datos que utiliza para tomar decisiones comerciales estratégicas son seguros, precisos y privados. No hay duda de que el departamento de TI y su CIO son los responsables de garantizar que esto sea cierto.
Pero garantizar la integridad de los datos es una tarea abrumadora. Frente a los piratas informáticos, los depósitos de datos en la nube y la tecnología en constante cambio, la integridad de los datos es una batalla constante, mucho más difícil debido a la presencia de TI en la sombra. Y solo empeorará a medida que las oportunidades de la IA faciliten que los empleados hagan un mal uso de los datos corporativos.
Shadow IT: no autorizado y persistente
Primero, definamos los términos. Gartner define shadow IT como dispositivos, software y servicios de TI fuera de la propiedad o el control de la organización de TI. Esta definición incluye dispositivos de TI no controlados por la corporación, software que puede existir en dispositivos de TI corporativos o interacciones de datos proporcionadas por terceros en la nube.
Independientemente de cómo se utilizan o manipulan los datos corporativos en estos escenarios, el CIO sigue siendo responsable de la precisión e integridad de los datos. Desafortunadamente, este es el caso incluso si el sistema es desconocido para TI. Esta expectativa es toda la justificación que TI necesita para perseguir y detener a la TI en la sombra.
TI debe trabajar en estrecha colaboración con el comité directivo de TI, que debe estar compuesto por la alta gerencia, incluidos el director ejecutivo y el CIO y ser responsable de priorizar la agenda de TI, para desarrollar una declaración de política sólida que prohíba esta actividad unilateral. Sin embargo, al mismo tiempo, TI, junto con el comité directivo de TI, también debe establecer una metodología que permita a los departamentos de usuarios implementar rápidamente soluciones informáticas que requieran un mínimo de tiempo de TI.
Una analogía buena, pero imperfecta, podría provenir del departamento de marketing, que es responsable de garantizar la protección de la marca y las marcas registradas tanto interna como externamente. Cualquier infracción detectada por el departamento de marketing suele recibir órdenes de cese y desistimiento rápidas e intransigentes. TI debe adoptar un enfoque similar al tratar con TI en la sombra.
Trayendo la sombra a la luz
Para lograr este equilibrio entre eliminar la tecnología no autorizada y proporcionar una forma de curar el impulso hacia la TI en la sombra, los líderes de TI deben adoptar un enfoque de tres pasos.
Primero, los CIO deben establecer un equipo de reacción rápida (QRT) que se ocupe solo de estos pequeños proyectos que los departamentos de usuarios buscan lograr, especialmente cuando se trata de aprovechar la IA. El QRT debe ser un grupo de élite dentro de TI compuesto por miembros que comprendan los riesgos de la manipulación de datos, estén bien versados ??en las trampas de seguridad y sigan los desarrollos en IA lo suficiente como para conocer sus oportunidades y trampas. La misión de este grupo sería analizar los requisitos y garantizar que el acceso a los datos sea seguro y que el usuario comprenda la naturaleza de los datos a los que accede.
El QRT también necesitaría analizar los parámetros del trabajo a realizar para asegurar que los resultados no estén ya disponibles de otra fuente existente. También determinarían si el software es compatible con la red corporativa existente. Esto se vuelve aún más crítico si, en algún momento, la empresa desea escalar la aplicación para servir a toda la corporación.
En segundo lugar, el comité directivo de TI debe entender y hacer cumplir la política de TI en la sombra. Este grupo debe comprender los riesgos existenciales que las violaciones de datos pueden causar para la corporación y debe comprender que las violaciones de la política tendrían sanciones que deben ser apoyadas en toda la empresa.
En tercer lugar, TI debe monitorizar continuamente el contenido de todos los dispositivos conectados a su red, ya sea local o remotamente. Los ordenadores corporativos deben ser monitorizados para asegurarse de que todo el software tenga las licencias apropiadas para todas las aplicaciones de terceros para evitar multas sustanciales de los proveedores. Todos los dispositivos privados que se conectan a la red corporativa también deben monitorearse para garantizar que cumplan con los estándares corporativos y que sean seguros. Hay muchas soluciones de software en el mercado que pueden proporcionar este servicio.
Riesgos adicionales
Incluso con estas salvaguardas implementadas, todavía existen riesgos sustanciales asociados con los sistemas de TI en la sombra. Si la persona que desarrolló el sistema deja repentinamente su trabajo actual o incluso la empresa, podría haber una larga curva de aprendizaje para capacitar a un reemplazo. A menudo, el departamento de usuarios intenta transferir esta carga a TI, ya que a veces es difícil encontrar un reemplazo experto en TI. Además, no podemos esperar que el QRT tenga el tiempo o la capacidad para hacerse cargo del sistema. Esto podría ser doblemente peligroso si el empleado que se va tiene malas intenciones de dañar a la empresa dado que sus credenciales probablemente sean desconocidas para la empresa.
Existe otro riesgo si el proveedor que proporciona el software cierra repentinamente, aumenta sustancialmente las tarifas de soporte o cambia los parámetros de uso del sistema. Este proceso podría ser manejado por el QRT, pero podría haber problemas de tiempo si el sistema se vuelve crítico para el departamento.
La razón habitual que dan los departamentos de usuarios de por qué quieren buscar TI en la sombra es algo así como: "El proceso para obtener la aprobación, el desarrollo y la implementación de un sistema de TI es demasiado arduo, lleva demasiado tiempo y requiere un enorme compromiso de tiempo y recursos. Quieren que definamos exactamente lo que queremos. Nosotros, por otro lado, solo queremos un enfoque flexible que nos brinde todo lo que necesitamos. Los negocios cambian rápidamente, pero la TI nos ralentiza”.
Ciertamente, hay algo de verdad en eso. Con suerte, la mayoría de estos problemas se pueden abordar con un QRT agresivo. Pero la empresa también debe comprender que los problemas de seguridad e integridad de los datos deben considerarse cuidadosamente. También corresponde a cada miembro del comité directivo de TI tomar en serio su trabajo de priorizar proyectos para que el departamento de TI esté trabajando en los proyectos más importantes que necesita la corporación. Si existe la necesidad de expandir TI para desarrollar más soluciones, el comité directivo de TI tiene el poder de aprobarlo.
En mi libro Los 9 1/2 secretos de una gran organización de TI, el subtítulo dice "No lo haga usted mismo". Shadow IT es otro ejemplo que muestra que cuando los sistemas de TI se desarrollan en un vacío, los resultados pueden ser más costosos, redundantes, sujetos a piratería y, lo que es más importante, conducir a una degradación de la integridad de los datos. Si abordamos la TI en la sombra de esta manera, la empresa debería obtener los sistemas que necesita de manera oportuna y el CIO no debería dormir con un ojo abierto debido a preocupaciones sobre la integridad de los datos.
