'Solo el 8% de las empresas conocen completamente el alcance del Shadow IT en su organización', Luis Palacios, Cisco
- IT User
Luis Palacios, director de Arquitecturas en Cisco España, analiza el problema que supone el Shadow IT para las empresas.
¿Es el Shadow IT un problema? ¿Por qué?
Sí, sin duda. Shadow IT se refiere a las múltiples aplicaciones y servicios que se están utilizando en una organización sin que el departamento de TI lo sepa, la inmensa mayoría procedentes del Cloud.
El último estudio de Cisco referente a shadow IT -realizado a partir de los datos recopilados por nuestro servicio Cisco Cloud Consumption- indica que en las organizaciones analizadas (medianas y grandes en EE. UU., Canadá Europa y Australia) se utilizan entre 15 y 25 veces más servicios de nube pública que los conocidos por el CIO. En el caso de las grandes empresas se usan de media 1.220 servicios de nube pública frente a los 91 contabilizados por el departamento de TI, y 44 de ellos se consideran de alto riesgo para el negocio. Esta cifra es un 112% mayor que la de hace un año, y se espera un incremento del 67% en los siguientes seis meses. La “sombra” está aumentando, y el problema es común a todos los sectores y geografías.
¿Cuáles son las principales tecnologías en la sombra? (almacenamiento, redes sociales...)
Las principales son aplicaciones y servicios utilizadas en nubes públicas, incluyendo desde SaaS hasta PaaS e IaaS, a lo que se añaden los dispositivos de hardware que se conectan sin permiso (y por tanto sin cumplir con las políticas de seguridad corporativas) que resulta de una mala práctica del fenómeno BYOD.
Y el problema se agrava con las nuevas generaciones. Según uno de los informes de la serie Cisco Connected World Technology Report, dos de cada tres jóvenes (de entre 18 y 30 años) encuestados (el 66%) creen que el departamento de TI no tiene derecho a monitorizar su comportamiento on line.
¿Qué consecuencias trae su uso? (tanto positivas como negativas)
De este uso no controlado por parte del departamento de TI -calculamos que solamente el 8% de las empresas conocen completamente el alcance del shadow IT en su organización- se derivan cinco consecuencias principales, todas negativas: mayores riesgos de seguridad, problemas de cumplimiento con las políticas, costes ocultos, problemas de protección de datos y riesgos de continuidad de negocio. Es decir, la mayoría de las consecuencias negativas están asociadas con la seguridad (Gartner estima que en 2020 una tercera parte de los ciber-ataques con éxito afectarán a organizaciones con problemas de shadow IT) y el incremento de costes al no controlar el uso de las aplicaciones y servicios.
¿En qué casos estaría justificado el uso de herramientas (hard y soft) que no hayan sido aprobadas por el departamento de sistemas?
En ningún caso, ya que crea los problemas comentados en la pregunta anterior. Sin embargo, es un problema extendido que existe desde hace tiempo y que los empleados y las Líneas de Negocio justifican por la necesidad de acceder a dichas aplicaciones y servicios para cumplir mejor con su trabajo e innovar.
Algunos empleados hacen uso del Shadow IT porque es más ágil y rápido que esperar la aprobación corporativa. ¿Cómo pueden los CIO resolver esta ecuación?
Lo primero que debe hacer el CIO es llevar a cabo un análisis del uso del Cloud en su organización. Esto le permitirá conocer qué aplicaciones deberían corren en la nube privada y cuáles en la pública, e implementar un único modelo operativo para obtener así un Cloud híbrido verdaderamente seguro y efectivo. La respuesta entonces consiste en adoptar una estrategia Cloud híbrida efectiva que una lo mejor de ambos mundos proporcionando capacidad de elección, control y cumplimiento con las políticas y regulaciones, además de agilidad.
De hecho, algunos analistas aseguran que el Shadow IT fomenta la innovación en las empresas. ¿Está de acuerdo? ¿Por qué?
No. Para fomentar la innovación es necesario que se tenga plena constancia del uso del Cloud y que se monitorice, que se defina una estrategia alineada con las distintas Líneas de Negocio y que se evolucione hacia un modelo de Cloud híbrido que combine las aplicaciones y servicios de nube pública y privada. Esto permitirá a las organizaciones controlar los riesgos y los costes y contar con las aplicaciones y servicios necesarios para innovar.
¿Puede el CIO perder parte de su influencia (también económica) por el Shadow IT? ¿Cuál debe ser el papel del CIO respecto a su utilización?
No necesariamente, pero sí es cierto que existe una necesidad creciente de colaboración entre el departamento de TI/CIO y las Líneas de Negocio (finanzas, ventas, recursos humanos…). Un estudio de Cisco e Intel estima que el 76% de los CIOs consideran su departamento cada vez más como ‘orquestador’ de servicios internos y externos para las distintas divisiones de negocio, además de proporcionar seguridad y soporte técnico.
¿Qué alternativas existen? ¿Tecnologías centralizadas? ¿Un responsable técnico por departamento?
Cisco ofrece una herramienta denominada Cloud Consumption-as-a-Service (CCaaS) que detecta y monitoriza todos los servicios de nube pública que se están utilizando en una empresa. Se trata de una herramienta “como servicio” con la que las organizaciones pueden:
- Descubrir y monitorizar de forma continua el uso de la nube pública
- Reducir los costes y los riesgos de seguridad
- Consolidar servicios y aplicaciones (evitando duplicidades) y optimizar su uso
- Identificar y responder a las necesidades de empleados y Líneas de Negocio
- Mejorar la agilidad del negocio adoptando los servicios y aplicaciones correctas
- Cumplir con las políticas y regulaciones
Se trata así de una herramienta que permite minimizar el problema del shadow IT descubriendo las aplicaciones y servicios Cloud no autorizados, monitorizando y gestionando correctamente el acceso a nubes públicas. Además, esta herramienta puede combinarse con Cisco ONE Enterprise Cloud Suite (que facilita un verdadero entorno Cloud híbrido), UCS Director (como “orquestador” del data center) y Cisco APIC (controlador para priorizar aplicaciones).
Esta entrevista forma parte del reportaje En Portada de IT User 17, de noviembre de 2016. Quizá también te interesen otras entrevistas de este mismo reportaje:
