Según Cisco, el 80 % de los empleados de la compañía utilizan TI invisible. Los empleados suelen adoptar TI invisible por comodidad y productividad: creen que pueden trabajar de manera más eficiente o eficaz utilizando sus dispositivos personales y su software preferido, en lugar de los recursos de TI autorizados por la empresa.

Se trata de una cuestión que no ha hecho más que aumentar, debido a la consumerización de la TI y, en los últimos tiempos, al auge del teletrabajo. El software como servicio (SaaS) permite que cualquier persona que disponga de una tarjeta de crédito y simples conocimientos técnicos mínimos sea capaz de desplegar sofisticados sistemas de TI de colaboración, gestión de proyectos o creación de contenido, entre otros. Las políticas BYOD (traiga su propio dispositivo) de las organizaciones permiten a los empleados utilizar sus propios ordenadores y dispositivos móviles en la red corporativa. Sin embargo, incluso con un programa BYOD oficial establecido, los equipos de TI no suelen disponer de visibilidad sobre el software y los servicios que los empleados utilizan en el hardware BYOD, y puede resultar complicado imponer políticas de seguridad de TI en los dispositivos personales de los empleados.

A pesar de todo, la TI invisible no siempre se debe a decisiones individuales: los equipos también adoptan aplicaciones de TI invisible. Según Gartner, el 38 % de las compras de tecnología las gestionan, definen y controlan los líderes de la empresa, en lugar de TI. Los equipos quieren adoptar nuevos servicios en cloud, aplicaciones SaaS y otras tecnologías de la información, pero los procesos de aprovisionamiento que implementan el departamento de TI y los CIO a menudo les parecen demasiado onerosos o lentos, así que evitan a TI para obtener la nueva tecnología que desean. Sería el caso de, por ejemplo, un equipo de desarrollo de software que adopta un nuevo entorno de desarrollo integrado (IDE) sin consultar al departamento de TI porque seguir el proceso de aprobación oficial retrasaría el desarrollo y provocaría que la compañía perdiese una oportunidad de mercado.

Los servicios, las aplicaciones y el software externos y no autorizados son quizás la forma más generalizada de TI invisible. Ejemplos habituales:

• Aplicaciones de productividad, como Trello y Asana

• Aplicaciones de almacenamiento en cloud, uso compartido de archivos y edición de documentos, como Dropbox, Google Docs, Google Drive y Microsoft OneDrive

• Aplicaciones de comunicación y mensajería, que incluyen Skype, Slack, WhatsApp, Zoom, Signal, Telegram, así como cuentas personales de correo electrónico

Suele ser fácil acceder a estas ofertas SaaS y de servicios en cloud, cuyo uso es bastante intuitivo y que, además, son gratuitas o tienen un coste muy bajo, de modo que los equipos pueden desplegarlas rápidamente según sea necesario. Con frecuencia, los empleados traen estas aplicaciones de TI invisible al lugar de trabajo porque ya las utilizan en su vida personal. Es probable también que sean los clientes, socios o proveedores de servicio quienes inviten a los empleados a utilizar estos servicios (p. ej.: no es extraño que los empleados se incorporen a las aplicaciones de productividad de los clientes para colaborar en proyectos).

Los dispositivos personales de los empleados (smartphones, ordenadores portátiles y dispositivos de almacenamiento, como unidades USB y discos duros externos) son otra fuente habitual de TI invisible. Los empleados pueden utilizar sus dispositivos para acceder, almacenar o transmitir recursos red de forma remota, o pueden utilizar estos dispositivos en local como parte de un programa BYOD oficial. Sea como sea, para los departamentos de TI suele ser difícil descubrir, supervisar y gestionar estos dispositivos con los sistemas tradicionales de gestión de activos.

Si bien los empleados suelen adoptar TI invisible por sus aparentes ventajas, los activos de TI suponen un riesgo potencial de seguridad para la organización. Por ejemplo:

• Pérdida de visibilidad y control de la TI: puesto que el equipo de TI, por lo general, no es consciente del uso de activos específicos de TI invisible, las vulnerabilidades de seguridad de dichos activos pasan desapercibidas. Según el informe State of Attack Surface Management 2022 de Randori, una organización normal y corriente tiene un 30 % más de activos expuestos que los que detectan sus programas gestión de activos. Puede que los usuarios finales o los equipos de departamento no conozcan la importancia de las actualizaciones, los parches, las configuraciones, los permisos y los controles normativos y de seguridad cruciales de estos activos, lo que deja a la organización todavía más expuesta.

• Inseguridad de datos: almacenar, transmitir o acceder a datos confidenciales mediante aplicaciones y dispositivos de TI invisible no protegidos supone un riesgo de filtraciones o brechas de datos para la compañía. Los datos almacenados en aplicaciones de TI invisible no se recopilan durante las copias de seguridad de los recursos de TI autorizados oficialmente y, por lo tanto, resulta complicado recuperar la información tras una pérdida de datos. La TI invisible puede, además, contribuir a la incoherencia de datos: si los datos están dispersos entre varios activos de TI invisible sin gestión centralizada, puede que los empleados estén trabajando con información no oficial, inválida u obsoleta.

• Problemas de conformidad: las normativas como Health Insurance Portability and Accountability Act (HIPAA), Payment Card Industry Data Security Standard (PCI DSS) y el Reglamento general de protección de datos (GDPR) disponen estrictos requisitos para el procesamiento de información de identificación personal (PII). Las soluciones de TI invisible que ponen en marcha los empleados y departamentos sin conocimientos de conformidad pueden no cumplir estos estándares seguridad de datos y dar lugar a sanciones o acciones legales contra la organización.

• Falta de eficacia de negocio: es posible que las aplicaciones de TI invisible no se integren fácilmente con la infraestructura de TI autorizada y se obstruyan flujos de trabajo que dependen de información o activos compartidos. Es poco probable que el equipo de TI tenga en cuenta los recursos de TI invisible al introducir activos autorizados nuevos o suministrar infraestructura de TI para un departamento determinado. Como resultado, puede que el departamento de TI modifique la red o los recursos red de manera que se interrumpa la funcionalidad de los activos de TI invisible de los que dependen los equipos.

Antes era frecuente que las organizaciones intentasen mitigar estos riesgos prohibiendo la TI invisible por completo. Sin embargo, los líderes de TI están aceptando cada vez más la TI invisible como algo inevitable, y son muchos los que han llegado a aprovechar sus ventajas. Entre ellas, se incluyen:

• Permitir que los equipos sean más ágiles a la hora de responder a los cambios en el panorama empresarial y reaccionar ante la evolución de las nuevas tecnologías

• Permitir a los empleados utilizar las mejores herramientas para su trabajo

• Optimizar las operaciones de TI al reducir los costes y los recursos necesarios para suministrar nuevos activos de TI

Para mitigar los riesgos de la TI invisible sin sacrificar estas ventajas, muchas organizaciones pretenden ahora ajustar la TI invisible a los protocolos de seguridad de TI estándar, en lugar de prohibirla por completo. Con dicho propósito, es frecuente que los equipos de TI implementen tecnologías de ciberseguridad, como las herramientas de gestión de superficie de ataque (ASM), que supervisan continuamente los activos de TI de una organización que están en contacto con Internet para descubrir e identificar TI invisible en el momento en que se adopta. De ese modo, se pueden evaluar estos activos invisibles en busca de vulnerabilidades y ser reparados. 

Las organizaciones también pueden utilizar software CASB (intermediarios de seguridad de acceso al cloud), que garantiza la seguridad de las conexiones entre los empleados y cualquier activo en cloud que utilicen, lo que incluye activos conocidos y desconocidos. Los CASB pueden descubrir servicios invisibles en cloud y someterlos a medidas de seguridad, como cifrado, políticas de control de acceso y detección de malware.