Riscos del Shadow IT en equips de desenvolupament

Actualment, els equips tècnics treballen en entorns cada cop més àgils i, per tant, apareix la necessitat de moure’s amb rapidesa, provar noves tecnologies i evitar bloquejos innecessaris. Això ha afavorit una pràctica cada vegada més estesa (i sovint inadvertida): l’ús d’eines o serveis tecnològics sense el coneixement ni l’aprovació del departament de TI, coneguda com a Shadow IT.

Aquest fenomen és present pràcticament a totes les organitzacions, des de startups fins a grans corporacions, i encara que en molts casos neix amb una intenció positiva, pot comportar riscos importants si no es gestiona de manera adequada.

En aquest article analitzarem en detall què és el Shadow IT, per què s’ha tornat tan freqüent, quines conseqüències pot tenir per a la seguretat i com es pot abordar de manera estratègica sense frenar la innovació ni limitar l’autonomia dels equips tècnics.

Què és el Shadow IT?

El concepte Shadow IT fa referència a l’ús de qualsevol sistema, software, dispositiu o servei tecnològic sense l’autorització ni la supervisió del departament de TI d’una organització. En aquest sentit, es tracta de solucions que els empleats adopten pel seu compte per cobrir una necessitat immediata, sense passar pels canals formals d’aprovació interna.

Aquest fenomen pot incloure:

• Aplicacions d’emmagatzematge al núvol com Google Drive, Dropbox o WeTransfer, utilitzades per compartir fitxers de manera ràpida.
• Serveis de missatgeria no corporatius com WhatsApp, Telegram o versions gratuïtes de Slack, emprats per comunicar-se entre equips o amb clients.
• Eines de gestió de projectes com Trello, Notion o Asana sense suport oficial per part de l’organització.
• Serveis cloud i entorns de desenvolupament com Vercel, Firebase, Heroku, GitHub Actions o fins i tot instàncies pròpies a AWS, Azure o GCP.

En el cas dels desenvolupadors, el Shadow IT acostuma a aparèixer en forma d’APIs externes, entorns de prova personals, microserveis desplegats fora de la infraestructura oficial o bases de dades temporals allotjades en serveis gratuïts. Encara que sovint aquestes decisions es prenen amb la bona voluntat d’agilitzar el desenvolupament, fer proves A/B, prototipar o evitar friccions burocràtiques, representen un risc latent que cal identificar, entendre i, si cal, reconduir cap a pràctiques més segures i sostenibles.

Per què ara el Shadow IT és més freqüent?

El Shadow IT s’ha tornat més habitual per una combinació de factors tecnològics i organitzatius. L’expansió del teletreball, l’adopció de metodologies àgils en el desenvolupament de software i la gran disponibilitat de solucions SaaS han creat un entorn on és molt fàcil accedir a eines tecnològiques sense passar pel departament de TI.

Tot i que això permet treballar amb més autonomia, també pot comportar una pèrdua de visibilitat, control i seguretat per a l’organització si no es gestiona correctament.

A banda d’aquest context tecnològic, també poden existir causes internes que afavoreixin encara més l’aparició del Shadow IT, com ara:

• Manca d’agilitat del departament de TI: Quan la resposta a una necessitat tècnica és lenta i es generen colls d’ampolla davant de sol·licituds urgents, els usuaris tendeixen a buscar solucions pel seu compte.
• Desconeixement de les polítiques de TI: Molts empleats no són conscients de les implicacions legals, tècniques o de seguretat associades a l’ús d’eines no autoritzades.
• Necessitat d’innovació i experimentació: Àrees com desenvolupament, disseny, màrqueting o producte solen requerir tecnologies emergents que encara no han estat avaluades o aprovades per TI.
• Facilitat d’accés al SaaS: La proliferació d’eines assequibles i fàcilment accessibles redueix notablement la barrera d’entrada, facilitant-ne l’adopció sense revisió prèvia.

Tot plegat converteix el Shadow IT en un fenomen gairebé inevitable, i per això cal entendre’l, identificar-lo i gestionar-lo amb una estratègia adequada.

Quins riscos comporta l’ús del Shadow IT?

L’ús d’eines no autoritzades dins d’una organització pot semblar una solució pràctica a curt termini, però en realitat comporta riscos que afecten diversos nivells:

• Bretxes de seguretat: Les aplicacions que no han estat validades pel departament de TI sovint no compleixen amb els estàndards de seguretat requerits. Això inclou pràctiques bàsiques com l’autenticació multifactor, el xifrat de dades o la gestió segura de credencials. Com a conseqüència, augmenta la probabilitat de patir filtracions d’informació sensible, accessos no autoritzats o ciberatacs que podrien haver-se evitat amb una supervisió adequada.
• Incompliment normatiu: Un altre risc rellevant és el de vulnerar regulacions legals. Les organitzacions han de complir normatives específiques com el Reglament General de Protecció de Dades (RGPD) o la HIPAA en l’àmbit sanitari. L’ús de serveis no autoritzats pot implicar el tractament de dades personals en servidors fora de control, sense consentiment explícit, amb el consegüent risc de sancions legals, pèrdua de reputació o responsabilitat econòmica.
• Pèrdua de control sobre les dades: Quan s’utilitzen plataformes externes, les dades poden acabar allotjades en ubicacions desconegudes, sense una política clara de còpies de seguretat, retenció o eliminació. Això dificulta el seguiment, la traçabilitat i la protecció d’un dels actius més valuosos de qualsevol organització.
• Ineficiències operatives: La proliferació d’eines que no estan integrades amb els sistemes oficials provoca fragmentació de processos, duplicitat d’esforços, incompatibilitats tècniques i manca de visibilitat sobre la infraestructura utilitzada. Tot plegat impacta negativament en la productivitat, el suport tècnic i la capacitat de mantenir una arquitectura eficient i sostenible a llarg termini.

Solucions per gestionar el Shadow IT

Gestionar el Shadow IT de manera intel·ligent no significa prohibir, sinó canalitzar i habilitar aquestes pràctiques de forma segura, transparent i col·laborativa. L’objectiu no és restringir l’autonomia dels equips tècnics, sinó crear un entorn on sigui possible innovar i avançar sense comprometre la seguretat.

Algunes pràctiques recomanades per aconseguir aquest equilibri serien:

• Comunicació proactiva amb l’equip de TI: És clau per construir una relació de col·laboració. Si es necessita una nova eina o infraestructura, cal obrir línies de comunicació per exposar el cas d’ús, explicar els beneficis tècnics o funcionals i proposar una solució viable. D’aquesta manera es poden avaluar els riscos, buscar alternatives segures i, sovint, agilitzar l’aprovació.
• Ús controlat d’entorns de prova: L’experimentació forma part del desenvolupament, però s’ha de fer en entorns aïllats i segurs. Per això, és important utilitzar entorns de prova ben definits, sense accés a dades reals ni a sistemes crítics. Això permet validar noves eines o integracions sense posar en risc l’operativa.
• Documentació mínima però clara: Encara que no es tracti d’una solució oficial o definitiva, documentar els serveis i eines emprats és essencial. Un simple README.md, una wiki o un fitxer compartit pot marcar la diferència si cal auditar, donar suport o migrar aquella solució més endavant.
• Ús d’eines aprovades i entorns sandbox: Cada cop més organitzacions ofereixen catàlegs d’eines preautoritzades o entorns sandbox perquè els equips tècnics puguin provar i validar solucions de manera controlada. Si l’empresa en disposa, cal aprofitar-los.
• Seguretat integrada des del desenvolupament: Incorporar mesures de seguretat des del propi codi és una de les millors formes de reduir riscos, fins i tot quan s’utilitzen eines no oficials.

Conclusions

La presència del Shadow IT dins les organitzacions indica que els equips necessiten més agilitat, autonomia i eines adequades per fer front als reptes del dia a dia. Ignorar aquesta realitat o intentar eliminar-la completament acostuma a ser contraproduent. Per això, la clau rau a entendre’n les causes, avaluar-ne els riscos i establir un marc de governança flexible i col·laboratiu que permeti innovar amb seguretat.

Gestionar el Shadow IT de manera estratègica implica trobar l’equilibri entre control i autonomia, mitjançant una comunicació oberta amb el departament de TI. Això afavoreix un ús conscient dels entorns de prova, una documentació mínima però útil, i la integració de bones pràctiques de seguretat des de les primeres etapes del desenvolupament. Tot plegat permet reduir riscos sense comprometre ni la productivitat ni la capacitat d’innovació.

En definitiva, es tracta de transformar el Shadow IT en una oportunitat per enfortir la cultura tecnològica de l’organització, fomentant la responsabilitat compartida i construint entorns on la capacitat d’experimentació sigui compatible amb la seguretat i la sostenibilitat a llarg termini.




Recursos:
[1] Wikipedia – Shadow IT
[2] Instituto Nacional de Ciberseguridad – Shadow IT al descubierto: riesgos y buenas prácticas

Vols continuar llegint sobre seguretat? No et perdis aquests recursos!

• Enginyeria social: l’art de la manipulació en ciberseguretat
• El factor humà en ciberseguretat: el punt feble de les organitzacions
• Zero Trust: redefinint l’estratègia en ciberseguretat
• Com protegir la teva xarxa domèstica intel·ligent

A Block&Capital, especialistes en selecció de personal, treballem per crear oportunitats on el creixement i l’èxit siguin a l’abast de tothom. Si estàs preparat per fer un pas endavant en la teva carrera professional, no dubtis a contactar amb nosaltres.