La Shadow TI se va a casa: Cómo reducir el riesgo

0
9

Miremos atrás 20 años, cuando la TI era responsable de la contratación, la concesión de licencias, la configuración y la gestión de toda la tecnología del lugar de trabajo. Las PCs se mantenían seguras bloqueándolas para que solo estuvieran disponibles las aplicaciones y características aprobadas, y las políticas de grupo de Active Directory permitían un control detallado sobre las PCs. El único software permitido era el que la TI proporcionaba y administraba. Se bloqueó el acceso a grandes partes de la web, incluidos los medios sociales, y no se esperaba que los usuarios pudieran (o quisieran) utilizar sus computadoras en el trabajo para acceder a datos personales, incluidas las cuentas de correo electrónico privadas.

El departamento de informática solía ser el departamento de «no», porque esa era a menudo la respuesta cuando se preguntaba si se podía añadir esta aplicación o pieza de hardware. Si había que instalar algo, generalmente implicaba que un empleado de TI se acercara a su escritorio, lo relevara de su PC por un tiempo o esperara a que algo se instalara automáticamente durante la noche sin ningún aviso o explicación.

Al no tener control sobre las aplicaciones, el contenido o el acceso a la web, la mayoría de los empleados no podían alterar el carro de la manzana, y pocos lo intentaban.

Entonces el iPhone comenzó a reescribir las reglas de la informática empresarial. Los trabajadores comenzaron a encontrar aplicaciones o servicios en la nube que les ayudaban a realizar las tareas de trabajo, y a instalarlas en sus dispositivos móviles sin que el departamento de TI les dijera nada. En este punto, TI no podía hacer otra cosa que bloquear el acceso de esos dispositivos a la Wi-Fi corporativa, lo cual era un tigre de papel porque la conectividad venía con el dispositivo.

Al mismo tiempo, los servicios de nube ganaron influencia en el trabajo y en el hogar. Con los dispositivos no corporativos vino el acceso gratuito a servicios que podían ser comprados por un pequeño equipo ad hoc o una división entera.

Esto es la TI en la sombra -empleados y ejecutivos trabajando en su propio conjunto de herramientas personales para lo que necesitan lograr.

Empezó a parecer que la TI se había convertido en una utilidad. Mantenía las luces encendidas, pero no era un socio necesario o igual en términos de toma de decisiones. Tal vez el momento decisivo fue cuando Apple anunció sus capacidades de administración de dispositivos móviles (MDM) junto con el iOS 4 y la iPad original. Esto no creó una utopía tecnológica, pero sí creó formas de cerrar la brecha entre la TI en la sombra y la TI corporativa.

La TI empresarial en la época de COVID-19
En general, la TI y la TI en la sombra han desarrollado un diálogo sobre un dispositivo, su propiedad, las aplicaciones y el contenido del mismo, utilizando MDM y el más amplio EMM (gestión de la movilidad empresarial). Los resultados pueden no ser perfectos, pero hay una aceptación a regañadientes por ambas partes. Aunque iOS fue la plataforma móvil en las empresas durante algún tiempo, Android finalmente se puso al día en términos de capacidades empresariales. Las plataformas EMM incluso han ganado la capacidad de manejar PCs, Macs y Chromebooks.

Luego vino el coronavirus y su interrupción de casi todo. La gran mayoría de los trabajadores que no fueron despedidos o cesados, ahora trabajan desde casa, una nueva experiencia para muchos. Aunque sin intención, hemos llegado a una nueva normalidad: una prueba mundial del concepto de trabajo completamente remoto, a largo plazo.

Una cosa que ha sorprendido de la respuesta de los departamentos de TI es que han sido capaces de apoyar a su fuerza de trabajo utilizando las herramientas y prácticas existentes. Otra es que TI puede no ser capaz de convencer a los usuarios de las amenazas, las regulaciones u otras situaciones en las que se necesita una línea dura y rápida por el bien del negocio. En un entorno doméstico, los trabajadores están acostumbrados a gestionar sus vidas en un campo de juego de múltiples dispositivos. Este es literalmente el campo de juego doméstico y, como en los deportes, eso significa que el poder en la relación está decididamente del lado de la TI en la sombra.

La gestión de la TI más allá de la oficina
Hay una letanía de preguntas que deben ser respondidas, pero realizar una auditoría de los dispositivos en el campo y ver dónde están las políticas de EMM y su funcionamiento es una de las partes más fáciles de la ecuación; TI ha tenido esa capacidad durante una década. De hecho, la mayoría de las suites de EMM alertan a los miembros del personal de TI cuando los dispositivos son empujados fuera de cumplimiento. Esto podría ser un ajuste menor o podría reflejar el uso de malware, o simplemente un usuario haciendo algo monitoreado, pero no bloqueado.

Si los dispositivos están fuera de conformidad, particularmente si fueron hechos deliberadamente así, la TI tiene que elegir cómo responder. En la oficina, eso podría ser un recordatorio suave o simplemente ajustar un dispositivo de nuevo a la conformidad. En el trabajo, es fácil charlar con los usuarios cuyos dispositivos se utilizan para hacer cosas que pueden causar preocupación. Pero fuera de la oficina, las interacciones diarias que no requieren una reunión o incluso un correo electrónico ahora requieren más esfuerzo. Y los recordatorios de TI pueden ser ignorados más fácilmente.

Esto nos lleva a un momento incómodo. Por un lado, TI es responsable de gran parte de la tecnología que hace posible este experimento de trabajo desde casa. Por otro lado, la gente que no tiene problemas con las restricciones de escritorio en una PC de trabajo puede negarse a permitir que TI entre en sus hogares y dispositivos personales.

Esta es una preocupación razonable y es importante disipar esos temores. En cierto modo, la percepción de TI es más importante aquí que cualquier capacidad técnica. Es importante tener en cuenta que uno de los objetivos de TI debe ser comunicar lo que se puede hacer, lo que se hará y por qué.

En la mayoría de los casos, el problema subyacente no es tecnológico. Es cultural. Se trata de tener una relación en la que la reacción por defecto sea la confianza, y eso requiere que los departamentos de TI (y toda la organización) operen con transparencia. Cuanta más transparencia, mayor es la confianza.

Hacer esto con éxito va más allá de un largo acuerdo firmado durante la incorporación. Lo que hay que discutir, demostrar y reiterar constantemente es que hay un muro de privacidad en cada dispositivo de la empresa -y, a veces, en dispositivos mucho más allá de él- y que la TI comprende lo importante que es mantener ese muro.

Construir la comunidad y la comunicación
La informática suele estar aislada de gran parte de la fuerza de trabajo. Convertirse en una entidad conocida es una competencia necesaria aquí. Si hay soluciones como Slack en juego, los miembros de TI deben estar constantemente monitoreando las conversaciones que están ganando terreno, a veces sobre temas no relacionados con TI que la tecnología podría resolver. Si el personal de TI hace esto regularmente y ofrece consejos y sugerencias, se construye un nivel de comunidad.

Sin embargo, si no existe tal herramienta de colaboración -o si existe, pero no se utiliza- algo tan simple como un boletín semanal por correo electrónico puede ser una forma de llegar y establecer esa conexión, en particular si incluye mensajes de tipo FYI.

Estas piezas no están directamente relacionadas con el negocio, pero proporcionan a los usuarios consejos o chismes de noticias útiles. Por ejemplo, «Para tu información, Apple y Google están construyendo una aplicación de rastreo de contactos, pensé que te gustaría entender ese esfuerzo y por qué deberías o no deberías participar» o «iOS 14 será lanzado el viernes, aquí hay cambios que tal vez quieras tener en cuenta durante y después de la actualización». Estos mensajes desmitifican la TI y hacen que el personal de TI sea más accesible -genera confianza porque los empleados pueden ver que su personal de TI les cubre las espaldas incluso cuando hay restricciones estrictas en determinados dispositivos.

Uno de los principales beneficios de desarrollar una relación de compromiso como asesor de confianza, es que cuando haya algo que necesite o quiera comunicar activamente a los empleados, es probable que lo escuchen.

Guarde los palos
No es raro que los lugares de trabajo tengan una serie de incentivos -tanto a favor como en contra- en torno al uso de tecnologías distintas a las que proporciona TI. Aunque estas políticas se desarrollaron generalmente para asegurar los datos de las empresas, a menudo se consideran punitivas. Muchas de esas políticas tienen repercusiones en el trabajo fuera de la oficina y en el uso de dispositivos móviles, servicios en la nube y tecnologías «personales».

Aunque esto puede ser eficaz, sobre todo cuando las políticas son estrictas para empezar y se comunican claramente, en la nueva normalidad de hoy en día pueden no tener un propósito útil. No todas las políticas deben revisarse y actualizarse por completo en medio de esta crisis, pero es conveniente hacer una rápida revisión de las políticas de movilidad y de trabajo desde el hogar. Cuando haya requisitos o comportamientos que TI decida que son necesidades absolutas durante la pandemia, es una buena idea trabajar predominantemente con incentivos positivos. Si no está seguro de qué tipos de incentivos utilizar, trabajar con los gerentes de la línea de negocios puede generar una gran variedad de opciones.

Hablando de la gestión más allá del servicio de asistencia, es importante tener un control regular con todas las partes interesadas para garantizar que el trabajo a distancia funcione con éxito. Al principio, se debe trabajar con los recursos humanos para establecer los objetivos, prácticas y métricas que se aplicarán durante este tiempo.

Una idea que funciona sorprendentemente bien es un buzón de sugerencias a la antigua. Proporciona una versión digital que permite a los usuarios solicitar cambios de políticas o excepciones (y las justifica plenamente), así como solicitudes más generales. Algunas preguntas no serán de inicio, pero otras pueden ser extremadamente perspicaces.

Manteniendo el asiento de TI en la mesa
Como las partes interesadas que no son de TI, como los ejecutivos, los gerentes de las líneas de negocios y los equipos individuales buscan y aplican sus propias soluciones, hay complicaciones y posibles consecuencias.

Si TI no está involucrada o no es consciente de las decisiones tomadas, la dinámica entre TI y el resto de la organización cambia. Esta dinámica tiene el potencial de desplazar los presupuestos y los procesos de adquisición de TI a otros departamentos. Tiene consecuencias para el apoyo, en caso de que haya problemas con las aplicaciones y servicios adoptados o si no pueden integrarse con los sistemas de la empresa. Las decisiones que se toman rápidamente en el momento o por grupos ad hoc adquieren una dimensión poderosa en el clima actual.

Cabe señalar que hay algunas ventajas muy prácticas que la tecnología de la información puede aportar. El ahorro de costos en compras al por mayor/suscripciones es grande. La seguridad de los datos es otra. Ofrecer asesoramiento como socio es algo enorme pero que a menudo se pasa por alto.

Avanzando en las sombras
Esta crisis va a poner a prueba y a estirar las realidades de cada organización. Todo esto sucedió sin previo aviso, y el objetivo ahora mismo es conseguir brazos alrededor de este lío y hacer cambios sobre la marcha. La mayoría de los departamentos de TI no tienen tiempo para ello y, con la relación adecuada, la Shadow TI puede incluso resultar una ventaja, siempre que haya un diálogo para asegurar que los objetivos estén alineados.

Ese diálogo tiene que haber comenzado ayer, porque el caballo ya está fuera del establo y esta transición es una sin un mapa claro a seguir. La transparencia, la confianza y el diálogo sobre lo que funciona y lo que no funciona no son conceptos nuevos, pero ahora son conceptos vitales que deben ser asimilados en el manual de TI.

Ryan Faas, Computerworld.com