El Shadow IT se refiere a cualquier recurso de tecnología de la información, ya sea hardware, software, servicios en la nube o aplicaciones, utilizado dentro de una organización sin el conocimiento, la aprobación o la gestión del departamento de TI. El Shadow AI es un subconjunto específico del Shadow IT centrado en las herramientas de inteligencia artificial.
El Shadow IT existe desde hace décadas, pero el auge de los servicios en la nube y las aplicaciones SaaS ha aumentado drásticamente su prevalencia. Los ejemplos habituales incluyen el almacenamiento personal en la nube (Dropbox, Google Drive), las aplicaciones de mensajería no autorizadas, el uso del correo electrónico personal para el trabajo, las herramientas de gestión de proyectos no aprobadas y, ahora, los servicios de IA como ChatGPT, Claude y GitHub Copilot.
Los riesgos del Shadow IT incluyen: vulnerabilidades de seguridad por software no evaluado, fuga de datos a través de canales no gestionados, infracciones de cumplimiento por un tratamiento de datos no controlado, falta de visibilidad sobre los flujos de datos de la organización, problemas de soporte e integración y una superficie de ataque mayor.
Las estrategias de gestión incluyen: herramientas de descubrimiento que identifican los servicios no autorizados, políticas claras con procesos de aprobación prácticos, la provisión de alternativas aprobadas que satisfagan las necesidades de los usuarios, la formación de los empleados sobre los riesgos, la supervisión de la red y los controles de acceso, y auditorías periódicas del uso de la tecnología. El objetivo es equilibrar la seguridad con la productividad de los empleados.