Shadow IT, o TI en la sombra, describe la práctica de departamentos o individuos que adquieren, desarrollan o utilizan soluciones de software, hardware o servicios en la nube sin el conocimiento o la aprobación del equipo de TI corporativo. Esto puede incluir desde el uso de herramientas de colaboración no sancionadas, servicios de almacenamiento en la nube personales para datos corporativos, hasta la implementación de aplicaciones de línea de negocio específicas construidas por equipos no técnicos. La motivación detrás de Shadow IT a menudo surge de la necesidad de agilidad, la percepción de que los procesos de TI son lentos o restrictivos, o la falta de soluciones adecuadas proporcionadas por TI.
En el mundo real, Shadow IT se manifiesta de diversas formas. Ejemplos comunes incluyen equipos de marketing utilizando herramientas de automatización de redes sociales o CRM basadas en la nube sin una revisión de seguridad, ingenieros empleando servicios de IA generativa públicos para procesar datos internos, o departamentos financieros utilizando hojas de cálculo avanzadas con macros complejas para funciones críticas sin un control de versiones o respaldo centralizado. Otros ejemplos son el uso de herramientas de mensajería instantánea como WhatsApp para comunicaciones empresariales sensibles, o la adopción de plataformas de gestión de proyectos como Trello o Asana por equipos individuales cuando la empresa ya tiene una solución corporativa como Jira o Microsoft Project.
Para un Arquitecto de Sistemas, Shadow IT es un desafío crítico que requiere una gestión estratégica. Si bien puede fomentar la innovación y la agilidad a corto plazo, introduce riesgos significativos como brechas de seguridad (exposición de datos sensibles), incumplimiento normativo (GDPR, HIPAA), ineficiencias operativas (duplicación de esfuerzos, falta de integración), y dificultades en la gestión de licencias y costos. El arquitecto debe equilibrar la necesidad de control y seguridad con la demanda de flexibilidad y velocidad de los equipos. Esto implica diseñar arquitecturas que sean lo suficientemente flexibles para integrar nuevas soluciones de forma segura, establecer políticas claras de gobernanza de datos y aplicaciones, y fomentar una cultura de colaboración entre TI y los departamentos de negocio para ofrecer soluciones que satisfagan sus necesidades de manera segura y eficiente, mitigando así la proliferación incontrolada de Shadow IT.