Shadow IT: el risc invisible de les aplicacions que fan servir els teus empleats sense control

Aquest fenomen es coneix com a Shadow IT: l’ús d’aplicacions, dispositius, serveis cloud o eines tecnològiques sense la supervisió del departament de sistemes, seguretat o direcció. Pot semblar una solució pràctica per treballar amb més agilitat, però també pot obrir la porta a fuites de dades, accessos no controlats, costos duplicats i incompliments normatius.

En aquest article expliquem què és el Shadow IT, per què apareix, quins riscos genera i com una empresa pot controlar-lo sense bloquejar la productivitat dels seus equips.

Què és el Shadow IT?

El Shadow IT fa referència a qualsevol tecnologia utilitzada dins d’una empresa sense aprovació, coneixement o control de l’àrea IT. No sempre neix d’una mala intenció. En molts casos, apareix perquè els empleats necessiten resoldre una tasca concreta i busquen l’eina més ràpida.

Pot incloure aplicacions d’emmagatzematge, eines d’IA, plataformes de missatgeria, gestors de tasques, extensions de navegador, comptes personals, dispositius propis o serveis cloud contractats directament per un departament.

Alguns exemples habituals de Shadow IT són:

• Guardar documents d’empresa en comptes personals de Google Drive, Dropbox o WeTransfer.
• Fer servir eines d’IA generativa amb informació interna o confidencial.
• Crear grups de treball en aplicacions externes sense control corporatiu.
• Compartir contrasenyes mitjançant fulls de càlcul o notes personals.
• Contractar un SaaS sense revisar condicions, seguretat o ubicació de les dades.
• Utilitzar dispositius personals per accedir a informació corporativa.
• Instal·lar extensions de navegador sense validació tècnica.

El problema no és que els empleats vulguin treballar millor. El problema és que l’empresa perd visibilitat sobre on són les seves dades, qui hi té accés, quines aplicacions s’utilitzen i quins riscos s’estan acumulant.

Per què apareix el Shadow IT a les empreses

El Shadow IT sol aparèixer quan existeix una distància entre les necessitats reals dels equips i les eines oficials que l’empresa proporciona. Si l’usuari percep que el sistema intern és lent, limitat o massa rígid, buscarà alternatives.

Això passa especialment en empreses que han crescut ràpid, han incorporat eines cloud sense una estratègia clara o no han definit bé els seus processos interns.

Les causes més habituals són:

• Manca d’eines corporatives adequades.
• Processos d’aprovació massa lents.
• Desconeixement dels riscos per part dels usuaris.
• Necessitat de col·laboració ràpida amb clients o proveïdors.
• Ús creixent d’aplicacions SaaS fàcils de contractar.
• Absència de polítiques clares sobre tecnologia permesa.
• Manca d’inventari actualitzat d’aplicacions i accessos.
• Creixement desordenat de Microsoft 365, Teams, SharePoint o serveis cloud.

En altres paraules: el Shadow IT no apareix perquè sí. Normalment és un símptoma que l’empresa necessita millorar el seu govern IT, la seva comunicació interna i la seva capacitat per oferir solucions útils al negoci.

Principals riscos del Shadow IT

El Shadow IT pot passar desapercebut durant mesos o anys. El problema apareix quan hi ha una fuita d’informació, una baixa d’un empleat mal gestionada, un accés extern oblidat o una eina crítica que ningú sap administrar.

A continuació, veiem els riscos més importants.

Pèrdua de control sobre les dades

Quan els documents es guarden fora dels sistemes corporatius, l’empresa deixa de saber on és la seva informació. Això afecta contractes, dades de clients, documentació financera, projectes interns, credencials o informació sensible.

El risc augmenta quan s’utilitzen comptes personals o plataformes gratuïtes sense polítiques empresarials de seguretat, xifratge, retenció o control d’accessos.

Si un empleat deixa l’empresa, pot ser que continuï tenint documents al seu compte personal. Si una eina externa pateix una bretxa, l’empresa pot no assabentar-se’n. Si es comparteix un enllaç públic, la informació pot quedar exposada sense que ningú ho detecti.

Incompliment normatiu i protecció de dades

El Shadow IT també pot generar problemes de compliment. Si una empresa tracta dades personals, informació confidencial o documentació sensible, ha de saber on s’emmagatzema, qui hi accedeix i sota quines condicions.

Fer servir aplicacions no autoritzades pot provocar que les dades es transfereixin a proveïdors no revisats, països no adequats o serveis sense garanties suficients.

Això pot afectar el compliment del RGPD, acords de confidencialitat, requisits contractuals amb clients o normatives sectorials.

Per això és important combinar tecnologia, processos i revisió documental. A Inmove IT, aquest tipus de control es relaciona directament amb serveis com protecció de dades RGPD per a empreses, especialment quan la informació corporativa es reparteix entre múltiples eines.

Augment de la superfície d’atac

Cada aplicació no controlada és una possible porta d’entrada. Pot tenir contrasenyes febles, usuaris sense MFA, permisos excessius, integracions insegures o vulnerabilitats sense gestionar.

Microsoft, dins del seu enfocament Zero Trust, destaca la importància de descobrir Shadow IT, revisar permisos dins de les aplicacions i aplicar principis de mínim privilegi en entorns cloud. Font: Microsoft Learn

El problema és senzill: no es pot protegir allò que no es coneix. Si el departament IT no sap que una eina existeix, tampoc pot revisar-la, configurar-la, monitorar-la ni retirar-la correctament.

Costos ocults i duplicitat d’eines

El Shadow IT no només és un risc de seguretat. També genera costos innecessaris.

És habitual trobar diverses eines que fan el mateix: una per compartir arxius, una altra per gestionar tasques, una altra per fer videotrucades, una altra per emmagatzemar documentació i una altra per enviar arxius grans. Cada departament contracta el que necessita, però ningú revisa el conjunt.

Això provoca:

• Llicències duplicades.
• Usuaris actius que ja no fan servir l’eina.
• Pagaments recurrents sense control centralitzat.
• Solucions solapades amb Microsoft 365 o altres plataformes corporatives.
• Manca de negociació global amb proveïdors.
• Dificultat per saber quines eines són realment crítiques.

En empreses mitjanes, aquest cost pot créixer sense que direcció ho percebi fins que es revisen factures, renovacions i accessos.

Dependència de persones concretes

Un altre risc habitual és que una eina clau depengui d’una sola persona. Aquesta persona sap com accedir-hi, com configurar-la, on són les dades i com es factura.

Si canvia de lloc, marxa de l’empresa o està de vacances, el servei pot quedar bloquejat. Ningú sap qui és l’administrador, com recuperar el compte o com cancel·lar la subscripció.

Aquesta dependència genera fragilitat operativa. I en molts casos no es detecta fins que hi ha una urgència.

Shadow IT i Microsoft 365: un problema més comú del que sembla

Moltes empreses creuen que, pel fet d’utilitzar Microsoft 365, ja ho tenen tot sota control. Tot i això, el Shadow IT també pot aparèixer dins del mateix ecosistema Microsoft.

Per exemple:

• Equips de Teams creats sense estructura.
• Canals amb usuaris externs sense revisió.
• Carpetes de SharePoint compartides amb enllaços anònims.
• Documents duplicats en OneDrive personals.
• Grups de Microsoft 365 sense propietari clar.
• Aplicacions connectades mitjançant permisos OAuth.
• Automatitzacions creades per usuaris sense documentació.
• Bústies compartides sense control d’accés.

El problema no és Microsoft 365, sinó la manca de govern. Una plataforma potent necessita configuració, polítiques i revisió periòdica.

Per això, el control del Shadow IT ha d’incloure una auditoria d’usuaris, grups, permisos, aplicacions connectades, dispositius i regles d’accés. Aquest treball encaixa amb serveis com auditories IT per a empreses, que permeten detectar riscos abans que es converteixin en incidents.

Shadow IT i Shadow AI: el nou risc afegit

En els últims anys ha aparegut una variant especialment delicada: el Shadow AI. Es produeix quan els empleats utilitzen eines d’intel·ligència artificial sense autorització per processar informació corporativa.

Pot ser tan simple com copiar en una eina externa:

• Un contracte.
• Una proposta comercial.
• Un llistat de clients.
• Un informe financer.
• Codi font.
• Dades internes de producció.
• Correus electrònics.
• Informació de recursos humans.

El risc és que l’empresa pot perdre control sobre la informació introduïda, el seu tractament posterior i les condicions del proveïdor.

Això no significa que la IA s’hagi de prohibir. Significa que s’ha de regular. L’empresa ha de definir quines eines es poden fer servir, amb quines dades, sota quines condicions i amb quin nivell de supervisió.

Una política clara d’ús de la IA pot evitar molts problemes sense frenar la innovació.

Com detectar Shadow IT a la teva empresa

Detectar Shadow IT requereix combinar revisió tècnica, anàlisi de processos i conversa amb els equips. No n’hi ha prou amb revisar una llista de programes instal·lats, perquè moltes eines actuals funcionen directament des del navegador.

Un bon punt de partida és revisar:

• Aplicacions SaaS pagades amb targetes corporatives.
• Eines vinculades a comptes de correu d’empresa.
• Aplicacions amb permisos sobre Microsoft 365 o Google Workspace.
• Extensions de navegador instal·lades.
• Serveis cloud utilitzats per compartir arxius.
• Dispositius personals connectats a recursos corporatius.
• Enllaços compartits externament.
• Usuaris externs a Teams, SharePoint o altres plataformes.
• Eines utilitzades per departaments com màrqueting, vendes, administració o recursos humans.

També és útil preguntar als equips quines eines utilitzen realment per treballar. L’objectiu no ha de ser assenyalar culpables, sinó entendre necessitats.

Moltes vegades el Shadow IT revela que l’empresa necessita una solució oficial millor, més àgil o més ben comunicada.

Com reduir el Shadow IT sense bloquejar la productivitat

Eliminar el Shadow IT completament no sempre és realista. El més important és reduir el risc, guanyar visibilitat i crear un marc d’ús segur.

1. Crear un inventari real d’aplicacions

El primer pas és saber quines eines s’estan utilitzant. Aquest inventari ha d’incloure aplicacions oficials i no oficials, responsables, usuaris, cost, tipus de dades tractades i criticitat.

No cal començar amb un model complex. El més important és tenir una visió clara:

• Quina eina s’utilitza.
• Per a què s’utilitza.
• Qui l’administra.
• Quines dades emmagatzema.
• Qui hi té accés.
• Quant costa.
• Quina alternativa corporativa existeix.
• Si compleix requisits mínims de seguretat.

Aquest inventari s’ha de revisar periòdicament, no només una vegada a l’any.

2. Definir una política d’aplicacions permeses

L’empresa necessita una política clara sobre quines eines es poden utilitzar i quines no. Aquesta política ha d’estar escrita en un llenguatge senzill i ha de ser fàcil d’aplicar.

Ha de respondre preguntes com:

• Quines aplicacions estan aprovades?
• Qui pot sol·licitar una nova eina?
• Quines dades no es poden pujar a serveis externs?
• Quines eines d’IA estan permeses?
• Quins requisits ha de complir un proveïdor SaaS?
• Com es gestionen els usuaris externs?
• Què passa quan un empleat causa baixa?

La política ha de ser pràctica. Si és massa rígida, els usuaris buscaran dreceres. Si és massa vaga, no servirà per prendre decisions.

3. Facilitar alternatives corporatives útils

Moltes vegades els empleats recorren al Shadow IT perquè les eines oficials no resolen bé la seva necessitat.

Per exemple, si l’empresa prohibeix WeTransfer però no ofereix una forma còmoda d’enviar arxius grans, el problema continuarà existint. Si bloqueja eines d’IA però no explica quina alternativa es pot utilitzar, els usuaris buscaran una altra via.

La clau és substituir el “no es pot” per “aquesta és la forma segura de fer-ho”.

4. Revisar permisos i accessos periòdicament

El Shadow IT s’agreuja quan els permisos s’acumulen sense control. Per això convé revisar de forma periòdica:

• Usuaris actius i inactius.
• Accessos externs.
• Grups de seguretat.
• Propietaris de Teams i SharePoint.
• Aplicacions connectades a Microsoft 365.
• Comptes amb permisos administratius.
• Bústies compartides.
• Enllaços públics o anònims.

Aquest treball redueix riscos i millora la traçabilitat. També evita que antics empleats, proveïdors o col·laboradors mantinguin accessos innecessaris.

5. Aplicar MFA i mínim privilegi

El control d’accessos és una de les mesures més importants. Totes les aplicacions crítiques haurien d’utilitzar MFA, especialment si contenen informació corporativa o permeten accés remot.

A més, cada usuari hauria de tenir només els permisos que necessita per treballar. Ni més ni menys.

Aquest principi de mínim privilegi ajuda a reduir l’impacte si un compte es veu compromès. També facilita el control intern i millora la seguretat general de l’entorn.

6. Formar els usuaris amb exemples reals

El Shadow IT no es corregeix només amb tecnologia. També cal conscienciació.

Els empleats han d’entendre que pujar un arxiu a una eina externa, utilitzar un compte personal o connectar una aplicació no revisada pot generar riscos reals.

La formació ha de ser clara i propera. És millor explicar casos concrets que utilitzar missatges genèrics.

Per exemple:

• “No pugis contractes a eines d’IA no aprovades”.
• “No comparteixis carpetes amb enllaços públics”.
• “No utilitzis comptes personals per a documents d’empresa”.
• “No instal·lis extensions sense validació”.
• “Sol·licita una eina abans de contractar-la pel teu compte”.

Quan l’usuari entén el motiu, és més fàcil que col·labori.

Quin paper té el departament IT

El departament IT no ha d’actuar només com a fre. El seu paper ha de ser facilitar que l’empresa treballi de forma segura.

Per fer-ho, ha de:

• Escoltar les necessitats dels departaments.
• Oferir eines corporatives adequades.
• Definir processos de sol·licitud àgils.
• Avaluar proveïdors SaaS.
• Revisar permisos i configuracions.
• Documentar aplicacions crítiques.
• Acompanyar els usuaris en el canvi.
• Mantenir una visió global de l’entorn tecnològic.

El Shadow IT no es combat només bloquejant. Es combat donant alternatives, visibilitat i control.

Com pot ajudar una auditoria IT

Una auditoria IT permet detectar aplicacions, accessos i riscos que no sempre apareixen en el dia a dia. És especialment útil quan una empresa ha crescut ràpid, ha incorporat moltes eines cloud o no té documentació actualitzada.

Una auditoria orientada a Shadow IT pot revisar:

• Inventari d’aplicacions.
• Estat de Microsoft 365.
• Usuaris i permisos.
• Aplicacions connectades.
• Dispositius.
• Eines SaaS contractades.
• Llicències i costos.
• Accessos externs.
• Polítiques de seguretat.
• Procediments d’alta i baixa d’usuaris.

A partir d’aquí, es pot establir un pla de millora realista, prioritzant els riscos més importants i evitant canvis bruscos que afectin el treball diari.

Aquest enfocament encaixa amb una visió més àmplia de manteniment informàtic per a empreses, on l’objectiu no és només resoldre incidències, sinó prevenir problemes abans que impactin en el negoci.

Senyals que la teva empresa pot tenir un problema de Shadow IT

No sempre és fàcil detectar el Shadow IT des de direcció. Però hi ha senyals clares que haurien d’activar una revisió:

• Ningú té una llista completa d’aplicacions utilitzades.
• Cada departament contracta les seves pròpies eines.
• Hi ha documents corporatius en comptes personals.
• Existeixen usuaris externs que ningú revisa.
• No hi ha control centralitzat de llicències.
• S’utilitzen eines d’IA sense política interna.
• Els empleats comparteixen arxius amb enllaços públics.
• No existeix un procés formal per aprovar noves aplicacions.
• Les baixes d’usuaris es gestionen manualment i sense checklist.
• Hi ha eines crítiques administrades per una sola persona.

Si diverses d’aquestes situacions es donen a la teva empresa, probablement ja existeix Shadow IT. La pregunta no és si està passant, sinó quant risc està generant.

Checklist bàsic per començar a controlar el Shadow IT

Abans d’implantar solucions complexes, una empresa pot començar amb una revisió senzilla.

Passos recomanats:

1. Crear una llista d’aplicacions utilitzades per cada departament.
2. Identificar quines eines emmagatzemen dades sensibles.
3. Revisar qui administra cada aplicació.
4. Comprovar si hi ha usuaris externs o antics empleats.
5. Revisar pagaments recurrents d’eines SaaS.
6. Definir quines aplicacions estan permeses.
7. Crear un procés per sol·licitar noves eines.
8. Establir normes per a l’ús de la IA.
9. Revisar permisos a Microsoft 365.
10. Formar els usuaris amb exemples pràctics.

Aquest checklist no elimina tots els riscos, però permet guanyar visibilitat i començar a ordenar l’entorn.

Conclusió

El Shadow IT no és només un problema tècnic. És un problema de control, seguretat, costos i organització.

Quan una empresa no sap quines aplicacions s’utilitzen, on són les seves dades o qui té accés a quina informació, augmenta el risc de fuita de dades, incompliment normatiu, duplicitat de costos i dependència de persones concretes.

La solució no passa per prohibir-ho tot, sinó per crear un model equilibrat: eines corporatives útils, polítiques clares, revisió de permisos, control d’aplicacions, formació i auditoria periòdica.

En un entorn on cada vegada més processos depenen de serveis cloud, SaaS, Microsoft 365 i intel·ligència artificial, controlar el Shadow IT s’ha convertit en una part essencial de la seguretat IT empresarial.

Si no tens clar quines aplicacions, accessos o serveis cloud s’estan utilitzant realment a la teva empresa, pot ser un bon moment per revisar l’entorn amb una visió ordenada i pràctica.

Una revisió IT permet detectar riscos, identificar eines duplicades, millorar permisos i establir una política d’ús tecnològic més segura sense frenar la productivitat.

A Inmove IT Solutions ajudem les empreses a ordenar, protegir i documentar el seu entorn tecnològic mitjançant auditories, manteniment, ciberseguretat i gestió de sistemes.

Pots contactar amb el nostre equip per revisar la teva situació actual i definir un pla adaptat a les necessitats reals de la teva empresa.

Preguntes freqüents sobre Shadow IT

El Shadow IT sempre és perillós?

No sempre neix com una cosa perillosa, però sí que genera risc quan l’empresa no té visibilitat ni control. Una aplicació útil pot convertir-se en un problema si emmagatzema dades sensibles, no té MFA, no està documentada o depèn d’un compte personal.

Per què els empleats fan servir aplicacions no autoritzades?

Normalment ho fan per treballar més ràpid, col·laborar millor o resoldre una necessitat que les eines oficials no cobreixen. Per això és important escoltar els equips i oferir alternatives corporatives segures.

Quina relació té el Shadow IT amb Microsoft 365?

Microsoft 365 pot reduir molts riscos si està ben configurat, però també pot generar desordre si no es revisen permisos, usuaris externs, grups, enllaços compartits i aplicacions connectades. El problema no és l’eina, sinó la manca de govern.

Com pot una empresa començar a controlar el Shadow IT?

El primer pas és crear un inventari d’aplicacions i accessos. Després convé revisar permisos, definir eines permeses, establir un procés d’aprovació i formar els usuaris.

L’ús d’eines d’IA també és Shadow IT?

Sí, quan s’utilitzen eines d’IA no aprovades per tractar informació corporativa. En aquest cas també parlem de Shadow AI, una variant especialment sensible perquè pot implicar dades internes, contractes, informació de clients o documentació confidencial.

Cal bloquejar totes les aplicacions externes?

No necessàriament. El més important és avaluar riscos i definir normes clares. Algunes eines externes poden ser vàlides si compleixen requisits de seguretat, privacitat, control d’accessos i continuïtat.