Com o avanço do home office e de ambientes de trabalho híbridos, onde a tecnologia permeia todos os aspectos da vida empresarial, surge um fenômeno muitas vezes negligenciado: a shadow IT, ou Tecnologia na Sombra.
O conceito refere-se à prática de funcionários implementarem soluções de TI por conta própria, sem o conhecimento ou a aprovação dos departamentos de tecnologia centralizados das organizações.
Enquanto pode parecer inofensivo à primeira vista, o shadow IT traz consigo uma série de desafios e riscos que não podem ser subestimados. Quer entender mais sobre o assunto? Siga a leitura deste artigo.
Entendendo o conceito de shadow IT
Shadow IT é o uso ou instalação de qualquer software, aplicativo ou hardwares utilizados na rede corporativa sem o conhecimento e a aprovação do departamento de Tecnologia da Informação (TI).
O conceito não inclui práticas maliciosas realizadas por hackers para danificar o ambiente empresarial, refere-se apenas aos ativos não autorizados utilizados pelos usuários autorizados a acessar a rede e os sistemas da empresa.
Geralmente, os funcionários praticam a shadow IT porque possuem a falsa sensação de celeridade das suas atividades, pois podem usar os sistemas e softwares sem esperar o consentimento da TI ou porque encontram funcionalidades que atendem melhor aos seus objetivos.
Exemplos de shadow IT
Alguns exemplos de shadow IT são:
- Realização de reuniões online em um sistema diferente do autorizado pela empresa;
- Criação de grupos de conversas em ambiente diferente do que é utilizado normalmente;
- Compartilhamento de arquivos por USB ou conta pessoal;
- Documentar processos em um ambiente de nuvem diferente do autorizado pela TI.
Para simplificar ainda mais, digamos que a empresa que você trabalha adotou a Microsoft como ambiente de nuvem empresarial. Portanto, todos os arquivos criados são armazenados no OneDrive, assim como as reuniões são feitas pelo Teams Microsoft. Esse é o padrão.
Porém, você precisou realizar uma reunião online com um cliente que não estava habituado a utilizar esses sistemas e pediu para a videoconferência ser pelo Google Meet. Então, assim você fez. Esse é um exemplo bastante comum de um caso de shadow IT.
Os aparelhos pessoais dos colaboradores, como celulares, notebooks e dispositivos de armazenamento como unidades USB e discos rígidos externos são outros casos comuns de shadow IT.
Por que a shadow IT pode ser um problema?
Hoje em dia, facilmente pode ser encontrada a versão pirateada de um sistema, chamada popularmente de “versão craqueada”, que é quando ao invés de pagar pelo uso à empresa provedora, o usuário faz o download do software de forma ilegal.
Além da prática ser considerada crime, ao baixar esse arquivo disponibilizado por, muitas vezes, usuários com intensões maliciosas, facilmente a máquina utilizada pode ser infectada por vírus.
O relatório divulgado pela Randori mostrou que cerca de sete a cada dez instituições foram comprometidas devido a prática de shadow IT em 2022. O documento apontou ainda que o uso de ativos não monitorados pelo time de TI tem 30% a mais de chances de serem expostos do que aqueles que são devidamente gerenciados. E quais riscos isso pode causar?
Insegurança de dados
Dados confidenciais podem ser armazenados, acessados ou transmitidos por meio de dispositivos e aplicativos não autorizados pela empresa. Isso aumenta o risco de violações ou vazamentos de dados, pois tais informações não são capturadas durante os backups de TI oficiais, dificultando sua recuperação em caso de perda. Além disso, a falta de gerenciamento centralizado pode levar à inconsistência dos dados, resultando em informações desatualizadas ou inválidas sendo utilizadas pelos funcionários.
Perda de visibilidade da TI
A equipe de TI muitas vezes desconhece os ativos específicos não autorizados. Isso resulta na falta de resolução das vulnerabilidades de segurança desses ativos, levando a uma exposição maior do que a identificada pelos programas de gerenciamento de ativos.
Problemas de conformidade
Regulamentações como HIPAA, PCI DSS e GDPR estabelecem requisitos rigorosos para o processamento de informações pessoalmente identificáveis (PII). No entanto, as soluções de shadow IT criadas por funcionários e departamentos sem experiência em conformidade, podem não atender a esses padrões de segurança de dados, expondo a empresa a multas ou ações jurídicas.
O lado bom da shadow IT
É impossível excluir totalmente a prática da shadow IT nos ambientes empresariais modernos, até porque atualmente o funcionário pode trabalhar de qualquer lugar do mundo.
Então, é preciso encarar o fato e educar os colaboradores. Muitos gestores de TI têm cada vez mais aceitado esse hábito e colhido os benefícios propiciados pela shadow IT. Dentre eles:
- Redução de custos com a aquisição de recursos de TI;
- Equipes mais ágeis e com fácil adaptação a mudanças;
- Colaboradores com ferramentas que melhor se adaptam aos seus cenários.
Em vez de proibir totalmente a shadow IT, muitas empresas optam por alinhá-la com os protocolos de segurança de TI padrão. Para isso, as equipes de TI implementam tecnologias como ferramentas de gerenciamento de superfície de ataque (ASM), que monitoram continuamente os ativos de TI para descobrir e identificar o uso de shadow IT.
Além disso, as empresas utilizam softwares de broker de segurança de acesso à nuvem (CASB), que garantem conexões seguras entre os funcionários e os ativos de nuvem, incluindo os desconhecidos utilizados na shadow IT.
Os CASBs aplicam medidas de segurança, como criptografia e detecção de malware, aos serviços de nuvem de shadow IT descobertos. Essas abordagens ajudam a reduzir os riscos de segurança sem comprometer os benefícios oferecidos pela shadow IT.
Conclusão
Lidar com a shadow IT pode parecer complicado, mas é algo que precisa ser enfrentado.
Ao educar seus funcionários, colaborar com outros departamentos e estabelecer medidas de monitoramento e controle, você pode ajudar a manter sua empresa segura e em conformidade com as regulamentações.
E se precisar de ajuda para gerenciar a sua infraestrutura de TI, converse com os nossos especialistas.