Quando os funcionários realizam determinadas ações ou insistem em determinadas soluções sem o conhecimento do departamento de TI, chamamos isso de shadow IT.
Em qualquer setor de uma empresa, o mundo da TI precisa impor certas regras de acesso para que tudo funcione de acordo.
Quando ocorre Shadow IT, é necessário que o departamento de TI esteja atento a essas atividades para garantir a segurança da empresa e verificar se as atividades relacionadas podem fazer parte do dia a dia da empresa.
Preparamos este artigo para que você entenda melhor o que é Shadow IT, quais os seus riscos e como lidar com essa situação dentro de seu negócio.
O que é Shadow IT?
Shadow IT é o uso de hardware ou software relacionado a TI por um departamento ou indivíduo sem o conhecimento de TI ou de uma equipe de segurança dentro da organização. Pode incluir serviços em nuvem, software e hardware.
A principal área de foco hoje é a rápida adoção de serviços baseados em nuvem. Uma das maiores razões pelas quais os funcionários se envolvem em Shadow IT é aumentar a produtividade. Um estudo da RSA de 2012 relatou que 35% dos funcionários sentiram que precisavam contornar as políticas de segurança da empresa para realizar seus trabalhos. Por exemplo, um funcionário pode encontrar um aplicativo de compartilhamento de arquivos melhor do que o permitido oficialmente. Uma vez que eles começam a usá-lo, o uso pode se espalhar para outros membros do seu departamento.
Exemplos de Shadow IT
Shadow IT pode assumir muitas formas diferentes. Apesar de seus nomes, os softwares, aplicativos e ferramentas que compõem a Shadow IT geralmente não são nomes “subterrâneos” ou menos conhecidos. Shadow IT são os programas, ferramentas, serviços e hardware mais comuns com os quais os profissionais de TI e segurança já estão familiarizados, mas não aprovados para uso corporativo ou especificamente para uso em redes corporativas ou equipamentos de propriedade corporativa.
Shadow IT também pode assumir a forma de hardware instalado ou usado em dispositivos de propriedade da empresa, como unidades flash ou HDDs. Mas hoje, a grande maioria da Shadow IT assume a forma de “SaaS“: Software como Serviço (SaaS), Plataforma como Serviço (PaaS) e Infraestrutura como Serviço (IaaS).
Alguns exemplos comuns de Shadow IT:
- Slack, Trello e outras ferramentas de produtividade;
- Skype e outras ferramentas VOIP;
- Google Docs, Gmail, Drive e outros elementos do Google Suite (se não forem oficialmente licenciados ou sancionados pelo departamento de TI);
- Dropbox, Box e outras ferramentas de compartilhamento de arquivos e colaboração na nuvem ponto a ponto;
- Apple AirDrop e outras ferramentas de compartilhamento baseadas em bluetooth;
- WhatsApp e outros aplicativos de mensagens;
- Pendrives e HDDs;
Quando dois membros da equipe baixam o Skype porque não conseguem fazer o Teams funcionar, é Shadow IT. Quando alguém precisa enviar um arquivo muito grande para o Gmail, usa o Dropbox, que é Shadow IT. Mas o problema com a Shadow IT não são as ferramentas específicas que as pessoas usam, é mais que elas usam essas ferramentas sem o conhecimento da TI.
Os riscos e desafios do shadow IT para a corporação
O resultado final é que, se a TI não conhece um aplicativo, não pode suportá-lo ou garantir sua segurança. A empresa de análise do setor Gartner prevê que, até 2020, um terço dos ataques bem-sucedidos às empresas virão de seus recursos de TI paralelos. Embora a Shadow IT claramente não esteja desaparecendo, as organizações podem minimizar os riscos educando os usuários finais e tomando precauções para monitorar e gerenciar aplicativos não autorizados.
Shadow IT não é inerentemente perigoso, mas alguns recursos como compartilhamento/armazenamento de arquivos e colaboração (por exemplo, Google Docs) podem levar à divulgação de dados confidenciais. E o risco vai além dos aplicativos, o estudo da RSA também relata que 63% dos funcionários enviam documentos de trabalho para seus e-mails pessoais para trabalhar em casa, expondo dados a redes que a TI não pode monitorar.
Boas práticas para gerenciar riscos e reduzir o Shadow IT
Como você viu, o Shadow IT pode causar diversos riscos para a sua organização.
Mas nós separamos aqui algumas sugestões para driblá-lo em seu espaço de trabalho. Confira!
Defina políticas de segurança
Ao definir uma política de segurança de TI, você documenta as regras e procedimentos que os funcionários devem seguir.
Essas regras são projetadas para acessar e usar todos os ativos e recursos de TI da empresa.
Dessa forma, o objetivo desta política é educar os funcionários sobre as ameaças à segurança e equipá-los com estratégias e diretrizes para mitigar as violações de segurança de TI.
Ou seja, eles servem como um guia para todos sobre o que podem e o que não podem fazer.
Promova treinamentos de segurança
No treinamento de segurança, você fornece informações críticas sobre os riscos de Shadow IT e como todos podem colaborar para atender aos requisitos técnicos de segurança.
Aqui você também pode reforçar as políticas de segurança e a importância de seguir os protocolos de governança.
Assim, todos estão na mesma página quando se trata de entender os riscos associados à TI e a atitude para evitá-los.
Adote tecnologias para Discovery de ativos
As tecnologias de descoberta de ativos monitoram redes anômalas, compras inesperadas, migrações de dados e cargas de trabalho, padrões de uso de TI e outros indicadores de práticas de TI ocultas.
Portanto, ao adotar essa tecnologia, a sombra de sua prática pode ser detectada antecipadamente e o risco pode ser reduzido mais rapidamente.
Conclusão
Neste artigo, gostaríamos de chamar sua atenção para a prática do Shadow IT, para explicar melhor o termo, como acontece e quais são suas consequências. O que gostaríamos de saber é se este artigo foi esclarecedor para você, e se você conseguiu identificar possíveis práticas de Shadow IT em sua empresa.
Caso você tenha alguma dúvida, entre em contato conosco e vamos juntos solucionar esse problema!
Tags: ServiceNow, Snow Software, Gestão de Ativos de Software, Software Asset Management, SAM, FINOps, ITAM, ITSM, Flexera, Cloud Management framework de governança, trabalhe conosco, setor de ti, gestão de ti, ti invisível, segurança da informação, tratamento de dados, lei geral de proteção, responsabilidade social, dados corporativos, redução de custos, user consente, novas tecnologias, google drive, website to function, softwares não autorizados, shadow it acontece, mundo digital, ataques cibernéticos, basic functionalities, nuvem pública, vazamento de dados, fale conosco, transformação digital, equipamentos de ti, assine nossa newsletter, proteção de dados, assistência técnica, computação em nuvem, time de ti, empresa contra ataques, prestar atenção, tecnologia da informação, riscos do shadow, contato conosco, baseada em nuvem, riscos associados, boas práticas, prática de shadow