Por definição, shadow IT, pode representar hardware, software ou qualquer outra solução utilizada por funcionários dentro de uma organização sem a autorização explícita, ou mesmo o conhecimento formal, do departamento de TI.
Mas é preciso autorização da TI? Bom, se você mentalizou essa pergunta, aposto que pode estar utilizando alguma “tecnologia sombria”. Vamos conhecer melhor o que é esse fenômeno e por qual razão ele se torna um problema para as companhias, seus usuários e informações?
A maioria das empresas que tem boa maturidade na gestão de seus sistemas de tecnologia, cria políticas de uso para as soluções de TI. Esse processo inclui a identificação das necessidades do negócio, a criação de uma lista de soluções que resolvem tais necessidades e uma avaliação técnica detalhada sobre suas características e as interações com a infraestrutura atual da empresa e sistemas legados. A partir dessa homologação pelo departamento de TI, uma solução recebe aprovação para ser instalada nos diversos equipamentos dos funcionários.
A homologação é muito importante para garantir que a integração da nova solução não cause indisponibilidade de aplicações legadas, sobrecarga de redes, servidores ou dispositivos pessoais e, mais importante ainda, que não causará nenhum risco de segurança da informação para os dados e usuários. O processo de homologação pode levar dias (ou semanas em organizações mais complexas), já que depende de inúmeras avaliações e aprovações, é um esforço enorme para equipes de TI já esgotadas, o processo não acompanha mais a velocidade dos negócios.
A pedra fundamental da shadow IT
Faça uma pesquisa rápida por qualquer tipo de solução na web, e é muito provável que você encontre uma dezena de apps com funções semelhantes. De acordo com o Crunchbase, existem hoje mais de 15.000 empresas de software como serviço em todo o mundo, oferecendo soluções, a um e-mail e senha de distância.
A facilidade de adoção de novas soluções é um fator importante, mas a própria natureza dos negócios mudou e acelerou com a adoção de modelos ágeis de negócios que têm, como premissa, a solução rápida de necessidades. Não há nada mais ágil do que criar uma conta de usuário para aplicações hoje em dia, certo?
Os funcionários esperam usar para o trabalho aplicações e dispositivos com os quais estão familiarizados, onde conseguem resolver suas tarefas com mais facilidade. A adoção de soluções não autorizadas pode ser resultado de uma intenção boa, mas tradicionalmente não leva em consideração os riscos operacionais e de segurança criados por elas:
- Armazenamento não criptografado de dados e conexões inseguras com servidores e nuvens
- Uso de senhas que não seguem as políticas corporativas, combinações fracas e curtas de caracteres e repetição de credenciais entre serviços
- Falta de recursos de backup e recuperação de desastres em conformidade com as políticas de TI
- Questões legais sobre quem é o proprietário dos dados armazenados na nuvem em uso pela aplicação
- Compartilhamento de dados sensíveis através de links públicos (alô, WeTransfer e Trello!)
- Falta de conformidade com as regulações internacionais de mercado sobre privacidade
Esse cenário se torna ainda mais complexo quando analisamos outro aspecto da shadow IT: os dispositivos não autorizados que se conectam às redes. De acordo com a Forbes, mais de 5.000 dispositivos pessoais se conectam a redes corporativas por dia em 30% das empresas nos EUA, Reino Unido e Alemanha. Esses dispositivos, que não podem ter seus níveis de segurança assegurados ou mesmo avaliados, são usados para acessar redes sociais (39%), baixar apps (24%), jogos (13%) e filmes (7%).
Os cibercriminosos utilizam em hacks de engenharia social, phishing e injeção de malware através dessas quatro áreas mais populares para obter acesso aos sistemas internos das companhias. Qualquer dispositivo não protegido (com uso de senha, biometria ou criptografia, por exemplo) pode ser uma porta de entrada para as redes corporativas.
E tem jeito?
Se você já está se perguntando sobre uma solução para bloquear o uso não autorizado de aplicações, sinto lhe informar que ela não existe. O uso de shadow IT não pode ser detido, criar regras restritivas demais para bloquear todo acesso à soluções não homologadas, cria insatisfação do usuário, impede a inovação e, normalmente, leva ao acesso de aplicações ainda mais inseguras.
A solução para o problema é adicionar visibilidade, proteção e controle sobre a shadow IT para mitigar o risco mas, ao mesmo tempo, oferecer flexibilidade para que os funcionários usem aplicações que lhe são familiares, sem anular a segurança da informação e a conformidade no mesmo clique. Lembre-se: somente 8% das companhias podem rastrear corretamente o uso de shadow IT. Para não fazer parte dessa estatística, a gente resumiu uma lista de ações que podem iluminar as sombras da sua TI:
- Crie uma política inclusiva para as aplicações SaaS que esteja alinhada aos seus objetivos de negócio. Proibir todo e qualquer acesso vai impedir a criação de vantagens competitivas e afastar sua empresa de jovens talentos, acostumados com a liberdade de escolha em matéria de aplicações
- Proteja a empresa de maneira transparente e abrangente. Existem soluções de segurança que podem oferecer controle granular de acesso, monitorar e varrer seus ambientes constantemente também é crucial. Afinal, você não sabe aquilo que não sabe, ou seja, não pode reduzir o risco sem conhecer o que acontece na sua rede
- Reduza o risco na utilização das aplicações mais conhecidas do mercado. Ao invés de impedir totalmente o uso de aplicações que podem causar riscos, crie políticas de utilização segura, impeça acesso às funcionalidades que podem criar um perigo maior para a empresa
- Implemente controle de acesso e de identidade. Quando funcionários se registram em múltiplas aplicações, o resultado inevitável é o caos de senhas e usuários, eles irão repetir credenciais ou guardar listas de senhas em blocos de notas, adote um cofre de senhas!
- Comunique-se. Uma vez que você tenha criado uma política adequada de uso de aplicações, promova a leitura, aceitação e aplicação, comece a educar o departamento de TI, guardiões do ambiente, siga para os executivos para que eles multipliquem a mensagem.
O maior risco do shadow IT é o vazamento de dados, por isso você também deve se preocupar com contramedidas específicas que combatam o compartilhamento indevido de informações.
Criar políticas de segurança que impeçam a troca de dados entre aplicações internas e externas é a primeira medida, e se necessário, você pode configurar o firewall ou proxy para bloquear uploads de certos tipos de arquivos. Usar uma solução de DLP que restrinja o fluxo de dados específicos (como informações pessoais ou financeiras) é outra excelente medida, além de encriptar toda a informação que esteja atrás do firewall (discos rígidos, bancos de dados) e nunca enviar qualquer dado como texto plano (plain text) através da internet.
A combinação de tecnologias e melhores práticas não impedirá o uso de shadow IT na sua empresa, mas fará com que você reduza riscos e colha somente aquilo que ela tem de melhor a oferecer: inovação, agilidade e satisfação para os usuários.
