O que é Shadow IT?

Embora relativamente inofensiva à primeira vista, a shadow IT causa grandes riscos para as empresas. Em 2022, quase 7 em cada 10 organizações sofreram um incidente de segurança devido ao uso de hardware ou software não autorizado por funcionários.

Além das preocupações de segurança, a shadow IT também está entre as principais causas da expansão de aplicativos, ineficiências operacionais e violações de conformidade.

Este artigo explica os perigos da shadow IT e seus efeitos potencialmente devastadores nas posturas de segurança e nos resultados financeiros. Apresentaremos tudo o que você precisa saber sobre esse problema generalizado e apresentaremos as maneiras mais eficazes de manter a TI oculta no mínimo.

O que é Shadow IT?

Shadow IT refere-se a qualquer dispositivo, serviço de TI ou aplicativo não autorizado que os funcionários usam sem o conhecimento do departamento de segurança da empresa. Quando a equipe de segurança não tem conhecimento de um determinado aplicativo ou hardware, a organização não pode oferecer suporte à tecnologia ou garantir que ela seja segura.

Os funcionários normalmente recorrem à TI paralela por conveniência ou quando um aplicativo oferece funcionalidade melhor do que a que a empresa aprovou para uso. Embora seja conveniente para os funcionários, a Shadow IT representa vários riscos consideráveis para uma organização, incluindo:

• Vulnerabilidades de segurança (configurações incorretas, contas com senhas fáceis de decifrar, dispositivos infectados por malware, etc.).
• Violações de conformidade (por exemplo, alguém mantendo dados confidenciais de clientes em uma conta pessoal do Dropbox).
• Ineficiências dentro da organização (por exemplo, equipes que usam ferramentas diferentes para realizar a mesma tarefa ou aplicativos não otimizados que usam muita largura de banda da rede).

Aqui estão algumas estatísticas que mostram o quão predominante é a shadow IT:

• Mais de 80% dos funcionários dependem regularmente de alguma forma de shadow IT.
• Mais de 50% dos trabalhadores usam pelo menos um aplicativo não autorizado.
• Quase 81% dos líderes de TI acreditam que os funcionários introduziram ativos de nuvem não autorizados no ambiente.
• Uma empresa média usa cerca de 1.220 serviços em nuvem. Apenas 7% deles cumprem integralmente os requisitos de segurança e conformidade.
• Mais de 35% dos funcionários sentem que devem contornar medidas ou protocolos de segurança para desempenhar as suas funções de forma eficaz.
• Quase 63% dos funcionários enviam regularmente documentos relacionados ao trabalho para e-mails pessoais.
• Cerca de 32% dos trabalhadores utilizam ferramentas de comunicação e colaboração não aprovadas.

Existem alguns motivos pelos quais a Shadow IT ficou fora de controle nos últimos anos:

• O aumento do trabalho remoto devido às restrições do COVID-19.
• Serviços de nuvem sob demanda que permitem que qualquer pessoa com conhecimento técnico limitado implante sistemas e plataformas avançados.
• A crescente popularidade dos princípios DevOps que incentivam as equipes a trabalhar o mais rápido possível.
• Mais confiança no hardware Traga seu próprio dispositivo (BYOD).

Exemplos de Shadow IT

Abaixo estão alguns dos exemplos mais comuns de shadow IT:

• Utilizar dispositivos pessoais (smartphones, tablets, laptops, etc.) para acessar dados ou serviços da empresa sem aprovação explícita do departamento de TI.
• Instalar software não autorizado sem a aprovação da empresa, como ferramentas de terceiros ou plataformas de mídia social.
• Criação de cargas de trabalho na nuvem usando contas pessoais.
• Configurar servidores ou infraestrutura de rede não autorizados para dar suporte ao trabalho.
• Usar dispositivos de armazenamento pessoal (como USBs ou discos rígidos portáteis) para armazenar e compartilhar dados da empresa.
• Compartilhar dados da empresa ou colaborar com colegas por meio de perfis de mídia social.
• Acessar dados corporativos ou back-end de um site a partir de um dispositivo BYOD em uma rede doméstica ou Wi-Fi público.
• Implantar secretamente um ambiente de nuvem não autorizado para fins de teste.
• Usar aplicativos SaaS (serviços de compartilhamento de arquivos, ferramentas de colaboração, software de gerenciamento de projetos, etc.) sem a aprovação da equipe InfoSec.
• Usar mensagens instantâneas ou aplicativos de bate-papo não autorizados para se comunicar com colegas de trabalho, clientes ou fornecedores (por exemplo, conversar no Viber quando a empresa exige que toda a comunicação seja feita pelo Skype).
• Criar planilhas Excel autodesenvolvidas e usá-las para armazenar e compartilhar dados da empresa.
• Conectar dispositivos IoT (como alto-falantes ou relógios inteligentes) à rede corporativa sem o conhecimento do departamento de segurança.
• Compartilhando arquivos de trabalho em uma conta pessoal do Dropbox ou enviando dados para um e-mail privado.
• Abrindo um canal secreto do Slack, apesar da empresa querer que sua força de trabalho usasse o Microsoft Teams.
• Fazendo login em contas pessoais e empresariais no mesmo aplicativo e usando ambos os perfis para gerenciar os ativos da empresa.
• Usar secretamente aplicativos de fluxo de trabalho ou produtividade não autorizados (como Trello ou Asana).
• Usando dispositivos empresariais para jogos online.

Quais são as desvantagens do Shadow IT?

O uso de Shadow IT raramente tem intenções maliciosas, mas a prática muitas vezes leva a consequências graves, incluindo:

• Lacunas de segurança: a equipe de segurança não consegue proteger sistemas e aplicativos que eles não sabem que existem. A introdução de hardware e software não autorizados cria vulnerabilidades que agentes mal-intencionados podem explorar para vários tipos de ataques cibernéticos.
• Exposição de dados: os funcionários armazenam, compartilham e acessam dados confidenciais por meio de dispositivos e aplicativos shadow IT inseguros, aumentando a superfície de ataque para violações de dados.
• Falta de padronização: você aumenta a chance de incompatibilidades sempre que as equipes usam ferramentas e sistemas diferentes para realizar as mesmas tarefas. Há também o risco crescente de as equipes trabalharem com dados não oficiais, inválidos ou desatualizados.
• Vazamentos de dados: os funcionários que compartilham dados corporativos em aplicativos não autorizados ou dispositivos privados geralmente levam ao vazamento de dados (liberação acidental de dados para um destinatário não autorizado).
• Custos mais elevados: os ativos paralelos geralmente aumentam os custos de TI, causando despesas inesperadas e estouros de orçamento. Por exemplo, um armazenamento em nuvem pessoal que alguém dimensiona para atender às necessidades de nível empresarial é muito menos econômico do que serviços destinados ao uso corporativo.
• Riscos de conformidade: as equipes podem usar secretamente tecnologias ou armazenamento de dados que não atendem aos requisitos regulatórios (como aqueles impostos pelo GDPR ou HIPAA). Mesmo que os funcionários o façam sem o consentimento da empresa, as organizações ainda são responsáveis por multas por violação.
• Expansão de aplicativos: Shadow IT é uma das principais causas da expansão de aplicativos (proliferação excessiva de aplicativos). A expansão ocorre quando as equipes compram e implantam muitos programas sem a devida consideração pelo valor, adequação ou funcionalidade.
• Gargalos de desempenho: adicionar programas e aplicativos extras aos sistemas existentes geralmente resulta em problemas de desempenho.
• Silos de dados arriscados: quaisquer arquivos armazenados em dispositivos pessoais ou não autorizados não são acessíveis a outras pessoas na empresa. Você perde o acesso a esses dados se o funcionário sair da empresa.

Há algum ponto positivo em Shadow IT?

Embora os contras superem de longe os prós, há alguns pontos positivos em acompanhar a TI. Os benefícios mais notáveis são:

• As equipes se tornam mais ágeis quando têm liberdade de escolha de software.
• Tomar decisões de TI ad hoc às vezes permite que uma equipe responda às mudanças e ameaças com mais velocidade.
• A capacidade de escolher aplicativos e dispositivos preferidos incentiva os funcionários a inovar. As equipes experimentam novas tecnologias e ferramentas, o que dá à organização uma ligeira vantagem competitiva.
• Alguma margem de manobra da TI paralela permite que as equipes testem rapidamente novas ferramentas que podem ser mais adequadas ou mais econômicas do que as soluções atuais.
• As equipes que trabalham com aplicativos preferenciais têm maior probabilidade de investir em seus trabalhos. Esse aumento do moral ajuda a melhorar a satisfação dos funcionários e as taxas de retenção.

Como a maioria das empresas vê a Shadow IT como uma inevitabilidade, muitas organizações estão agora a tentar controlar a prática com protocolos de segurança. Existem alguns cuidados obrigatórios caso você opte por esse caminho, como:

• Ferramentas de gerenciamento de superfície de ataque (ASM): essas plataformas monitoram continuamente todos os ativos voltados para a Internet para identificar sinais de shadow IT. Assim que um novo ativo aparece, as ferramentas ASM avaliam automaticamente possíveis falhas e ajudam a eliminar ameaças.
• Corretor de segurança de ativos em nuvem (CASB): Essas plataformas garantem conexões seguras entre funcionários e qualquer ativo em nuvem que eles usam (conhecido ou desconhecido). Um CASB descobre todos os serviços de nuvem sombra e aplica medidas extras de segurança (como criptografia, políticas de controle de acesso e detecção de malware).

No acelerado mundo dos negócios, é vantajoso dar aos funcionários alguma liberdade para resolver problemas e experimentar. No entanto, permitir que a shadow IT continue sem controle é um grande erro, então vamos ver como as empresas mantêm a prática sob controle.

Como você lida com Shadow IT?

Aqui estão as maneiras mais eficazes de prevenir a Shadow IT:

1. Crie políticas de TI: crie políticas detalhadas que descrevam todos os softwares, hardwares e serviços permitidos na organização. As políticas também devem explicar exatamente como os funcionários devem usar a tecnologia autorizada, bem como indicar quaisquer consequências da violação das regras.
2. Forneça suporte de TI: garanta que todas as equipes tenham suporte de TI adequado para atender às suas necessidades e problemas tecnológicos.
3. Incentive a comunicação: incentive um diálogo aberto entre a TI e outros departamentos para garantir que todas as equipes estejam satisfeitas com as tecnologias atribuídas. Linhas de comunicação abertas reduzem a chance de alguém usar secretamente tecnologia não autorizada.
4. Eduque os funcionários: organize treinamentos regulares de conscientização para educar as equipes sobre os riscos da Shadow IT. Certifique-se de que todos entendam por que você insiste em usar apenas software e hardware aprovados.
5. Crie um processo de aprovação rápido (mas seguro): se alguém da sua equipe propor adicionar uma nova ferramenta às operações, o processo de aprovação deverá ser rápido e seguro.
6. Realizar auditorias regulares de ferramentas: Realize auditorias regulares que monitoram quais ferramentas os diferentes departamentos usam para executar suas tarefas.
7. style="color: inicial;">Aumentar a segurança do endpoint: Melhore a segurança do endpoint para impedir que os funcionários instalem aplicativos não aprovados em seus dispositivos (seja de propriedade da empresa ou como parte da política BYOD).
8. Monitorar a atividade da rede: sua equipe de segurança deve monitorar a atividade da rede em busca de sinais de soluções e serviços não autorizados. Faça pleno uso dos sistemas de detecção de intrusões e firewalls para analisar o tráfego e as ações do usuário.
9. Revisões regulares: revise e atualize periodicamente suas políticas de TI, processos de aprovação e medidas de segurança. Certifique-se de que ambos estejam atualizados com as últimas tendências tecnológicas e ameaças à segurança.
10. Ferramentas CASB e ASM: Independentemente de você optar por tolerar alguma quantidade de shadow IT ou não, as ferramentas CASB e ASM mencionadas acima são um investimento que vale a pena.

Mantenha aplicativos e dispositivos não autorizados no mínimo

Embora a Shadow IT aumente a produtividade dos funcionários e ajude a impulsionar a inovação, o uso descontrolado da tecnologia introduz riscos potencialmente devastadores. Mantenha a TI paralela no mínimo, educando os funcionários, estabelecendo medidas preventivas eficazes e incentivando as equipes a serem abertas sobre suas necessidades de TI.