A shadow IT é a utilização de qualquer ativo de tecnologia sem a aprovação do departamento de TI, em muitos casos sem o seu conhecimento e supervisão.
Softwares, aplicativos e serviços de terceiros não autorizados são talvez a forma mais difundida de shadow IT. Alguns exemplos comuns incluem:
- Aplicativos de produtividade como Trello e Asana
- Aplicativos de armazenamento em nuvem, compartilhamento de arquivos e edição de documentos, como Dropbox, Google Docs, Google Drive e Microsoft OneDrive
- Aplicativos de comunicação e sistema de mensagens, incluindo Skype, Slack, WhatsApp, Zoom, Signal, Telegram, bem como contas de e-mail pessoais
Praticidade X Segurança
A shadow IT é utilizada por usuários finais e suas equipes para “cortar caminho” e não esperar o processo de aprovação do departamento de TI ou por entender que a solução adotada é superior em funcionalidades comparado a ferramenta homologada pelo departamento.
Tais ações podem comprometer e trazer riscos devido ao não conhecimento da TI e consequentemente ao não monitoramento e gestão para aplicação de atualização e correção de possíveis vulnerabilidades.
De acordo com o relatório State of Attack Surface Management 2022 da Randori, sete em cada dez corporações foram comprometidas devido à shadow IT.
A adoção da shadow IT é realizada devido ao sentimento de produzir de maneira mais eficaz com seus dispositivos pessoais e softwares preferenciais ao invés de equalizar suas necessidades com os recursos autorizados de TI pela empresa.
Parte dessa adoção deve-se a ascensão do trabalho remoto e a fácil aquisição de SaaS – Software como serviço, no qual permite que qualquer pessoa com um cartão de crédito e mínimo conhecimento técnico implemente sistemas para colaboração, gerenciamento de projetos, criação de conteúdo e muito mais.
Outro ponto são as equipes definir e adotar todo o fluxo de aquisição de tecnologia e não envolver o departamento de TI por sentir que os processos de aquisição implementados são onerosos ou lentos, portanto, ignoram as recomendações e obtêm a nova tecnologia. Um exemplo é a aquisição de um sistema ou ambiente sem consultar o departamento de TI pois o processo de aprovação formal pode atrasar uma entrega e a perda de uma oportunidade comercial.
Shadow IT, não tem como fugir!
Embora os funcionários normalmente adotem a shadow IT devido aos benefícios percebidos, os ativos dela representam riscos de segurança potenciais para a empresa. Esses riscos incluem:
- Perda de visibilidade e controle de TI;
- Insegurança de dados;
- Problemas de conformidade;
- Ineficiência e falta de confiabilidade de negócios.
No passado, as empresas frequentemente tentavam minimizar esses riscos banindo totalmente a shadow IT. No entanto, os líderes de TI têm aceitado cada vez mais como uma inevitabilidade, e muitos passaram a adotar os benefícios de negócios que ela oferece. Esses benefícios incluem:
Permitir que as equipes sejam mais ágeis na resposta às mudanças no cenário de negócios e à evolução de novas tecnologias permitindo que os funcionários usem as melhores ferramentas para suas tarefas.
Simplificar as operações de TI, reduzindo os custos e recursos necessários para adquirir novos ativos de TI.
Para minimizar os riscos da shadow IT sem sacrificar esses benefícios, muitas empresas agora pretendem alinhá-la com os protocolos de segurança de TI padrão, em vez de proibi-la completamente. Para isso, as equipes de TI geralmente implementam tecnologias de segurança cibernética, como ferramentas de gerenciamento de superfície de ataque (ASM), que monitoram continuamente os ativos de TI voltados à Internet de uma empresa a fim de descobrir e identificar a adoção da shadow IT. Esses ativos de shadow IT podem ser avaliados quanto a vulnerabilidades e corrigidos.
Mais dicas de segurança? clique neste link
Tem dúvida ou precisa de consultoria? Entre em contato!
