Você conhece os termos Shadow IT ou TI Invisível? Talvez você ainda não conheça pelo termo correto, mas pode acabar se dando conta que sua empresa já vive essa realidade. A prática é um “convite” para hackers invadirem sistemas corporativos. O uso de hardwares e softwares não autorizados e aprovados pela equipe de TI acarreta perigos e brechas de segurança aos dados da organização. Ou seja, quando os funcionários usam dispositivos e softwares por conta própria e trafegam informações da empresa, eles criam vulnerabilidades de segurança da informação, mesmo que de forma inconsciente.
Neste blog post, vamos lhe ajudar a entender o que é o Shadow IT, o que faz com que os colaboradores adotem a prática, quais são os riscos e o que sua empresa pode fazer para evitar. Veja a seguir.
O que é Shadow IT?
O Shadow IT, que no Brasil se popularizou como TI invisível, é o termo para a utilização e instalação de softwares e uso de hardwares desconhecidos ao time de TI, que ficam as “sombras” ou invisível ao monitoramento. Sendo assim, o uso de tais tecnologias sem autorização da equipe responsável inclui sistemas sem os requisitos e políticas definidas pela empresa para conformidade, proteção de dados, custos e outros.
Esta falta de controle no gerenciamento das tecnologias pode impactar seriamente a organização, sendo invisíveis até que os prejuízos comecem a atrapalhar os negócios. Segundo o Gartner, as empresas gastam entre 30% e 40% de seus orçamentos de tecnologia com dispositivos, softwares e serviços de TI usados no Shadow IT.
O que faz com que os funcionários recorram ao Shadow IT?
A pandemia de COVID-19 ocasionou em um processo de autonomia dos usuários, sendo necessário, principalmente nos primeiros meses do isolamento, que os funcionários utilizassem os próprios dispositivos para o trabalho e se conectarem em redes WI-FI sem as configurações necessárias de segurança, sem o conhecimento e aprovação prévia do departamento. Ou seja, nos últimos dois anos, com o crescimento do trabalho remoto, os dados empresariais migraram para “dentro” das casas dos colaboradores ou para qualquer lugar de onde eles estejam trabalhando.
Imagine o seguinte: um colaborador guarda seus relatórios, análises e pastas corporativas em sua conta pessoal em uma plataforma de armazenamento em nuvem, e não na corporativa. Caso esse funcionário seja afastado ou desligado, os líderes não terão acesso a estes documentos que podem conter informações confidenciais da empresa e, inclusive, dados sensíveis de clientes. Isso sem mencionar o risco de vazamento de dados.
É muito comum que essa prática aconteça com boas intenções. São colaboradores que buscam uma forma eficiente de realizar o seu trabalho e por desconhecimento ou por não acharem que seja um problema, instalam soluções pulando a parte burocrática de acionar o departamento de TI, acreditando que é algo simples demais e que não é necessário acionar a equipe de TI com uma demanda que o próprio colaborador acredita que possa resolver “basta instalar isso daqui”.
Riscos do Shadow IT
Quando o departamento de TI não tem gestão, controle ou visibilidades sobre os softwares, hardwares e serviços utilizados, a empresa também pode esbarrar em falhas de compliance e conformidade regulatórios, como a LGPD – Lei Geral de Proteção de Dados, e que podem levar a organização a receber multas altas. Veja alguns riscos de Shadow IT que sua empresa deve se atentar:
Inexistência no Gerenciamento de Configuração
É necessário – e muito importante – que os departamentos de TI criem e mantenham um banco de dados de gerenciamento de configuração (Configuration management database – CMDB) atualizado para ajudar a identificar como os sistemas funcionam juntos. Quando um colaborador instala um software não autorizado ou utiliza um equipamento não aprovado, é muito provável que este não será compatível ou adicionado ao CMDB porque a TI não tem conhecimento de sua existência.
Custos desnecessários
O uso de softwares e hardwares não autorizados pode gerar custos desnecessários para empresa, e nem sempre da forma mais óbvia. Caso sistemas sejam prejudicados e seja necessário acionar o suporte, interrompendo as operações de TI, há um gasto de tempo e produtividade em que a equipe poderia estar focando no objetivo de negócio.
Visibilidade e dados perdidos
Funcionários que trafegam dados pela Shadow IT significa que o departamento de TI perdeu o controle e a visibilidade. O risco inclui dificuldades em garantir a segurança dos dados e incapacidade de executar medidas de reocupação de desastres em sistemas que, até então, o TI não tinha conhecimento. E as empresas ainda podem perder o acesso aos dados baseados na nuvem em sombra, de modo específico, quando o usuário que possui as informações deixa a empresa. Um exemplo prático é uma conta pessoal do Dropbox em que o usuário mantém informações de clientes. Em caso de o colaborador ser desligado, a empresa pode ter problemas para obter informações críticas do cliente de volta da conta pessoal do usuário. Os serviços de nuvem da Shadow IT também podem ser desconectados rapidamente quando um usuário rescindido para de pagar a conta.
