Shadow IT: o que é e quais os riscos relacionados?

Garantir a segurança da informação é um desafio constante para as empresas. Estamos na Era Digital e os fenômenos da cloud computing geraram mudanças consideráveis nos modelos de negócios e na forma com que trabalhamos. Apesar dos inúmeros benefícios, é preciso ficar atento aos perigos que o uso descontrolado dessas ferramentas podem trazer para a sua empresa.

Serviços de nuvem user-friendly como Dropbox e Google Drive estão cada dia mais presentes e muitas vezes eles acabam sendo utilizados também dentro da empresa, mesmo que o seu uso não tenho sido homologado pelo departamento de TI. Essa prática é conhecida como Shadow IT e pode trazer riscos para as empresas. Ficou interessado no assunto? Então confira agora as características e os riscos da Shadow IT. Venha comigo e boa leitura!

O que é Shadow IT?

Trata-se da prática de utilizar aplicativos e softwares nas estações de trabalho de uma empresa sem a autorização do setor de TI. Shadow IT é um termo inglês que significa TI nas sombras, ou TI às escuras. Esse problema faz com que os técnicos de TI não tenham um controle dos programas instalados nas máquinas dos usuários. Isso representa uma brecha de segurança que pode ocasionar vazamentos de dados e infecção dos servidores com vírus.

O problema da Shadow IT é conhecido no Brasil como TI invisível. Considere o seguinte exemplo: um usuário instala uma versão não autorizada do Java no computador para poder acessar sua conta bancária. Ao configurar um applet na estação de trabalho, pode-se criar vulnerabilidades para potenciais invasores. Com isso, a sua rede interna pode ficar exposta para acessos indevidos aos dados mais críticos do seu negócio. Assim, é importante também se atualizar com as normas ISO 20000 e 27000 e com a Lei Geral de Proteção de Dados Pessoais (LGPD) para evitar processos judiciais no futuro. Conheça, a seguir, os 4 riscos relacionados à TI nas sombras.

1. Vazamento de informações sigilosas

O objetivo da gestão de TI é prover um ambiente tecnológico que facilite o trabalho dos colaboradores e o alcance das metas organizacionais. Trata-se de uma atribuição complexa que envolve gerenciar recursos humanos, sistemas informatizados, equipamentos de alto custo e conteúdos sensíveis.

Assim, a prática do Shadow IT pode ser bem prejudicial visto que não se sabe a procedência dos programas instalados indevidamente no computador de um usuário. Esses aplicativos suspeitos podem conter malwares capazes de acessar as máquinas e vazar dados sigilosos. Um incidente de vazamento de informações seria muito prejudicial à reputação da sua empresa, não é mesmo?

2. Ruídos na comunicação interna

Uma boa comunicação interna entre os departamentos é essencial para que todos consigam desempenhar suas funções. A inovação nas empresas deve prezar pelo bom fluxo de informações entre as partes interessadas. Diante disso, deve-se acionar os técnicos de TI sempre que for preciso instalar algum programa na máquina de um usuário. Desse modo, os gestores de tecnologia conseguem identificar quais aplicativos estão instalados nos computadores da empresa e ter um maior controle dessas tecnologias.

Ao instalar um programa sem a autorização do departamento de TI, cria-se uma dificuldade de gestão. Assim, os técnicos de TI não terão condições adequadas de identificar os problemas em um computador. Essa situação pode gerar muitos desgastes na comunicação com os usuários. Tal cenário pode fortalecer uma cultura informal de Shadow IT e criar mais problemas no futuro. Com isso, muitos problemas internos podem ser expostos indevidamente em redes sociais e aplicativos de mensagem instantânea.

3. Falhas nos controles internos

Os controles internos são primordiais para as atividades técnicas e finalísticas de uma organização. Trata-se de um esforço conjunto preconizado pelas boas práticas de quality assurance. A cultura de instalar programas nos computadores sem autorização da área de TI pode aumentar os riscos de exposição indevida do seu negócio. Além disso, cria-se uma dificuldade nas manutenções periódicas das máquinas com aplicativos não autorizados.

A norma ISO 55000 prevê diretrizes e ações para a gestão dos ativos de uma empresa. Essa normativa pode auxiliar os gestores na identificação de eventuais falhas nos controles internos e na utilização das tecnologias. Isso reforça a importância de contar com apoio especializado nas demandas de suporte de TI. Desse modo, evita-se pontos cegos na administração organizacional como um todo.

4. Estímulo às soluções caseiras de TI

O pessoal mais técnico chama de gambiarra as soluções caseiras de TI. Esse é um exemplo clássico de Shadow IT muito incorporado na cultura de algumas empresas. Trata-se de uma ameaça grave à segurança da informação, pois os gestores e os técnicos de TI muitas vezes acabam não tendo conhecimento desses programas alternativos. Com isso, abrem-se frestas para criminosos e até mesmo usuários internos mal-intencionados.

Uma solução de TI efetiva é aquela que atende aos requisitos dos usuários sem deixar de lado as particularidades técnicas da infraestrutura de TI. Esse crivo da gestão de TI evita problemas maiores no futuro e garante a continuidade dos processos de negócios. A responsabilidade dos técnicos vai além da simples instalação de um programa para os usuários. Essa atribuição envolve também garantir uma arquitetura de TI padronizada e escalável.

Como diminuir os riscos da Shadow IT?

Bem, essa é uma demanda mais complexa que exige tanto o engajamento da alta administração quanto dos gestores e técnicos de TI. Por envolver dados sensíveis e tecnologias de alto custo, muitas vezes é difícil mensurar com exatidão os problemas causados pelas ações indevidas de Shadow IT. Desse modo, pode-se estimular as seguintes boas práticas para amenizar esse problema:

• Treinamentos sobre computação em nuvem;
• Padronização dos aplicativos instalados;
• Soluções de login único;
• Políticas de segurança da informação.

A computação em nuvem é a tendência para os próximos anos. Com isso, é preciso conhecer um pouco mais sobre as soluções de cloud e entender como aplicá-las à realidade do seu negócio. A padronização dos programas instalados nas máquinas dos usuários facilita muito o trabalho dos técnicos de TI e desencoraja o surgimento de sistemas caseiros. As soluções de login único evitam a criação de várias senhas e logins para os usuários. Por fim, as políticas de segurança da informação formalizam as atribuições dos departamentos de TI e realçam a importância da gestão de TI na organização.

Enfim, essas são as principais informações e riscos da Shadow IT para o seu negócio. Percebe-se que é uma demanda inter-departamentos. Isso reforça a importância de contar com ajuda especializada para evitar desperdícios de tempo e recursos financeiros.

Muito bem, agora você já conhece um pouco mais sobre o problema da Shadow IT. Gostou do artigo? Então entre em contato com a Kalendae e veja como podemos te ajudar a evitar que os problemas da Shadow IT comprometam a sua empresa.