Shadow IT: Risco ou solução para o negócio?

A shadow IT é a utilização de qualquer ativo de tecnologia sem a aprovação do departamento de TI, em muitos casos sem o seu conhecimento e supervisão.

Softwares, aplicativos e serviços de terceiros não autorizados são talvez a forma mais difundida de shadow IT. Alguns exemplos comuns incluem:

·       Aplicativos de produtividade como Trello e Asana

·       Aplicativos de armazenamento em nuvem, compartilhamento de arquivos e edição de documentos, como Dropbox, Google Docs, Google Drive e Microsoft OneDrive

·       Aplicativos de comunicação e sistema de mensagens, incluindo Skype, Slack, WhatsApp, Zoom, Signal, Telegram, bem como contas de e-mail pessoais

A shadow IT é utilizada por usuários finais e suas equipes para “cortar caminho” e não esperar o processo de aprovação do departamento de TI ou por entender que a solução adotada é superior em funcionalidades comparado a ferramenta homologada pelo departamento.

Tais ações podem comprometer e trazer riscos devido ao não conhecimento da TI e consequentemente ao não monitoramento e gestão para aplicação de atualização e correção de possíveis vulnerabilidades.

De acordo com o relatório State of Attack Surface Management 2022 da Randori, sete em cada dez corporações foram comprometidas devido à shadow IT.

A adoção da shadow IT é realizada devido ao sentimento de produzir de maneira mais eficaz com seus dispositivos pessoais e softwares preferenciais ou invés de equalizar suas necessidades com os recursos autorizados de TI pela empresa.

Parte dessa adoção deve-se a ascensão do trabalho remoto e a fácil aquisição de SaaS – Software como serviço, no qual permite que qualquer pessoa com um cartão de crédito e mínimo conhecimento técnico implemente sistemas para colaboração, gerenciamento de projetos, criação de conteúdo e muito mais.

Outro ponto são as equipes definir e adotar todo o fluxo de aquisição de tecnologia e não envolver o departamento de TI por sentir que os processos de aquisição implementados são onerosos ou lentos, portanto, ignoram as recomendações e obtêm a nova tecnologia. Um exemplo é a aquisição de um sistema ou ambiente sem consultar o departamento de TI pois o processo de aprovação formal pode atrasar uma entrega e a perda de uma oportunidade comercial.

Embora os funcionários normalmente adotem a shadow IT devido aos benefícios percebidos, os ativos dela representam riscos de segurança potenciais para a empresa. Esses riscos incluem:

·       Perda de visibilidade e controle de TI;

·       Insegurança de dados;

·       Problemas de conformidade;

·       Ineficiência e falta de confiabilidade de negócios.

No passado, as empresas frequentemente tentavam minimizar esses riscos banindo totalmente a shadow IT. No entanto, os líderes de TI têm a aceitado cada vez mais como uma inevitabilidade, e muitos passaram a adotar os benefícios de negócios que ela oferece. Esses benefícios incluem:

Permitir que as equipes sejam mais ágeis na resposta às mudanças no cenário de negócios e à evolução de novas tecnologias permitindo que os funcionários usem as melhores ferramentas para suas tarefas.

Simplificar as operações de TI, reduzindo os custos e recursos necessários para adquirir novos ativos de TI.

Para minimizar os riscos da shadow IT sem sacrificar esses benefícios, muitas empresas agora pretendem alinhá-la com os protocolos de segurança de TI padrão, em vez de proibi-la completamente. Para isso, as equipes de TI geralmente implementam tecnologias de segurança cibernética, como ferramentas de gerenciamento de superfície de ataque (ASM), que monitoram continuamente os ativos de TI voltados à Internet de uma empresa a fim de descobrir e identificar a adoção da shadow IT. Esses ativos de shadow IT podem ser avaliados quanto a vulnerabilidades e corrigidos.