Microcity

Tudo sobre shadow IT: Entenda o que é e saiba como proteger sua empresa das ameaças de segurança do home office quarta-feira, setembro 30, 2020

Todo gestor de TI conhece as dificuldades de manter o controle sobre todas as atividades em dispositivos tecnológicos dentro de uma empresa. Longe dos olhos das lideranças (ou à sua revelia), existe a Shadow IT, que mesmo com potencial de inovação, oferece riscos à empresa.

Processos automatizados e digitais, computação em nuvem, trabalho remoto… Todas essas tendências no mundo corporativo trazem, definitivamente, mais agilidade, produtividade e melhores resultados para as empresas.

No entanto, elas também facilitam a Shadow IT, que nada mais é do que os comportamentos digitais feitos sem o aval da gestão de TI. Esses comportamentos podem ameaçar a segurança da informação do negócio e comprometer ativos de TI.

Shadow IT - Gestão de TI

Para esclarecer todas as dúvidas sobre o tema, preparamos um conteúdo completo que vai ajudar você a proteger os dados da sua empresa.

O que é Shadow IT?

Shadow IT é o nome dado às condutas não oficiais, não autorizadas e mesmo desconhecidas pela gestão de TI de uma empresa. Pode se referir ao uso de softwares ou dispositivos, que ficam “às sombras” do monitoramento da equipe de tecnologia.

O termo, que em português se popularizou como TI invisível, se refere muito mais a um comportamento, uma prática, do que um tipo específico de tecnologia.

É comum que essa prática aconteça com boas intenções. São equipes que buscam uma solução mais ágil ou eficiente e, em nome da rapidez e efetividade, pulam a burocracia da empresa para adotar oficialmente novas soluções de TI, agindo paralelamente. Ou, também, pessoas que não querem “incomodar” a equipe de TI com uma demanda que “elas mesmas podem resolver, é só instalar isso aqui”.

Segundo pesquisa da Kaspersky com profissionais brasileiros no modelo de trabalho remoto mostra que muitos deles estão serviços on-line que não foram aprovados por seus departamentos de TI:
Aplicações de videoconferência (43%)
Mensagens instantâneas (51%)
Armazenamento de arquivos (44%).

O problema é que essas boas intenções abrem brechas de segurança na tecnologia da empresa, que fica vulnerável a ataques cibernéticos, vazamento de dados ou mesmo falhas de hardware. Assim, a Shadow IT, mesmo se bem-intencionada, deve ser evitada e contida.

Quais os problemas que a Shadow IT traz para um negócio?

Os riscos de segurança que o comportamento de TI invisível traz para a empresa são facilmente demonstráveis.

Toda solução escolhida pela gestão de tecnologia e adotada oficialmente é monitorada, mantida com atualizações e licenças em dia. Assim, qualquer tentativa de ataque, falha ou vazamento que aconteça nessa rede monitorada é detectada com mais rapidez e as medidas de contenção podem ser tomadas imediatamente.

Por outro lado, quando se compartilha ou manipula dados da empresa em programas ou dispositivos paralelos, esse monitoramento e todas as soluções de segurança de TI da empresa são deixados de lado. É como ter uma capa de chuva eficiente, mas optar por sair na tempestade com um guarda-chuvas quebrado, porque “estava em mãos”.

Como se não bastasse, o aumento do trabalho remoto favorece a mistura entre uso profissional e pessoal nos mesmos dispositivos. Um estudo da Kaspersky com brasileiros em home office indicou que, dos seis mil entrevistados, 47% tem assistido mais vídeos on-line, dos quais 48% fazem a partir de dispositivos corporativos.

Esse mesmo estudo indicou que 67% das pessoas entrevistadas não recebeu instruções sobre cibersegurança ao adotar o home office. Por desconhecimento, essas pessoas acabam levando o perigo para a rede segura.

Os riscos de segurança da informação causados pela Shadow IT causam prejuízos financeiros na empresa e retiram investimentos do setor de tecnologia.

Além dos riscos de segurança da informação causados pela Shadow IT, a prática também causa prejuízos financeiros na empresa e retiram investimentos do setor de tecnologia. Isso porque a aquisição de softwares e equipamentos “às sombras” não passa pelo orçamento da TI, subestimando seu potencial.

Além disso, a TI invisível também é, constantemente, a causa de aquisições mal planejadas, redundantes ou até em duplicidade. Um estudo do Instituto Gartner indica que esses gastos paralelos chegam a 40% do orçamento para a TI.

Ou seja, os prejuízos que a prática de Shadow IT pode causar vão desde gastos desnecessários a perdas inestimáveis de dados sigilosos. Vazamentos de informação podem, inclusive, gerar prejuízo financeiro e problemas jurídicos, o combo mais temido.

Por que é importante lidar com a Shadow IT?

O assunto merece atenção e sabedoria no trato por um motivo nobre: muitas soluções inovadoras e lucrativas surgem a partir da shadow IT. Não é raro que equipes descubram uma forma melhor de lidar com algum processo que, quando descoberta pela gestão de TI, é adotada com sucesso por todos.

A constante pressão por resultados rápidos e a busca por melhores soluções abrem brecha para essa flexibilidade. O próprio departamento de tecnologia é responsável, muitas vezes, pela adoção de soluções paralelas às oficiais.

Quando se descobre um software mais eficiente ou um aplicativo mais prático do que os usados oficialmente, essa solução melhora os resultados daquela equipe. Uma gestão de TI vigilante e arrojada é capaz de identificar oportunidades de negócio nessas ideias, a princípio, fora da norma.

O problema da shadow IT é o estado de vulnerabilidade em que coloca pessoas e recursos tecnológicos da empresa. Quando é um comportamento não monitorado, abre brechas para o uso de ferramentas de origem duvidosa e inseguras, ou para a exposição de dados em ambientes desprotegidos.

O problema da shadow IT é o estado de vulnerabilidade em que coloca pessoas e recursos tecnológicos da empresa.

Esses recursos vão desde o uso de um e-mail pessoal para facilitar o envio de documentos quando a pessoa está em home office, a adoção de soluções em nuvem para o compartilhamento de dados, fora da rede interna, até a baixar e assistir vídeos impróprios na máquina corporativa.

Em tempos de crescimento do regime de trabalho remoto, fica ainda mais difícil controlar a Shadow IT. Afinal, o uso de dispositivos longe do ambiente corporativo com conexões desprotegidas e todo o processo de adaptação à nova realidade criam vulnerabilidades.

Ou seja, a TI invisível é uma realidade difícil de se extinguir, e talvez não seja totalmente necessário. No entanto, existem formas de cercear essa prática e diminuir seus riscos. A melhor parceria para a gestão de TI, como de costume, são os usuários, que devem entender os riscos de seu comportamento para evitá-lo.

Como lidar com a Shadow IT na sua empresa?

A primeira providência a ser tomada é de entender como a Shadow IT acontece na sua empresa. Lembramos que a prática não é ruim em si e pode significar inovação e melhoria de processos. O importante é mantê-la sob controle, para que seja sinônimo de oportunidade, e não de ameaça.

Faça uma auditoria compreensiva

Faça uma auditoria compreensiva

Quando falamos em conhecer e entender a fundo como a TI vem sendo usada na empresa, é comum que gestores pensem em uma auditoria rígida, enquanto as equipes ficam com medo de serem descobertas em suas “práticas ilegais” e tentam escondê-las.

Por isso, é importante deixar claro para todas as pessoas que o objetivo dessa averiguação é de conhecer o que vem sendo usado e melhorar as opções oficiais. É claro que existem limites, mas a ideia é que as pessoas tenham a liberdade de apresentar o que e por que estão usando determinadas soluções para seu trabalho.

Com uma visão detalhada de softwares e dispositivos usados paralelamente aos padrões da empresa e de um possível feedback dos porquês dessas escolhas por parte das equipes, as chances de melhorias associadas a uma conscientização geral sobre o tema multiplicam.

Como lidar com a shadow IT na sua empresa

Promova a conscientização sobre segurança

Quando se trata de segurança de TI, profissionais de outras áreas normalmente não compreendem sua importância. A proteção de dados é negligenciada e os riscos aumentam. Por isso, é importante que a TI promova a conscientização de todos.

Treinamentos recorrentes e o desenvolvimento de uma cultura de segurança da informação são essenciais para que todos entendam seu papel como responsáveis e parte ativa no uso da TI.

Estabeleça opções

Ao selecionar softwares para a empresa, o ideal é que a gestão de TI ofereça mais de uma opção para tarefas semelhantes, visando a atender diferentes particularidades de cada departamento. Esse leque minimiza a necessidade de soluções paralelas fora do radar da TI.

É comum que determinadas funções (e profissionais) se adaptem melhor a um programa que pode ser o ideal para outro caso dentro da mesma empresa. Uma análise da TI permitirá a oferta de opções compatíveis entre si, seguras e dentro das regras da empresa.

Não tenha medo de restringir acessos

Não tenha medo de restringir acessos

Apesar de ser uma medida impopular, o acesso a sites e softwares que não têm relação com as funções corporativas deve ser restrito. Mesmo com o uso do mesmo dispositivo para fins profissionais e pessoais, a conexão à rede segura da empresa deve limitar o acesso das pessoas a potenciais ameaças.

No caso da instalação de programas e aplicativos, é importante deixar claro para todos os profissionais as políticas da empresa sobre o assunto. Para mais, cada caso deve ser analisado com ponderação. Afinal, entender a necessidade de se instalar um novo aplicativo pode ser a chave para uma inovação.

Estabeleça políticas de home office

O home office é uma tendência no mundo dos negócios que promete muitos benefícios tanto para as empresas quanto para os profissionais. No entanto, ao aderir ao regime remoto, é essencial que a mudança seja feita de forma segura, planejada e estratégica.

A prática desta modalidade oferece benefícios para a empresa, mas deve ser feita com cautela e sob regras e políticas de segurança. Apesar da praticidade, o uso de dispositivos sem a devida cautela pode vulnerabilizar os recursos de segurança usados.

Segundo estudo da Kaspersky:
52% dos funcionários usam contas de e-mail pessoais para assuntos relacionados ao trabalho e 55% admitem que seu uso aumenta quando trabalham em casa.
51% usam programas de mensagem pessoais que não foram aprovados por seus departamentos de TI, sendo 64% deles com mais frequência neste contexto de isolamento social.

Por isso, é importante que as políticas de home office sejam estabelecidas e divulgadas com clareza para todas as pessoas da empresa. Mais uma vez, a conscientização dos usuários é o segredo para minimizar práticas inseguras ou quebra nas regras.

Uma boa prática é criar uma lista de aplicativos previamente aprovados, normas de uso e boas práticas de segurança. No caso do home office, além da infraestrutura adequada para o trabalho remoto, a conscientização acerca da segurança é essencial, já que as chances de uso de redes desprotegidas aumenta.

Como promover ambientes remotos seguros?

O trabalho remoto está em alta. É inegável que a adoção desse regime de forma definitiva seja a evolução do modelo de negócios de muitas áreas. Mas então, como coibir a TI invisível com profissionais trabalhando longe dos olhos da gestão de tecnologia?

A primeira providência é, como já falamos, conscientizar as pessoas. Profissionais que compreendem seu papel e responsabilidade na segurança da informação da empresa são mais cautelosos. As regras e boas práticas devem ser claras para todos para que sejam respeitadas de qualquer lugar.

Ainda sobre a variável humana, é importante que o suporte esteja disponível para profissionais que estão em trabalho remoto. Além da razão óbvia de reparar qualquer problema imediatamente, evitando a interrupção das atividades, o suporte no home office é crucial para que, a qualquer sinal de falha de segurança, a pessoa possa acioná-lo e minimizar os danos.

O terceiro pilar da segurança de TI em home office são as estratégias adotadas de gestão, controle e proteção. Quanto mais consolidadas e bem estruturadas, mais segura estará a infraestrutura de TI da sua empresa, seja no escritório ou em casa.

Como descobrir e gerenciar a shadow IT para promover ambientes seguros no home office

Os serviços de outsourcing de TI podem te ajudar a equilibrar os três fatores apresentados. Além de apresentar um excelente custo-benefício, a opção garante um serviço profissional de infraestrutura e suporte.

Dentre suas soluções de PC as a Service, a Microcity oferece uma solução de Home Office as a Service, que inclui a locação de notebooks, desktops e outros dispositivos, e implantação e suporte na casa do usuário.

O serviço ainda conta com um leque amplo de recursos de segurança e proteção de dados, gestão e controle da infraestrutura de TI. Uma solução como essa permite que profissionais em trabalho remoto tenham o máximo de produtividade com segurança e disponibilidade, onde quer que estejam.

Uma parceria de TI como a Microcity oferece à sua empresa soluções personalizadas em tecnologia, priorizando a segurança e mitigando práticas nocivas como a Shadow IT. Enquanto isso, seu time de TI pode focar no core business e alcançar os melhores resultados de negócio.Gostou desse conteúdo? Conheça a solução de Home Office as a Service da Microcity e saiba como podemos te ajudar a proporcionar a melhor infraestrutura de TI para o seu negócio alcançar os melhores resultados.

Fale com nossos consultores
Se interessou por este conteúdo?

Preencha o formulário abaixo para continuar lendo este artigo e muito mais.





Fique tranquilo. Os seus dados estão seguros com a Microcity