Shadow IT: o que é, quais são os riscos e como prevenir a “TI invisível”
Você já ouviu falar no termo “shadow IT”? Ele pode ser traduzido literalmente para o português como “TI das sombras”, mas também ficou famoso por aqui como “TI invisível”. Trata-se do uso indiscriminado, por parte dos colaboradores de uma empresa, de dispositivos, aplicações e plataformas que não foram autorizadas pelo departamento de TI para finalidades profissionais. Esse é um problema antigo, mas que está se tornando cada vez mais comum e difícil de conter — especialmente com a popularização do trabalho remoto.
É fácil dar exemplos de shadow IT. Para fins ilustrativos, imagine que a sua companhia determinou que o serviço X de armazenamento de arquivos na nuvem será o serviço oficial a ser utilizado para guardar todo e qualquer documento corporativo. Porém, por um motivo qualquer — preferência pessoal, comodidade etc. —, um funcionário decide, por conta própria e sem avisar ninguém, armazenar documentos e arquivos de trabalho no serviço Y, que possivelmente não possui o mesmo nível de segurança e confiabilidade.
Outros exemplos de TI invisível incluem usar seu endereço de e-mail pessoal ou contas de mensageiros para enviar e receber arquivos corporativos, usar apps aleatórios para criar listas de tarefas, adotar sem aviso prévio uma plataforma para gestão de projetos, manter comunicações de trabalho sigilosas com outros colaboradores em softwares alheios e assim por diante. Novamente, é importante ressaltar que esse é um problema antigo, mas que está se agravando principalmente com o trabalho remoto e híbrido, além da adoção massiva de políticas como BYOD (bring your own device ou “traga seu próprio dispositivo”), em que os colaboradores trazem os próprios dispositivos para o trabalho.
Quais são os riscos?
Muitos! Primeiramente, é crucial entender que o departamento de TI, em conjunto com o time de segurança da informação, determina as ferramentas e plataformas que serão usadas para as operações corporativas com base em uma série de fatores: confiabilidade, estabilidade, flexibilidade, visibilidade e, é óbvio, segurança. Em alguns casos, a escolha é feita através de critérios cruciais para garantir conformidade com certa legislação ou norma específica do setor comercial no qual a companhia atua.
Assim, usar ferramentas e plataformas não homologadas coloca em risco o trabalho cotidiano, tornando alguns arquivos e processos invisíveis (daí o nome pelo qual a prática ficou conhecida) para os gestores de segurança, que não serão capazes de proteger a empresa de possíveis ameaças criadas por essas práticas. Também é comum que, ao escolherem serviços de sua própria preferência para guardar informações sensíveis, os colaboradores abram portas para vazamentos de dados, pois o ambiente em questão não foi configurado corretamente ou não possui uma infraestrutura de proteção tão madura.
Isso sem citar os casos mais extremos, nos quais os funcionários realizam verdadeiras “gambiarras” ou chegam ao nível de utilizar softwares pirateados para seus afazeres profissionais. Além da questão ética, tal postura os expõe ao risco de ter a máquina infectada por um malware.
Fácil de resolver
Não há segredos aqui: para evitar que o shadow IT se alastre, cada colaborador deve fazer a sua parte e utilizar apenas os dispositivos, ferramentas e aplicações que receberam autorização prévia dos times de TI e de segurança da informação. Se você estiver enfrentando problemas com determinado software, por exemplo, vale a pena sinalizar isso de maneira formal para essas duas equipes e entender como tais questões podem ser resolvidas sem abrir mão da segurança.
Felizmente, aos gestores, o mercado já dispõe de soluções que permitem monitorar melhor a rede em busca de “escapes” para áreas sombrias, tal como realizar um gerenciamento mais eficaz de ativos e licenças de softwares.