Siga nossas redes sociais:

Shadow IT: entenda o que é e quais riscos pode ocasionar

Shadow IT

Shadow IT: entenda o que é e quais riscos pode ocasionar

Se você trabalha ou já trabalhou em empresas em que o seu perfil de usuário não tem permissões de instalação, provavelmente já precisou de algum programa diferente dos que já estavam instalados em seu computador e pensou que seria mais fácil se pudesse fazer isso sem pedir para ninguém.


Explicaremos alguns dos pontos que tornam a Shadow IT tão perigosa para os ambientes de rede de um modo geral, ainda mais agora que estamos às portas da Lei Geral de Proteção de Dados (LGPD) iniciar efetivamente seus trabalhos.


O que é Shadow IT?


É considerada Shadow IT qualquer tipo de estrutura utilizada sem a aprovação da área de Tecnologia da Informação (TI). Esta prática pode ter diversas formas, e infringir quase todas as iniciativas de conformidade, assim como podemos ver na lista destacada na Wikipedia. A Shadow IT pode ser traduzida literalmente como TI nas sombras, mas é mais conhecida no Brasil como TI invisível.


Ela pode ser considerada como um comportamento, com foco em aprimorar o desempenho. Contudo, o fato de não haver autorização expressa para a instalação de novas ferramentas é uma prática perigosa, mesmo quando o funcionário está bem-intencionado.


A Shadow IT pode envolver, por exemplo, o uso de soluções que buscam elevar o nível de produtividade. E, dependendo do caso, o pedido para instalar a ferramenta pode tornar o trabalho mais lento, prejudicando o rendimento de uma empresa.


Nem sempre a gestão de TI está conectada com as demandas dos funcionários. Esse aspecto faz com que a Shadow IT seja uma alternativa para dinamizar os serviços de forma mais rápida e eficiente.


Apesar disso, essa prática deve ser feita com muita responsabilidade, levando em consideração os riscos que podem envolver para os dados institucionais. É cada vez mais comum o uso, sem autorização, de serviços em nuvem para a gestão de tarefas e de correio eletrônico. Nesse sentido, o empregado precisa avaliar como o uso de sistemas não autorizados pode afetar a proteção dos dados, antes da instalação.


Os riscos que a Shadow IT é capaz de trazer


Por mais que a intenção seja dinamizar o atendimento e melhorar a experiência do consumidor, a Shadow IT envolve riscos. Cada vez mais a segurança dos dados tem um valor estratégico, pois abrange a reputação e a confiabilidade de uma organização.


Atualmente, os cibercriminosos buscam brechas em sistemas para invadir as redes corporativas. E esse risco aumenta consideravelmente quando ferramentas são instaladas, sem o devido controle do setor de Tecnologia da Informação.  

Lembrando que muitas companhias têm sido vítimas de ataques cibernéticos, como o ransomware (sequestro de dados e arquivos). Além dos prejuízos financeiros causados, esse tipo de incidente provoca danos para a imagem, algo que pode ser irreversível.

E se uma empresa deseja minimizar os riscos de enfrentar esse problema, um bom caminho é conscientizar os funcionários sobre os cuidados relacionados com a Shadow IT.


Orçamento


De que maneira os investimentos em TI devem ser gerenciados? Parece uma pergunta de fácil resposta e execução, mas, a partir do uso indiscriminado da Shadow IT, gerenciar o orçamento de Tecnologia da Informação passa a ser um enorme desafio.


Por exemplo, o setor de Contabilidade opta por contratar um sistema para controlar melhor as atividades da equipe. Contudo, esse investimento não é alinhado com o Departamento de TI, nem leva em consideração a política de segurança dos dados. 


Inevitavelmente, essa iniciativa vai tornar a organização mais vulnerável aos ataques cibernéticos. Além disso, faz com que a empresa invista, de forma equivocada, em soluções tecnológicas.

Com a disseminação da Shadow IT, são maiores as probabilidades de os recursos financeiros em tecnologia serem aplicados de maneira equivocada. Por isso, é necessário um olhar de especialistas do setor de TI sobre qualquer aquisição de ferramentas tecnológicas, por mais simples que seja.



Shadow IT: como acontece?


Existem diversas formas em que a Shadow IT pode se apresentar dentro de um ambiente de rede. Para que possamos falar com um pouco mais de detalhes sobre elas, escolhemos as 5 formas que mais nos chamam a atenção sobre este ponto:


Macros do Excel


Pode soar estranho, mas as macros são as principais vilãs quando se trata de Shadow IT. São várias as características que a trazem para o primeiro lugar da lista, uma das principais é que as macros podem ser criadas em qualquer computador com o Office instalado.

Talvez você pense que uma ou mais macros utilizadas para facilitar o trabalho de manipulação de uma planilha não é nada demais, e boa parte das vezes realmente não é.

O problema começa quando a utilização das macros permeia a forma como a empresa funciona, podendo se espalhar por diversos setores e, por vezes, fazendo com que processos passem a depender delas.


Para que a visualização desse problema fique ainda mais fácil, imagine que algumas das pessoas da empresa gostam de automatizar tarefas com fórmulas e macros elaboradas no Excel. Cada uma dessas pessoas desenvolve uma planilha para sua área, que faz consultas em páginas da internet e interage com outras planilhas de processos dentro da rede.


Se cada uma dessas planilhas for configurada para atualizar os dados web e interagir com planilhas de forma inadequada, elas podem tornar a navegação do setor ou até mesmo da empresa mais lenta e, além disso, podem bloquear o uso das planilhas referentes aos processos da empresa, impactando direta e indiretamente no funcionamento de toda a companhia.


Softwares


Outro grande problema para a segurança e conformidade de um ambiente são os softwares. Sejam aqueles comprados em lojas ou os gratuitos, baixados em sites variados da internet, todos costumam seguir o mesmo modelo de raciocínio.

Alguém, dentro da empresa, precisa de um software para descompactar arquivos com determinadas extensões ou algo que converta rapidamente PDFs para arquivos de texto ou apresentações.

O que boa parte das pessoas não sabe é que usar qualquer tipo de software pode trazer riscos ao computador e até ao ambiente de rede como um todo.

Por serem softwares não gerenciados pela área de tecnologia, eles normalmente não são atualizados adequadamente e a versão utilizada pode conter falhas de segurança que possam fazer com que criminosos se aproveitem desse contexto para acessar indevidamente o computador utilizado e até mesmo a rede ao redor.

Na pior das hipóteses, o programa utilizado é malicioso e, mesmo cumprindo o propósito desejado, traz escondido em seu funcionamento rotinas que vinculam o computador do usuário diretamente à máquina do criminoso.


Cloud


Utilização de serviços de nuvem não homologados. Já publicamos diversos artigos falando sobre vazamento de dados e alguns deles estão vinculados a soluções de nuvem mal configuradas ou mal gerenciadas. Vazamentos que aconteceram em provedores de serviço bem estruturados e confiáveis.

Trazendo o exemplo de um usuário que precisa mandar um arquivo muito grande a um fornecedor, o arquivo pode ser grande demais para enviar via e-mail e o usuário precisa de uma alternativa rápida para transferir o arquivo. Em seguida, o usuário pesquisa na internet e verifica que é possível colocar o arquivo em um servidor que permite hospedagem gratuita, sem precisar realizar qualquer tipo de cadastro.

Infelizmente isso não é raro de acontecer, mesmo que haja algumas variações na história, e essa é uma realidade constante nas empresas onde usuários não são devidamente conscientizados sobre a importância dos dados e as formas de como protegê-los, fazendo com que dados importantes trafeguem sem os cuidados necessários.


Hardware


Costuma não ser um ponto tão comum, mas ainda assim diversas empresas sofrem com funcionários que alteram hardwares da empresa. Seja para subtraí-los e utilizá-los fora das dependências da empresa ou para fazer um upgrade em seu próprio computador e, desta forma, fazê-lo trabalhar de forma mais eficiente.


Imagino que não seja necessário exemplificar para alguém que subtraia uma peça de computador ou periférico como isso pode impactar o desempenho de um dispositivo. Por isso, sigamos então a linha de raciocínio de um funcionário que acha que sua máquina está defasada de alguma forma e quer melhorá-la por conta própria.


Algumas das mudanças, como colocar mais memória e mudar o processador por um mais veloz, não são tão nocivas, mas ainda assim são totalmente inadequadas. E é bem diferente de uma troca de HD, por exemplo. Os HDs contêm todos os dados do funcionário e, boa parte das vezes, de todas as pessoas que também já utilizaram o equipamento.


Trocá-lo, além de fazer com que os dados não estejam mais disponíveis, pode trazer um nível de risco maior para o computador, pois o novo HD terá que contar com o Windows instalado, o que inclusive, em alguns casos, pode acabar sendo um software não original.


Além disso, partindo da prática da Shadow IT em um software, outro risco é que as configurações de segurança, restrições e eventuais criptografias não estejam adequadas ao padrão de segurança estabelecidos pela empresa.


BYOD


O BYOD (Bring Your Own Device) traz uma série de benefícios e economias para as empresas que o adotam e permite que os funcionários utilizem seus próprios smartphones, ou até computadores, para executar suas tarefas diárias.

É importante salientar que o processo de adoção do BYOD é controlado e necessita de uma série de medidas de prevenção para que, em caso de incidentes, tanto o funcionário quanto a empresa sofram o mínimo de danos possível.

As precauções podem ir desde controles em políticas no momento da instalação do aplicativo até a criação de contêineres seguros e criptografados dentro do celular do funcionário para que nada saia do ambiente seguro sem prévia autorização.

O uso de dispositivos pessoais sem consentimento pode trazer implicações negativas a ambas as partes.





Boas práticas para evitar a BYOD na sua empresa


Existem diversos outros pontos negativos decorrentes da Shadow IT que impactam diretamente no bom funcionamento da empresa, cabe a todos o cuidado para que essa prática seja extinta e restem apenas dispositivos e processos devidamente homologados e configurados.


Não podemos negar que essa é uma tarefa difícil e que normalmente recai sobre os ombros das áreas de Redes e Segurança da Informação, sendo assim, separamos algumas dicas que esperamos que auxiliem a combater a “TI paralela” por traz das empresas:


Conscientização


Disponibilizar treinamentos e capacitações sobre temas pertinentes a Segurança da Informação, instruindo os usuários sobre os riscos inerentes às suas atividades e quão perigoso pode ser a manipulação inadvertida das informações é, na nossa opinião, um passo muito produtivo para um ambiente de rede mais seguro.


Identificação e monitoramento


Identificar os aplicativos, softwares e processos rodando “por baixo dos panos” dentro de uma rede pode ser bem trabalhoso. Uma sugestão para esse controle é manter uma lista sempre atualizada de todas as características de cada equipamento, tanto para softwares quanto para hardwares. Existem softwares de inventário que facilitam bem este trabalho, alguns deles permitem que o responsável seja notificado caso algum hardware ou software sofra qualquer alteração.


Análise de risco e adequação


Após a identificação, é necessário ver qual o impacto que esse software ou hardware causa na rede e iniciar o processo de análise para determinar qual a melhor forma de removê-lo do ambiente.

Em vários cenários, a Shadow IT vem para suprir uma necessidade inerente ao ambiente ou a seus processos. É necessário analisar com cautela para que a saúde do negócio não seja prejudicada com a saída do software/hardware do ambiente, sem que nenhuma alternativa adequada seja posta em seu lugar.


Gestão de processos e análise de necessidades


Boa parte das vezes, a gestão dos processos cabe mais às áreas responsáveis do que ao departamento de tecnologia de uma empresa. Uma das formas para que esses riscos sejam mitigados é fazer com que o ciclo de análise de processos seja contínuo. Este ciclo pode ter uma etapa de verificação pela área de tecnologia/segurança, isso permitirá que, caso algo precise ser alterado, o responsável da área já esteja ciente e auxilie no processo de adequação.


Com o passar dos ciclos de validações e análises supracitados e das capacitações e treinamentos em Segurança da Informação, os processos de inserção de hardware e software estarão enraizados junto aos processos da empresa e a má prática da Shadow IT não se repetirá.


Não há dúvidas de que o cuidado com o uso dos ativos de TI é imprescindível para uma empresa alcançar uma performance notável. E para você entender isso melhor, vale a pena fazer uma leitura atenta do artigo sobre segurança de rede. Afinal, o conhecimento sempre nos ajuda a vencer novos desafios.