Como resolver o problema de Shadow IT na sua empresa
Cerca de 50% dos investimentos em tecnologia corporativa ocorre sem que o departamento de TI fique sabendo. Essa estimativa do Everest Group descreve o fenômeno de Shadow IT e explica por que ele se tornou uma preocupação para muitas empresas.
O termo em inglês assusta, e não é para menos: estamos falando daqueles recursos que ficam invisíveis aos olhos dos decisores, como os analistas de infraestrutura. Tratam-se de equipamentos agregados pelos colaboradores, soluções na nuvem, programas baixados da internet e transferências de arquivos. Tudo às escuras.
Preparamos o artigo de hoje para quem tenta mitigar tal problema em meio à explosão do cloud computing e políticas de BYOD (Bring Your Own Device). Você vai entender como as operações que permanecem na sombra do seu setor representam uma ameaça à rede local e aprenda a evitá-las, promovendo a gestão de ativos de TI.
O significado de Shadow IT é bem óbvio…
É interessante ressaltar, antes de mais nada, que existe uma série de sinônimos para Shadow IT: Stealth IT, Client IT, TI não oficial, TI invisível… Podemos defini-los como ativos de hardware, software e serviços que são usados no parque de máquinas mas não receberam aprovação prévia.
A popularização da tecnologia permite que usuários implementem soluções para suas rotinas profissionais com agilidade e sob baixos custos iniciais. Além do mais, a entrada dos nativos digitais no mercado coincide com perfis de equipes cada vez mais autônomas na procura por tecnologias satisfatórias. De fato, o problema cresceu exponencialmente nos últimos anos, conforme a consultoria CEB estima que 40% de todos os gastos com TI em uma empresa ocorrem fora do departamento de TI.
Outro fator que contribui para o cenário em questão é a demanda por mobilidade nas empresas. Inegavelmente, a expansão do formato de trabalho remoto tem reduzido o armazenamento local de informações e feito com que um número crescente de dados circule na nuvem. Também estamos diminuindo os limites entre equipamentos pessoais e corporativos, algo que dificulta a fiscalização de dispositivos.
Por que você deve se preocupar Shadow IT
Embora os funcionários costumem ter boas intenções ao buscarem por inovações tecnológicas (como o ganho de produtividade diante da burocracia organizacional), Shadow IT gera um conjunto de riscos e despesas que não foram calculados pela gerencia.
Shadow IT ameaça a segurança da informação
A abertura da rede corporativa às ameaças virtuais por conta de Shadow IT deve lhe preocupar. Esses ativos representam um ponto cego para o roubo de dados sensíveis à sua operação, visto que não passaram pela avaliação de um SGSI – Sistema de Gestão de Segurança da Informação. Ou seja, eventuais incidentes implicados pelo seu uso não foram mapeados.
Em abril de 2021, a Insight Global admitiu que as informações pessoais de alguns habitantes da Pensilvânia foram expostas a terceiros. Esse vazamento de dados não intencional foi causado por funcionários que usaram várias contas do Google para compartilhar informações como parte de um canal de colaboração não autorizado. Esses dados incluíam nomes de pessoas que podem ter sido expostas ao COVID-19, endereços de e-mail e outras informações necessárias para serviços sociais.
O prejuízo financeiro gerado por Shadow IT
No momento em que você perde controle sobre o emprego de soluções tecnológicas, é fácil de extrapolar sua previsão orçamentária. Gastos desnecessários são resultado de aquisições redundantes, como programas e equipamentos que a empresa já possui. Pense ainda nas multas que a falta de compliance é capaz de ocasionar em casos de pirataria. Ademais, estima-se que o custo anual com perda de dados e downtime em sistemas não-oficiais gire em torno de US$ 1,8 trilhões.
Shadow IT e a descentralização de processos
Por fim, Shadow IT evidencia a ausência de uma governança centralizada em relação ao parque de máquinas. O que isso representa, para sua empresa, é uma dificuldade de assumir posicionamentos estratégicos. Afinal, você só consegue extrair indicadores de desempenho dos recursos que supervisiona. Se não houver registro de produção, como comprovará a efetividade da infraestrutura de TI? Em suma, o fenômeno impede a melhoria de processos e frequentemente cria gargalos de produtividade.
Outro fator que contribui para o cenário em questão é a demanda por mobilidade nas empresas. Inegavelmente, a expansão do formato de trabalho remoto tem reduzido o armazenamento local de informações e feito com que um número crescente de dados circule na nuvem. Também estamos diminuindo os limites entre equipamentos pessoais e corporativos, algo que dificulta a fiscalização de dispositivos em meio à explosão do cloud computing e políticas de BYOD (Bring Your Own Device).
Para entender e evitar operações que permanecem na sombra do seu setor, representando uma ameaça à rede local, é necessário promover uma eficiente gestão de ativos de TI.
Iluminando casos de Shadow IT na rede corporativa
Problemas de Shadow IT acontecem em empresas grandes e pequenas. Basta estar minimamente inserido no contexto de transformação digital para sentir seus efeitos. Se você reconhece a possibilidade de estar alheio a algumas soluções tecnológicas aproveitadas por sua equipe, tome as seguintes precauções:
Mantenha o inventário de TI atualizado
Certamente, manter um inventário de TI atualizado lhe ajudará a constatar modificações no parque de máquinas.
Indicamos que você promova comparativos entre os programas instalados nos computadores e os contratos de licenciamento ativos, a fim de detectar irregularidades. Cheque se o número de licenças de software em uso não excede a quantidade descrita pelo fornecedor no contrato. A coleta de dados, inclusive, vai revelar sistemas baixados sem o conhecimento da diretoria.
Igualmente, vale ficar atento às configurações de cada máquina para identificar upgrades de componentes de hardware (como HD, CPU, RAM). Essa prática também oferece uma perspectiva ampla sobre o patrimônio da organização, simplificando a distribuição interna de recursos.
Realize pesquisas com os colaboradores
Realize enquetes rápidas ou mesmo pesquisas mais aprofundadas com o público interno, no intuito de entender quais ferramentas são usadas no dia a dia. É muito importante que esse levantamento não acompanhe uma postura recriminatória da gerência. Você deve deixar claro que sugestões de novas tecnologias são bem-vindas, enquanto orienta os colaboradores sobre as normas de segurança vigentes.
Acompanhe a conexão de dispositivos móveis
Dispositivos móveis são potenciais veículos de perturbação para a rede local. Acarretam desde o vazamento proposital de dados sensíveis, até o compartilhamento acidental de vírus. Nossa sugestão é que você esteja alerta para a conexão de pendrives, celulares, HDs externos, entre outros. Caso seja preciso, aplique bloqueios para a transferência de arquivos nas entradas USB.
Vale autorizar apenas setores e/ou cargos específicos que requeiram essa funcionalidade.
Monitore os sites acessados nas estações de trabalho
Considerando que inúmeros softwares são disponibilizados atualmente pela nuvem, o monitoramento de internet é uma alternativa para descobrir recursos invisíveis.
Analise quais são os sites acessados nas estações de trabalho, com que frequência e por quanto tempo o funcionário navega neles, se são classificados como trabalho e, finalmente, se foram previamente autorizados.
Novamente, dê preferência para educar as equipes sobre os perigos e inconveniências do Shadow IT. Em determinadas circunstâncias, porém, cogite restringir acessos. Programas que já foram vetados anteriormente e continuam sendo utilizados, ou que se mostram inapropriados para os padrões da empresa, são alguns exemplos.
Consulte os dados de service desk
O suporte de TI lida rotineiramente com complicações técnicas, as quais são computadas nos sistemas service desk. Surpreendentemente ou não, diversos transtornos expostos pelos usuários estão relacionados a Shadow IT. Seja porque as pessoas contam com aplicações não-confiáveis, ou porque não foram treinadas para operar tais soluções tecnológicas, as dificuldades começam a surgir.
Portanto, os chamados abertos nos últimos meses apresentam pistas sobre a existência de ativos invisíveis.
Nem toda a sombra é inimiga
A incidência de Shadow IT pode proporcionar insights para que a empresa modernize processos e infraestrutura. Por vezes, é um sinal de que a incorporação de novas tecnologias não está acompanhando a requisição dos colaboradores. De qualquer maneira, mostra-se fundamental observar a presença da prática, com o objetivo de minimizar seus prejuízos.