Shadow IT: uma nova ameaça à segurança de TI corporativa?
Quando o assunto da TI invisível(também conhecida como TI desonesta) é levantado, ele geralmente é associado a uma conotação negativa. E com razão, pois a TI invisível pode ter consequências prejudiciais para as empresas, principalmente no que se refere à segurança de seus sistemas de informação.
No entanto, a TI invisível também revela necessidades comerciais não atendidas.
Por isso, é importante entender exatamente o que é a TI invisível, os perigos dessa prática e os motivos de seu desenvolvimento. Dessa forma, os departamentos de TI poderão responder adequadamente e colher os benefícios.
Shadow IT: definição
O que é a TI invisível?
A TI invisível é definida como o uso profissional de sistemas de informação e comunicação sem a aprovação do departamento de TI.
Essa definição bastante ampla engloba uma grande variedade de práticas.
Aplicativos em nuvem
Graças a um desenvolvimento considerável nos últimos anos, é fácil para os funcionários adotarem o reflexo da nuvem... e seu pacote de aplicativos que são, à primeira vista, "gratuitos". Soluções de compartilhamento de documentos, como o Google Drive, ou soluções de transferência de arquivos, como o Wetransfer, são particularmente comuns.
Planilhas eletrônicas
No caso das planilhas eletrônicas ( especialmente o Excel ), a TI invisível assume a forma de implantação de macros, uma linguagem de programação. Se elas forem desenvolvidas sem a supervisão do departamento de TI, há o risco de as informações serem perdidas no dia em que o funcionário responsável pela programação deixar a empresa.
Mensagens pessoais
Um funcionário envia documentos internos para sua caixa de entrada de e-mail pessoal para que possa continuar trabalhando em casa? Outro exemplo de TI invisível.
Hardware
BYOD, ou Bring Your Own Device (Traga seu próprio dispositivo), é uma prática cada vez mais difundida. Ela envolve o uso de equipamentos pessoais (computadores, smartphones, tablets, pen drives etc.) em um contexto profissional.
Plataformas de streaming
O Shadow IT também se manifesta no hábito de navegar em plataformas de entretenimento durante o horário de trabalho. Alguns funcionários, por exemplo, gostam de trabalhar com música e, por isso, acessam sites como o Deezer ou o YouTube.
Redes sociais
O LinkedIn, e até mesmo o Facebook, são usados regularmente no local de trabalho para trocas profissionais... mas, às vezes, também para compartilhar documentos.
Por que isso se desenvolveu?
A busca pelo desempenho...
De acordo com um estudo da consultoria Frost & Sullivan, mais de 80% dos funcionários admitem usar soluções de TI sem o consentimento formal do departamento de TI. Além disso, dos cerca de vinte aplicativos usados nas empresas, sete não foram aprovados com antecedência.
O fenômeno da TI invisível cresceu consideravelmente na última década.
Entretanto, ele não é resultado de má vontade por parte dos funcionários. Eles são motivados, acima de tudo, pela ideia de melhorar a eficiência, sem "perder tempo obtendo aprovação do departamento de TI". Além disso, alguns apontam o dedo para processos que são muito longos e obsoletos:
Foram os processos complicados que estavam em vigor e eram usados há mais de 25 anos que criaram essa área cinzenta.
Le Journal du Net
... e o desenvolvimento da computação em nuvem
Em nosso mundo cada vez mais digital, o uso da tecnologia se tornou comum. E está se tornando mais fácil fazer isso graças ao desenvolvimento da computação em nuvem e do SaaS. Google Doc, Skype, Dropbox... esses são apenas alguns exemplos.
Os funcionários continuam sendo usuários da Internet, acostumados a baixar ou usar aplicativos que são, a priori, gratuitos e que respondem instantaneamente às suas necessidades.
Nesse contexto, a TI invisível é mais um reflexo do que um desejo de violar as regras estabelecidas pelos departamentos de TI.
Os perigos da TI invisível
Falta de conformidade
A TI invisível pode levar a problemas de conformidade com determinados padrões de TI, como o ITIL.
Mas, acima de tudo, essa prática não está muito em conformidade com o RGPD. É difícil para as empresas garantir a conformidade com os regulamentos europeus se não tiverem visibilidade sobre as ferramentas usadas por suas equipes e os dados que passam por elas.
Riscos de TI
Acredita-se que o Shadow IT seja responsável por um grande número de ameaças cibernéticas às empresas, como ataques de vírus de computador.
O motivo disso é que é impossível para os departamentos de TI implementar medidas de segurança para software ou hardware que eles desconhecem.
Vazamento de dados
O uso de ferramentas baseadas na nuvem pode levar ao vazamento de dados, o que pode ser extremamente prejudicial para uma empresa. O Dropbox, por exemplo, já revelou que mais de 68 milhões de IDs de usuários foram roubados.
A Shadow IT é, portanto, uma porta de entrada para que pessoas mal-intencionadas acessem os arquivos confidenciais da sua organização.
Perda de informações
A Shadow IT afeta a padronização e a interoperabilidade dos sistemas da empresa. Como resultado, as informações não circulam adequadamente entre os funcionários, e a colaboração parece estar comprometida.
Além disso, essa perda de informações geralmente ocorre quando um funcionário pede demissão ou é demitido. Se, por exemplo, o funcionário estava gerenciando arquivos de clientes usando software ou planilhas não familiares ao departamento de TI, informações preciosas podem ser perdidas.
Problemas técnicos e operacionais
Por fim, as tecnologias usadas na TI invisível podem causar problemas operacionais e de gerenciamento, principalmente pelo consumo de largura de banda.
Quando os departamentos de TI não têm conhecimento da extensão da TI invisível em sua organização, é difícil para eles planejar com antecedência a capacidade, as atualizações etc.
As oportunidades da TI invisível?
Mas os riscos da TI invisível precisam ser relativizados, pois muitos especialistas concordam que há oportunidades:
- economia de tempo e produtividade para os funcionários e, por extensão, para os departamentos de TI,
- identificação simplificada das necessidades comerciais pelo departamento de TI.
Ao observar o tipo de soluções às quais os funcionários recorrem espontaneamente, o departamento de TI obtém informações valiosas para alimentar suas reflexões sobre as ferramentas a serem implementadas e sobre as possíveis alternativas a serem propostas para que toda a empresa ganhe em desempenho... e em segurança!
Shadow IT: exemplos de como os departamentos de TI podem melhorar
Diferencie entre a TI invisível ruim e a "boa
Antes de mais nada, você precisa medir o que é inofensivo e o que é prejudicial aos negócios.
Dessa forma, você pode concentrar seus esforços onde os riscos são maiores em termos de proteção de dados e confidencialidade.
Permaneça atento e responsivo às necessidades dos funcionários
A boa comunicação continua sendo uma das melhores maneiras de melhorar. Portanto, esteja atento às necessidades dos funcionários. Somente eles têm o conhecimento comercial para identificar as ferramentas de que precisam com a maior precisão possível. E se eles não as tiverem, eles mesmos as encontrarão.
Ao mesmo tempo, mantenha-se reativo e até mesmo proativo em seus esforços para melhorar os sistemas de informação e comunicação. Em outras palavras, prove às suas equipes que o departamento de TI não deve ser visto como um obstáculo à implementação de novas soluções.
Proponha alternativas compatíveis e fáceis de usar
Ao ouvir as necessidades, o departamento de TI está em condições de propor ferramentas semelhantes às usadas na TI invisível, mas que, no entanto, respeitam o roteiro da empresa em termos de segurança e conformidade.
A título de ilustração, o RGPD representa uma oportunidade para se alinhar com os regulamentos e, ao mesmo tempo, levar em conta as práticas comerciais. Por exemplo, seus funcionários costumam trocar arquivos usando o Wetransfer, um aplicativo gratuito que não está em conformidade com os regulamentos europeus? Então, indique a eles uma solução compatível com o RGPD, como o LockTransfer. Ela é fácil de usar, graças à possibilidade de integrá-la ao seu e-mail, e oferece um alto nível de segurança para dados compartilhados sem ser percebida como uma restrição para seus funcionários. Outra vantagem é que os dados podem ser hospedados na França ou nos servidores da sua empresa.
Ao oferecer essas alternativas, sua empresa está assumindo a responsabilidade diante das exigências regulamentares e reduzindo os riscos de vazamento de dados pessoais quando compartilhados com seu ecossistema ou internamente.
Configure sistemas de monitoramento
É possível implementar ferramentas para detectar a presença da TI invisível na organização.
Essas soluções técnicas incluem CASBs (Cloud Access Security Brokers). Softwares como o Netskope, por exemplo, fornecem visibilidade dos fluxos de nuvem, permitem que o acesso a informações confidenciais seja monitorado e oferecem suporte à conformidade com o RGPD. Ele também detecta comportamentos de risco, para que seja possível oferecer uma alternativa aos usuários.
Aumente a conscientização e treine os funcionários
A falta de conscientização sobre os riscos apresentados pela TI invisível continua sendo um dos principais motivos de seu crescimento. Isso é comprovado pelo fato de que, de acordo com um estudo da Entrust Datacard, 42% dos funcionários dizem que estariam mais inclinados a integrar novas ferramentas de forma mais compatível se os departamentos de TI tivessem uma política mais clara sobre o assunto.
Portanto, reserve um tempo para conscientizar toda a empresa sobre os perigos dessa prática, bem como sobre as regras e os procedimentos em vigor.
Por fim, organize um treinamento sobre as ferramentas aprovadas pelo departamento de TI. Porque se os funcionários não as entenderem, eles não as adotarão. E se não as adotarem, eles procurarão em outro lugar...
Artigo traduzido do francês