Ciência e Tecnologia

O que é Shadow IT? Tudo, dos riscos aos benefícios

Foto de Strong Strongagosto 15, 2023
0 6 minutos de leitura

O que é Shadow IT?

Shadow IT é o uso de aplicativos, dispositivos e serviços para trabalho que não foram aprovados pelo departamento de TI da sua organização. As ferramentas Shadow IT não precisam ser ilegais ou mesmo mal-intencionadas, nem precisam ser explicitamente banidas pela sua empresa — elas são apenas recursos que estão fora do fluxo de trabalho planejado e das medidas de segurança da organização.

Exemplos de shadow IT

O Shadow IT abrange uma vasta gama de software e hardware — se você puder trazê-lo para o escritório ou baixá-lo para o seu dispositivo, ele tem o potencial de ser o shadow IT. Alguns exemplos comuns de shadow IT incluem:

  • Aplicativos de produtividade. Aplicativos como Trello e Asana ajudam sua equipe a organizar sua carga de trabalho e ser mais produtiva. Infelizmente, as empresas normalmente designam uma única ferramenta oficial para toda a força de trabalho, o que pode simplesmente entrar em conflito com o mojo de sua equipe. Nesse caso, baixar e usar outro aplicativo de produtividade sem primeiro obter a aprovação da equipe de TI contaria como shadow IT.
  • Armazenamento na núvem. Se você deseja que outras pessoas dentro da organização tenham acesso imediato ao seu trabalho, você precisa de uma solução de compartilhamento de arquivos – geralmente usando armazenamento fornecido por serviços em nuvem como Google Drive. Se você fizer upload de dados de trabalho para serviços baseados em nuvem que não foram aprovados por sua organização (por exemplo, sua conta pessoal do Dropbox), você está se envolvendo em shadow IT.
  • Editores de documentos. Sua organização pode querer que você use o Google Docs para escrever, para que outras pessoas possam facilmente fazer comentários e edições. Você pode preferir o silêncio do Microsoft Word ou a simplicidade do NotePad. Nesse caso, o uso de um editor de documentos diferente do designado por sua empresa conta como IP oculto.
  • Ferramentas de comunicação. O Skype for Business costumava ser a última moda nas comunicações no local de trabalho há algum tempo. Agora é Slack. Amanhã? Quem sabe. Mas se você comunicar informações relacionadas ao trabalho fora dos canais seguros aprovados (por exemplo, publicando-as em um grupo do Telegram ou enviando-as de sua conta de e-mail pessoal), estará colocando esses dados fora do alcance da equipe de TI.
  • Dispositivos pessoais. Suas ferramentas de trabalho vêm com todos os tipos de proteção – use isso, baixe aquilo, não vá por aí. Seus dispositivos pessoais? Não muito. Muitas organizações proíbem explicitamente o uso de seu smartphone, tablet ou laptop pessoal para se conectar à rede corporativa (ou até mesmo verificar a conta de e-mail da empresa), porque isso pode levar a uma violação de dados.

Por que os funcionários usam o Shadow IT?

A maioria dos funcionários usa o shadow IT porque isso simplesmente os ajuda a trabalhar melhor. Talvez sua equipe tenha usado com sucesso o GitHub para gerenciamento de projetos no passado e não queira mudar para o novo queridinho corporativo Jira. Talvez você se comunique melhor pelo Discord do que pelo Skype for Business exigido pela empresa.

Às vezes, as pessoas nem percebem que o que estão fazendo equivale a sombrear a TI. Seja honesto — você leu as letras miúdas da política de TI da sua empresa antes de assiná-la? Você sabia que muitos empregadores não permitem que você verifique documentos de trabalho em seu próprio telefone? O uso de dispositivos pessoais não sancionados para fins de trabalho é uma das instâncias mais comuns de IP oculto em todo o mundo.

Artigos relacionados

Em todos esses casos, o motivo do uso de ferramentas não autorizadas não é malícia — é uma simples preferência ou hábito. Contanto que você obtenha resultados, por que deveria usar o Google docs em vez da conta do Microsoft Word da sua empresa?

Riscos de segurança da TI oculta

Acontece que o fato de você estar usando ferramentas não sancionadas pode importar muito. Mesmo que suas intenções sejam puras, a shadow IT apresenta uma série de riscos de segurança em potencial para sua organização. Aqui estão apenas algumas das razões pelas quais as empresas desaprovam fortemente a sombra de TI.

Sem visibilidade e controle

Por definição, os ativos de TI ocultos estão fora do radar da empresa, o que significa que as equipes de segurança cibernética não podem avaliá-los em busca de vulnerabilidades, reforçar sua segurança ou detectar incidentes se e quando eles acontecerem. O sistema de segurança cibernética mais potente do mundo não protegerá os dados da empresa se os criminosos puderem acessá-los por meio de seu iPhone com jailbreak.

A segurança da shadow IT depende inteiramente do usuário, que pode não estar ciente de todos os possíveis ângulos de ataque ou de como configurar a ferramenta para funcionar com segurança. O perigo pode vir de algo tão simples quanto adiar uma atualização de segurança crítica por um dia ou dois, deixando o aplicativo ou dispositivo vulnerável a uma grande exploração divulgada.

Os dados podem estar desprotegidos

As violações de dados são caras – as empresas gastaram 4,5 milhões de dólares por violação de dados em média no primeiro semestre de 2023. Para evitar esses custos exorbitantes, os departamentos de TI designam onde, quando e como os funcionários podem usar dados confidenciais dentro da organização em seus trabalho diário.

Quando os funcionários saem do caminho comum, eles abrem caminho para outros entrarem nesse ecossistema seguro. Essas indiscrições podem ser sutis – por exemplo, você pode fornecer informações privilegiadas ao ChatGPT para ajudar a tomar uma decisão ou enviar arquivos confidenciais de seu endereço de e-mail pessoal. Depois que os dados estiverem disponíveis, você não poderá trazê-los de volta para o grupo.

Sem mecanismos de conformidade

As organizações geralmente estão sujeitas a requisitos legais rigorosos quando se trata de proteger dados confidenciais, especialmente informações de identificação pessoal. O mais famoso desses requisitos vem do Regulamento Geral de Proteção de Dados (GDPR), que deve ser seguido por qualquer pessoa no mundo que deseje processar os dados pessoais dos residentes da UE.

Aqui está a parte complicada – as empresas podem ser multadas por não cumprirem os padrões adequados de proteção de dados, mesmo que não ocorra nenhuma violação de dados. Basta que alguém na organização esteja usando uma solução de TI paralela não verificada para processar dados pessoais.

Inconsistência e ineficiência

A Shadow IT pode ser útil em um nível individual, mas pode ser prejudicial para o trabalho da empresa como um todo. Suas ferramentas preferidas podem causar problemas para outras pessoas ou dificultar o bom funcionamento da infraestrutura de TI da organização.

Pense assim: quando você opera fora da rede, também não permite que outras pessoas na organização verifiquem ou façam backup de seu trabalho. Faça isso por tempo suficiente e você acabará com entradas conflitantes, falta de comunicação e dados perdidos. Em alguns casos, o uso de ferramentas de shadow IT pode até levar à duplicação de trabalhos executados em paralelo por diferentes ramos da empresa.

Benefícios da Shadow IT

No entanto, nem tudo é desgraça e melancolia – embora a sombra de TI possa ser perigosa, ela também oferece benefícios importantes.

  • Adoção mais rápida. Sua equipe pode responder a inovações e desafios no campo com muito mais rapidez do que o departamento de TI de sua organização. Novas tecnologias podem se desenvolver da noite para o dia e se espalhar rapidamente, conquistando o mercado antes mesmo que a avaliação de segurança seja concluída. Ter que esperar pela aprovação explícita de TI em cada caso, não importa o quão minucioso, só levaria a oportunidades perdidas.
  • Os especialistas sabem melhor. Seu departamento de TI provavelmente não sabe muito sobre finanças, design gráfico ou direitos autorais. Quando se trata de escolher ferramentas, deixe que as pessoas no campo decidam porque elas sabem melhor o que funciona e o que não funciona.
  • Custos mais baixos. Dependendo das políticas de aquisição da empresa, sua equipe pode ser forçada a trabalhar com um orçamento limitado. Nesse caso, você pode ficar tentado a usar alternativas gratuitas populares em vez de aplicativos obrigatórios (por exemplo, mudar do Microsoft Office para o Google Docs Editor Suite) para economizar dinheiro para outras coisas que a equipe possa precisar.

O segredo — gerenciar os riscos de sombra de TI

Então, qual é o melhor caminho a seguir? Uma proibição total contra a shadow IT para proteger os dados da empresa e agilizar os processos de trabalho? Ou anarquia total, com cada equipe ignorando os decretos do departamento de TI e fazendo o que quer?

Nenhum dos dois, ao que parece. Você pode ter seu bolo e comê-lo também.

O truque é gerenciar os sistemas de uma maneira que permita que a shadow IT exista com segurança em sua rede. As organizações podem implementar amplas soluções de segurança cibernética (como exigir o uso de ferramentas de segurança na nuvem para garantir que os funcionários acessem os dados da empresa de maneira segura) para melhorar a segurança dos dados ao usar aplicativos não controlados ou dispositivos privados.

Eles também podem usar ferramentas de gerenciamento de superfície de ataque para caçar recursos de TI ocultos em suas redes — e então trazê-los oficialmente para o grupo.

Etiquetas
Foto de Strong Strongagosto 15, 2023
0 6 minutos de leitura
Mostrar mais
Foto de Strong

Strong

Artigos relacionados

Setor de semicondutores do Vietnã sobe em alta após investimentos | Strong The One

setembro 16, 2023

Por que meu ping está tão alto no Fortnite: aqui está a correção

março 6, 2023

Qual é a diferença e o que é mais perigoso?

outubro 11, 2023

CEO da Clearview AI, uma startup de reconhecimento facial controverso, renunciou

fevereiro 20, 2025

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Botão Voltar ao topo