Embora a Shadow IT (ou a utilização de software, sistemas ou dispositivos sem a aprovação explícita da empresa) possa facilitar o trabalho de alguns funcionários, a prática também tem desvantagens significativas que as organizações precisam de resolver.
Neste artigo, veremos o que é Shadow IT, por que é importante em termos de violações e vazamentos de dados e todas as etapas que sua equipe de TI pode tomar para minimizar seus efeitos – incluindo o uso de ferramentas de detecção e monitoramento de Shadow IT . Por último, uma vez que a shadow IT é algo inevitável), avaliaremos a possibilidade de aproveitar o seu potencial em vez de eliminá-lo completamente.
Shadow IT ocorre quando funcionários ou departamentos adotam ou implantam tecnologias para atender às suas necessidades – mas não notificam a equipe de TI de que estão fazendo isso.
Alguns exemplos comuns de shadow IT incluem: não autorizado:
Por exemplo, pense em acessar uma conta pessoal do Dropbox, usar o Skype (quando a empresa possui WebEx) ou copiar arquivos de ou para um pen drive.
Todos esses são casos de uso não autorizado de ferramentas digitais que poderiam colocar sua organização em risco caso fossem comprometidas.
Devido à rápida evolução das tecnologias de nuvem e do software como serviço (SaaS), a shadow IT tornou-se mais predominante e complexa nos últimos anos.
Em muitos casos, as unidades de negócios também começaram a adotar novas aplicações de forma independente para impulsionar a transformação digital; por exemplo, programas de compartilhamento de arquivos, ferramentas de gerenciamento de projetos e serviços baseados em nuvem como os mencionados acima.
O resultado? Entre 30% e 40% dos gastos com TI em grandes empresas são shadow IT, com as empresas desperdiçando mais de US$ 135.000 por ano em licenças e ferramentas SaaS desnecessárias. Além do mais, um relatório de 2023 mostrou que 65% de todos os aplicativos SaaS são aplicativos não autorizados (ou aplicativos que o departamento de TI não aprovou).
Conforme explicado, Shadow IT refere-se ao uso de sistemas, dispositivos, software, aplicativos e serviços de TI sem a aprovação explícita do departamento de TI. Foi amplamente adotado em muitas organizações devido à sua flexibilidade e conveniência. No entanto, embora apresente certos riscos, também pode trazer benefícios quando gerido de forma adequada.
Vejamos alguns exemplos para entender como Shadow IT está sendo utilizado:
Serviços em nuvem : com o advento da computação em nuvem, os funcionários estão usando cada vez mais serviços em nuvem de terceiros, como Google Drive, Dropbox ou OneDrive, para compartilhamento e colaboração de arquivos. Essas ferramentas fornecem acesso fácil aos dados de qualquer local e facilitam a colaboração, mas geralmente são usadas sem a supervisão do departamento de TI.
Ferramentas de comunicação : Ferramentas como Slack, WhatsApp ou Microsoft Teams são frequentemente usadas pelos funcionários para comunicação rápida e informal. Essas plataformas podem melhorar a produtividade, permitindo comunicação instantânea. No entanto, também podem representar um risco de segurança se informações confidenciais forem compartilhadas sem criptografia ou protocolos de segurança adequados.
Dispositivos pessoais : os funcionários costumam usar seus dispositivos pessoais para trabalhar, conhecidos como Traga seu próprio dispositivo (BYOD). Embora isso possa melhorar a flexibilidade e o equilíbrio entre vida pessoal e profissional, também pode criar vulnerabilidades se esses dispositivos forem perdidos, roubados ou infectados por malware.
Software não sancionado : os funcionários podem baixar e instalar software que o departamento de TI não aprova. Isso pode variar de ferramentas de gerenciamento de projetos a software de design gráfico. Embora essas ferramentas possam ajudar na produtividade, elas também podem introduzir problemas de compatibilidade ou vulnerabilidades de segurança.
Hardware : além do software, Shadow IT também pode se estender a hardware como roteadores pessoais, dispositivos de armazenamento ou até mesmo servidores que os funcionários podem instalar para melhorar seu espaço de trabalho. Esses dispositivos podem representar sérios riscos de segurança se não forem configurados ou mantidos adequadamente.
Shadow IT cria riscos de segurança graves e invisíveis para as organizações porque quando um funcionário usa ferramentas, aplicativos, serviços em nuvem ou dispositivos não autorizados, isso aumenta a chance de violações de segurança (na verdade, um estudo da IBM mostrou que 83% dos entrevistados sofreram em pelo menos uma violação de dados da empresa onde dados confidenciais foram comprometidos).
Muitas dessas ferramentas também carecem de medidas de segurança robustas, como criptografia forte ou dependência de credenciais fracas ou padrão.
Se a sua organização precisar trabalhar sob regulamentações e leis de proteção de dados específicas, como CCPA ou GDPR, a shadow IT também pode levar a violações de conformidade – especialmente se o seu departamento de TI não puder ver ou controlar os dados que estão sendo armazenados ou compartilhados. Sabemos, por exemplo, que um terço de todos os ataques cibernéticos bem-sucedidos provém de dados armazenados em shadow IT.
Por último, a Shadow IT é muitas vezes difícil de integrar com a infraestrutura existente, algo que pode facilmente levar a problemas de compatibilidade, silos de dados, sistemas fragmentados, utilização ineficiente de recursos, custos descontrolados e redundância.
Aqui estão algumas estatísticas recentes e relevantes sobre Shadow IT :
Fonte: Mais de 124 estatísticas de segurança cibernética que os líderes de TI precisam saber em 2023
Estas estatísticas devem fornecer uma compreensão aprofundada da prevalência, dos riscos e dos desafios associados ao Shadow IT.
Shadow IT é um conceito multifacetado e pode ser dividido em diferentes elementos com base no tipo de tecnologia utilizada, na forma como é empregada e no motivo de sua utilização. Aqui estão alguns dos principais elementos do Shadow IT:
Cada um desses elementos apresenta diferentes desafios e riscos para uma organização. No entanto, também representam maior produtividade, colaboração e oportunidades de inovação. A compreensão desses elementos pode ajudar as organizações a gerenciar o Shadow IT de maneira eficaz, aproveitando seus benefícios e, ao mesmo tempo, mitigando riscos potenciais.
A melhor maneira de evitar esses problemas é identificar se sua organização está usando alguma TI paralela. Três práticas recomendadas que você deve considerar para fazer isso são políticas de governança, envolvimento do departamento de TI e educação dos funcionários. Vamos examinar rapidamente cada um com mais detalhes.
O Chief Information Officer (CIO) e as equipes de TI desempenham um papel crucial no gerenciamento da shadow IT. Por um lado, o CIO pode fornecer liderança estratégica, definindo políticas, procedimentos e estruturas. Eles podem trabalhar junto com a equipe de TI para garantir que os recursos tecnológicos sejam usados de forma controlada e compatível.
O custo do Shadow IT pode ser bastante significativo e vai além do aspecto financeiro. Apesar de anos de iniciativas de modernização, os CISOs ainda enfrentam esta questão tradicional. Software, serviços e equipamentos não verificados podem potencialmente introduzir uma série de vulnerabilidades, pontos de entrada para malfeitores e malware, representando assim um risco de segurança considerável.
Considere os números do Gartner, que descobriu que 41% dos funcionários adquiriram, modificaram ou criaram tecnologia fora da visibilidade da TI em 2022, e espera-se que esse número suba para 75% até 2027. Enquanto isso, a pesquisa shadow IT e gerenciamento de projetos de 2023 da Capterra descobriram que 57% das pequenas e médias empresas tiveram esforços de shadow IT de alto impacto ocorrendo fora do alcance de seus departamentos de TI.
Embora ofereça benefícios de flexibilidade e conveniência ao usuário, a shadow IT também acarreta custos significativos dos quais as organizações devem estar cientes. Esses custos podem ser amplamente categorizados em custos diretos e indiretos.
Embora os custos do Shadow IT possam ser significativos, é importante lembrar que o Shadow IT surge frequentemente da necessidade de ferramentas melhores ou de processos mais eficientes. As organizações devem se concentrar no gerenciamento eficaz do Shadow IT, em vez de tentar eliminá-lo .
Estabelecemos que a Shadow IT apresenta alguns desafios vitais de segurança e conformidade. Portanto, a implementação de medidas eficazes é crucial.
Aqui estão algumas dicas práticas para proteção contra riscos de Shadow IT:
Embora a Shadow IT possa abrir a porta para muitos riscos de segurança, é importante lembrar que ela pode beneficiar potencialmente a sua organização. A chave está em aproveitar o seu poder, em vez de eliminá-lo completamente.
Lembre-se de que a Shadow IT pode permitir que os funcionários adotem e utilizem rapidamente ferramentas e tecnologias que atendam às suas necessidades específicas. Eles podem, por exemplo, experimentar ferramentas inovadoras que não estavam originalmente no roteiro da sua organização.
Diferentes departamentos terão requisitos exclusivos que os sistemas de TI centralizados podem não atender totalmente. Shadow IT pode permitir que esses departamentos encontrem e implementem serviços especializados. Então, como você pode monitorar esses aplicativos para garantir que não está sacrificando a segurança?
Uma alternativa para restringir seu uso é implementar uma solução shadow IT para detectar e gerenciar aplicativos e seus riscos associados.
Uniqkey pode fazer isso e muito mais.
A chave para aproveitar o poder da Shadow IT é trazê-la para a luz. Como parte de nossa solução de gerenciamento de senhas empresariais, a Uniqkey oferece uma visão geral detalhada de todos os serviços da empresa, permitindo que sua organização:
A implementação de uma ferramenta shadow IT como o Uniqkey pode ajudá-lo a adaptar e atender aos requisitos tecnológicos em evolução, garantindo que você possa avaliar todos os aplicativos emergentes e sua compatibilidade com a infraestrutura existente.
Também publicado aqui .