Embora a Shadow IT (ou a utilização de software, sistemas ou dispositivos sem a aprovação explícita da empresa) possa facilitar o trabalho de alguns funcionários, a prática também tem desvantagens significativas que as organizações precisam de resolver. Neste artigo, veremos o que é Shadow IT, por que é importante em termos de violações e vazamentos de dados e todas as etapas que sua equipe de TI pode tomar para minimizar seus efeitos – incluindo . Por último, uma vez que a shadow IT é algo inevitável), avaliaremos a possibilidade de aproveitar o seu potencial em vez de eliminá-lo completamente. o uso de ferramentas de detecção e monitoramento de Shadow IT O que é Shadow IT? ocorre quando funcionários ou departamentos adotam ou implantam tecnologias para atender às suas necessidades – mas não notificam a equipe de TI de que estão fazendo isso. Shadow IT Alguns incluem: não autorizado: exemplos comuns de shadow IT Aplicações de Software serviços em nuvem (como Dropbox) ferramentas de comunicação (como WhatsApp ou Trello) dispositivos pessoais para tarefas relacionadas ao trabalho. Por exemplo, pense em acessar uma conta pessoal do Dropbox, usar o Skype (quando a empresa possui WebEx) ou copiar arquivos de ou para um pen drive. Todos esses são casos de uso não autorizado de ferramentas digitais que poderiam colocar sua organização em risco caso fossem comprometidas. Por que Shadow IT ocorre nas empresas? Devido à rápida evolução das tecnologias de nuvem e do software como serviço (SaaS), a shadow IT tornou-se mais predominante e complexa nos últimos anos. Em muitos casos, as unidades de negócios também começaram a adotar novas aplicações de forma independente para impulsionar a transformação digital; por exemplo, programas de compartilhamento de arquivos, ferramentas de gerenciamento de projetos e serviços baseados em nuvem como os mencionados acima. O resultado? Entre dos gastos com TI em grandes empresas são shadow IT, com as empresas desperdiçando mais de em licenças e ferramentas SaaS desnecessárias. Além do mais, um relatório de 2023 mostrou que de todos os aplicativos SaaS são aplicativos não autorizados (ou aplicativos que o departamento de TI não aprovou). 30% e 40% US$ 135.000 por ano 65% Exemplos de Shadow IT Conforme explicado, Shadow IT refere-se ao uso de sistemas, dispositivos, software, aplicativos e serviços de TI sem a aprovação explícita do departamento de TI. Foi amplamente adotado em muitas organizações devido à sua flexibilidade e conveniência. No entanto, embora apresente certos riscos, também pode trazer benefícios quando gerido de forma adequada. Vejamos alguns exemplos para entender como Shadow IT está sendo utilizado: : com o advento da computação em nuvem, os funcionários estão usando cada vez mais serviços em nuvem de terceiros, como Google Drive, Dropbox ou OneDrive, para compartilhamento e colaboração de arquivos. Essas ferramentas fornecem acesso fácil aos dados de qualquer local e facilitam a colaboração, mas geralmente são usadas sem a supervisão do departamento de TI. Serviços em nuvem : Ferramentas como Slack, WhatsApp ou Microsoft Teams são frequentemente usadas pelos funcionários para comunicação rápida e informal. Essas plataformas podem melhorar a produtividade, permitindo comunicação instantânea. No entanto, também podem representar um risco de segurança se informações confidenciais forem compartilhadas sem criptografia ou protocolos de segurança adequados. Ferramentas de comunicação : os funcionários costumam usar seus dispositivos pessoais para trabalhar, conhecidos como Traga seu próprio dispositivo (BYOD). Embora isso possa melhorar a flexibilidade e o equilíbrio entre vida pessoal e profissional, também pode criar vulnerabilidades se esses dispositivos forem perdidos, roubados ou infectados por malware. Dispositivos pessoais : os funcionários podem baixar e instalar software que o departamento de TI não aprova. Isso pode variar de ferramentas de gerenciamento de projetos a software de design gráfico. Embora essas ferramentas possam ajudar na produtividade, elas também podem introduzir problemas de compatibilidade ou vulnerabilidades de segurança. Software não sancionado : além do software, Shadow IT também pode se estender a hardware como roteadores pessoais, dispositivos de armazenamento ou até mesmo servidores que os funcionários podem instalar para melhorar seu espaço de trabalho. Esses dispositivos podem representar sérios riscos de segurança se não forem configurados ou mantidos adequadamente. Hardware Riscos e desafios de segurança de TI oculta Shadow IT cria riscos de segurança graves e invisíveis para as organizações porque quando um funcionário usa ferramentas, aplicativos, serviços em nuvem ou dispositivos não autorizados, isso aumenta a chance de violações de segurança (na verdade, um estudo da IBM mostrou que dos entrevistados sofreram em pelo menos uma violação de dados da empresa onde dados confidenciais foram comprometidos). 83% Muitas dessas ferramentas também carecem de medidas de segurança robustas, como criptografia forte ou dependência de credenciais fracas ou padrão. Se a sua organização precisar trabalhar sob regulamentações e leis de proteção de dados específicas, como CCPA ou GDPR, a shadow IT também pode levar a violações de conformidade – especialmente se o seu departamento de TI não puder ver ou controlar os dados que estão sendo armazenados ou compartilhados. Sabemos, por exemplo, que de todos os ataques cibernéticos bem-sucedidos provém de dados armazenados em shadow IT. um terço Por último, a Shadow IT é muitas vezes difícil de integrar com a infraestrutura existente, algo que pode facilmente levar a problemas de compatibilidade, silos de dados, sistemas fragmentados, utilização ineficiente de recursos, custos descontrolados e redundância. Estatísticas mais recentes de Shadow IT Aqui estão algumas : estatísticas recentes e relevantes sobre Shadow IT 80% dos trabalhadores admitem usar aplicações SaaS sem obter aprovação de TI. O uso da nuvem Shadow IT é estimado em do uso conhecido da nuvem. 10 vezes o tamanho A empresa média possui . 975 serviços em nuvem desconhecidos A maioria das empresas possui mais de . 108 serviços em nuvem conhecidos 37% dos líderes de TI afirmam que para uma experiência digital eficaz dos funcionários. as políticas de segurança são o maior desafio Shadow IT é responsável por em grandes empresas. 30-40% dos gastos com TI 82% dos líderes de TI dizem que os usuários quando a administração tenta ditar quais ferramentas devem ser usadas. recuam introduziram as suas próprias ferramentas na sua organização. 67% dos trabalhadores 1 das empresas Fortune 1000 usa serviços em nuvem que a TI não aprovou. em cada 3 funcionários 53% das equipes a usar apenas ferramentas aprovadas por TI. se recusam Fonte: Mais de 124 estatísticas de segurança cibernética que os líderes de TI precisam saber em 2023 Estas estatísticas devem fornecer uma compreensão aprofundada da prevalência, dos riscos e dos desafios associados ao Shadow IT. Diferentes elementos de Shadow IT Shadow IT é um conceito multifacetado e pode ser dividido em diferentes elementos com base no tipo de tecnologia utilizada, na forma como é empregada e no motivo de sua utilização. Aqui estão alguns dos principais elementos do Shadow IT: : aplicativos SaaS são uma forma comum de Shadow IT. Eles são de fácil acesso e muitas vezes gratuitos ou disponíveis a baixo custo. Os exemplos incluem aplicativos de compartilhamento de arquivos como o Dropbox, ferramentas de produtividade como o Google Docs ou plataformas de comunicação como o Slack. Os funcionários podem usar essas ferramentas para sua conveniência e facilidade de uso, muitas vezes sem o conhecimento ou aprovação do departamento de TI. Software como serviço (SaaS) : inclui quaisquer dispositivos físicos usados sem o consentimento do departamento de TI, como laptops pessoais, smartphones ou tablets usados para fins de trabalho. Também pode incluir roteadores, servidores ou dispositivos de armazenamento configurados pelos funcionários para aprimorar seu espaço de trabalho. Hardware : são plataformas que permitem aos usuários desenvolver, executar e gerenciar aplicativos sem a necessidade de lidar com a infraestrutura subjacente. Os exemplos incluem Microsoft Azure, Google Cloud e AWS. Eles podem ser usados para criar aplicativos personalizados para atender necessidades específicas de negócios, muitas vezes ignorando os protocolos de TI. Plataformas como serviço (PaaS) : envolve o uso de recursos de computação virtualizados pela Internet, como máquinas virtuais, armazenamento ou redes. Os exemplos incluem AWS, Google Cloud e Microsoft Azure. Embora estes serviços ofereçam flexibilidade e escalabilidade, a sua utilização também pode levar a vulnerabilidades de segurança se não forem devidamente geridas. Infraestrutura como serviço (IaaS) : refere-se à prática dos funcionários usarem seus dispositivos pessoais para fins de trabalho. Embora isso possa aumentar a conveniência e a produtividade, também pode representar riscos de segurança se esses dispositivos forem perdidos, roubados ou infectados por malware. Traga seu próprio dispositivo (BYOD) : usar contas de e-mail pessoais para comunicação relacionada ao trabalho é outra forma de Shadow IT. Embora possa parecer inofensiva, esta prática pode levar ao vazamento de dados, dificultando o controle do fluxo de informações pela organização. E-mails e contas pessoais : Refere-se ao uso de provedores de serviços de TI ou consultores sem a aprovação ou conhecimento explícito do departamento de TI. Esses provedores podem não seguir as políticas de TI da empresa, levando a possíveis riscos de segurança e problemas de conformidade. Provedores de TI não aprovados Cada um desses elementos apresenta diferentes desafios e riscos para uma organização. No entanto, também representam maior produtividade, colaboração e oportunidades de inovação. A compreensão desses elementos pode ajudar as organizações a gerenciar o Shadow IT de maneira eficaz, aproveitando seus benefícios e, ao mesmo tempo, mitigando riscos potenciais. Como descobrir e gerenciar Shadow IT A melhor maneira de evitar esses problemas é identificar se sua organização está usando alguma TI paralela. Três práticas recomendadas que você deve considerar para fazer isso são políticas de governança, envolvimento do departamento de TI e educação dos funcionários. Vamos examinar rapidamente cada um com mais detalhes. : Sempre estabeleça políticas e diretrizes sobre o uso de recursos tecnológicos em sua empresa – e certifique-se de comunicar suas consequências com clareza. Políticas de governança : tente incentivar a comunicação aberta e a colaboração entre os funcionários e o departamento de TI. Você pode fazer isso promovendo um ambiente onde os funcionários se sintam confortáveis em abordar a TI com suas necessidades e desafios tecnológicos. Engajamento do departamento de TI : não se esqueça de realizar sessões regulares de treinamento e campanhas de conscientização para educar os funcionários sobre os riscos associados à Shadow IT. Educação e conscientização dos funcionários O Chief Information Officer (CIO) e as equipes de TI desempenham um papel crucial no gerenciamento da shadow IT. Por um lado, o CIO pode fornecer liderança estratégica, definindo políticas, procedimentos e estruturas. Eles podem trabalhar junto com a equipe de TI para garantir que os recursos tecnológicos sejam usados de forma controlada e compatível. Custos e consequências de Shadow IT O custo do Shadow IT pode ser bastante significativo e vai além do aspecto financeiro. Apesar de anos de iniciativas de modernização, ainda enfrentam esta questão tradicional. Software, serviços e equipamentos não verificados podem potencialmente introduzir uma série de vulnerabilidades, pontos de entrada para malfeitores e malware, representando assim um risco de segurança considerável. os CISOs Considere os números do Gartner, que descobriu que 41% dos funcionários adquiriram, modificaram ou criaram tecnologia fora da visibilidade da TI em 2022, e espera-se que esse número suba para 75% até 2027. Enquanto isso, a pesquisa shadow IT e gerenciamento de projetos de 2023 da Capterra descobriram que 57% das pequenas e médias empresas tiveram esforços de shadow IT de alto impacto ocorrendo fora do alcance de seus departamentos de TI. Embora ofereça benefícios de flexibilidade e conveniência ao usuário, a shadow IT também acarreta custos significativos dos quais as organizações devem estar cientes. Esses custos podem ser amplamente categorizados em custos diretos e indiretos. Custos diretos: : sem supervisão e controle adequados, os funcionários podem assinar serviços redundantes ou adquirir mais licenças do que o necessário, levando a gastos desnecessários. Por exemplo, diferentes equipas podem subscrever ferramentas de gestão de projetos semelhantes, criando custos desnecessários. Despesas desnecessárias : Shadow IT geralmente leva a problemas de compatibilidade e aumento de solicitações de suporte. O departamento de TI deve gastar tempo e recursos solucionando problemas relacionados a software ou hardware não aprovado. Aumento do suporte de TI : Shadow IT pode resultar em vulnerabilidades de segurança que os cibercriminosos podem explorar. O custo de uma violação de dados pode ser enorme, considerando as penalidades financeiras, a perda de confiança do cliente e os danos à reputação da empresa. Violações de segurança Custos indiretos: : os funcionários que usam ferramentas não aprovadas ou sem suporte podem enfrentar problemas de compatibilidade ou falhas inesperadas de software. Isto pode levar a uma perda de produtividade, pois os funcionários lutam para corrigir esses problemas, em vez de se concentrarem nas suas tarefas principais. Perda de produtividade : muitos setores possuem regulamentações rígidas para gerenciamento e privacidade de dados. O uso de Shadow IT pode levar a violações de conformidade, resultando em multas pesadas e questões legais. Riscos de conformidade : Shadow IT pode fazer com que os dados sejam armazenados em locais não seguros, aumentando o risco de perda de dados. O custo de recuperação de dados perdidos pode ser elevado e, em alguns casos, os dados podem ser irrecuperáveis. Perda de dados Embora os custos do Shadow IT possam ser significativos, é importante lembrar que o Shadow IT surge frequentemente da necessidade de ferramentas melhores ou de processos mais eficientes. As organizações devem se concentrar no gerenciamento eficaz do Shadow IT, em vez de tentar . eliminá-lo Dicas para proteção de Shadow IT Estabelecemos que a Shadow IT apresenta alguns desafios vitais de segurança e conformidade. Portanto, a implementação de medidas eficazes é crucial. Aqui estão algumas dicas práticas para proteção contra riscos de Shadow IT: Crie um processo de aprovação e provisionamento para novos softwares ou tecnologias. Realize sessões regulares de treinamento e programas de conscientização para educar os funcionários. Implemente procedimentos rigorosos de aquisição de software e auditorias regulares de rede. Desenvolva políticas e diretrizes tecnológicas abrangentes. Gerencie a shadow IT de uma forma que dê controle à TI e permita que os funcionários continuem tendo a liberdade de adotar novas ferramentas. Mantenha as soluções de segurança cibernética da sua organização atualizadas. Certifique-se de que os controles de acesso estejam em vigor para sistemas, aplicativos e dados críticos. Benefícios da Shadow IT Embora a Shadow IT possa abrir a porta para muitos riscos de segurança, é importante lembrar que ela pode beneficiar potencialmente a sua organização. A chave está em aproveitar o seu poder, em vez de eliminá-lo completamente. Lembre-se de que a Shadow IT pode permitir que os funcionários adotem e utilizem rapidamente ferramentas e tecnologias que atendam às suas necessidades específicas. Eles podem, por exemplo, experimentar ferramentas inovadoras que não estavam originalmente no roteiro da sua organização. Diferentes departamentos terão requisitos exclusivos que os sistemas de TI centralizados podem não atender totalmente. Shadow IT pode permitir que esses departamentos encontrem e implementem serviços especializados. Então, como você pode monitorar esses aplicativos para garantir que não está sacrificando a segurança? Uma ferramenta simples para monitorar Shadow IT Uma alternativa para restringir seu uso é implementar uma para detectar e gerenciar aplicativos e seus riscos associados. solução shadow IT pode fazer isso e muito mais. Uniqkey A chave para aproveitar o poder da Shadow IT é trazê-la para a luz. Como parte de nossa solução de gerenciamento de senhas empresariais, a Uniqkey oferece uma visão geral detalhada de todos os serviços da empresa, permitindo que sua organização: Saiba quais serviços seus funcionários estão utilizando; monitorar e descobrir shadow IT em sua organização. Identifique potenciais pontos fracos de segurança, identificando vulnerabilidades e seu impacto potencial em suas atividades comerciais. Economize dinheiro em licenças inativas. A implementação de como o Uniqkey pode ajudá-lo a adaptar e atender aos requisitos tecnológicos em evolução, garantindo que você possa avaliar todos os aplicativos emergentes e sua compatibilidade com a infraestrutura existente. uma ferramenta shadow IT Também publicado . aqui
![featured image - Shadow IT explicado: um guia abrangente [com estatísticas]](https://hackernoon.imgix.net/images/tnrfNPIoTcZZdYTglB3OkwHgUGr1-5493vrb.jpeg?auto=format&fit=max&w=3840)
