paint-brush
Shadow IT explicado: um guia abrangente [com estatísticas]por@uniqkey
546 leituras
546 leituras

Shadow IT explicado: um guia abrangente [com estatísticas]

por Uniqkey10m2023/08/25
Read on Terminal Reader

Muito longo; Para ler

"Shadow IT" refere-se a sistemas e soluções de TI construídos e usados dentro de organizações sem aprovação organizacional explícita. Muitas vezes é impulsionado por departamentos ou indivíduos que procuram melhorar a eficiência sem passar pelos canais formais. Embora possa levar à inovação e à agilidade, também apresenta riscos significativos de segurança e conformidade. Este guia aprofunda o conceito, apoiado por estatísticas relevantes, destacando tanto os seus benefícios como os seus potenciais inconvenientes.
featured image - Shadow IT explicado: um guia abrangente [com estatísticas]
Uniqkey HackerNoon profile picture
0-item


Embora a Shadow IT (ou a utilização de software, sistemas ou dispositivos sem a aprovação explícita da empresa) possa facilitar o trabalho de alguns funcionários, a prática também tem desvantagens significativas que as organizações precisam de resolver.


Neste artigo, veremos o que é Shadow IT, por que é importante em termos de violações e vazamentos de dados e todas as etapas que sua equipe de TI pode tomar para minimizar seus efeitos – incluindo o uso de ferramentas de detecção e monitoramento de Shadow IT . Por último, uma vez que a shadow IT é algo inevitável), avaliaremos a possibilidade de aproveitar o seu potencial em vez de eliminá-lo completamente.

O que é Shadow IT?

Shadow IT ocorre quando funcionários ou departamentos adotam ou implantam tecnologias para atender às suas necessidades – mas não notificam a equipe de TI de que estão fazendo isso.


Alguns exemplos comuns de shadow IT incluem: não autorizado:


  • Aplicações de Software
  • serviços em nuvem (como Dropbox)
  • ferramentas de comunicação (como WhatsApp ou Trello)
  • dispositivos pessoais para tarefas relacionadas ao trabalho.


Por exemplo, pense em acessar uma conta pessoal do Dropbox, usar o Skype (quando a empresa possui WebEx) ou copiar arquivos de ou para um pen drive.

Todos esses são casos de uso não autorizado de ferramentas digitais que poderiam colocar sua organização em risco caso fossem comprometidas.

Por que Shadow IT ocorre nas empresas?

Devido à rápida evolução das tecnologias de nuvem e do software como serviço (SaaS), a shadow IT tornou-se mais predominante e complexa nos últimos anos.

Em muitos casos, as unidades de negócios também começaram a adotar novas aplicações de forma independente para impulsionar a transformação digital; por exemplo, programas de compartilhamento de arquivos, ferramentas de gerenciamento de projetos e serviços baseados em nuvem como os mencionados acima.


O resultado? Entre 30% e 40% dos gastos com TI em grandes empresas são shadow IT, com as empresas desperdiçando mais de US$ 135.000 por ano em licenças e ferramentas SaaS desnecessárias. Além do mais, um relatório de 2023 mostrou que 65% de todos os aplicativos SaaS são aplicativos não autorizados (ou aplicativos que o departamento de TI não aprovou).

Exemplos de Shadow IT

Conforme explicado, Shadow IT refere-se ao uso de sistemas, dispositivos, software, aplicativos e serviços de TI sem a aprovação explícita do departamento de TI. Foi amplamente adotado em muitas organizações devido à sua flexibilidade e conveniência. No entanto, embora apresente certos riscos, também pode trazer benefícios quando gerido de forma adequada.


Vejamos alguns exemplos para entender como Shadow IT está sendo utilizado:


Serviços em nuvem : com o advento da computação em nuvem, os funcionários estão usando cada vez mais serviços em nuvem de terceiros, como Google Drive, Dropbox ou OneDrive, para compartilhamento e colaboração de arquivos. Essas ferramentas fornecem acesso fácil aos dados de qualquer local e facilitam a colaboração, mas geralmente são usadas sem a supervisão do departamento de TI.


Ferramentas de comunicação : Ferramentas como Slack, WhatsApp ou Microsoft Teams são frequentemente usadas pelos funcionários para comunicação rápida e informal. Essas plataformas podem melhorar a produtividade, permitindo comunicação instantânea. No entanto, também podem representar um risco de segurança se informações confidenciais forem compartilhadas sem criptografia ou protocolos de segurança adequados.


Dispositivos pessoais : os funcionários costumam usar seus dispositivos pessoais para trabalhar, conhecidos como Traga seu próprio dispositivo (BYOD). Embora isso possa melhorar a flexibilidade e o equilíbrio entre vida pessoal e profissional, também pode criar vulnerabilidades se esses dispositivos forem perdidos, roubados ou infectados por malware.


Software não sancionado : os funcionários podem baixar e instalar software que o departamento de TI não aprova. Isso pode variar de ferramentas de gerenciamento de projetos a software de design gráfico. Embora essas ferramentas possam ajudar na produtividade, elas também podem introduzir problemas de compatibilidade ou vulnerabilidades de segurança.


Hardware : além do software, Shadow IT também pode se estender a hardware como roteadores pessoais, dispositivos de armazenamento ou até mesmo servidores que os funcionários podem instalar para melhorar seu espaço de trabalho. Esses dispositivos podem representar sérios riscos de segurança se não forem configurados ou mantidos adequadamente.

Riscos e desafios de segurança de TI oculta

Shadow IT cria riscos de segurança graves e invisíveis para as organizações porque quando um funcionário usa ferramentas, aplicativos, serviços em nuvem ou dispositivos não autorizados, isso aumenta a chance de violações de segurança (na verdade, um estudo da IBM mostrou que 83% dos entrevistados sofreram em pelo menos uma violação de dados da empresa onde dados confidenciais foram comprometidos).


Muitas dessas ferramentas também carecem de medidas de segurança robustas, como criptografia forte ou dependência de credenciais fracas ou padrão.


Se a sua organização precisar trabalhar sob regulamentações e leis de proteção de dados específicas, como CCPA ou GDPR, a shadow IT também pode levar a violações de conformidade – especialmente se o seu departamento de TI não puder ver ou controlar os dados que estão sendo armazenados ou compartilhados. Sabemos, por exemplo, que um terço de todos os ataques cibernéticos bem-sucedidos provém de dados armazenados em shadow IT.


Por último, a Shadow IT é muitas vezes difícil de integrar com a infraestrutura existente, algo que pode facilmente levar a problemas de compatibilidade, silos de dados, sistemas fragmentados, utilização ineficiente de recursos, custos descontrolados e redundância.

Estatísticas mais recentes de Shadow IT

Aqui estão algumas estatísticas recentes e relevantes sobre Shadow IT :


Estatísticas de Shadow IT

  • 80% dos trabalhadores admitem usar aplicações SaaS sem obter aprovação de TI.
  • O uso da nuvem Shadow IT é estimado em 10 vezes o tamanho do uso conhecido da nuvem.
  • A empresa média possui 975 serviços em nuvem desconhecidos .
  • A maioria das empresas possui mais de 108 serviços em nuvem conhecidos .
  • 37% dos líderes de TI afirmam que as políticas de segurança são o maior desafio para uma experiência digital eficaz dos funcionários.
  • Shadow IT é responsável por 30-40% dos gastos com TI em grandes empresas.
  • 82% dos líderes de TI dizem que os usuários recuam quando a administração tenta ditar quais ferramentas devem ser usadas.
  • 67% dos trabalhadores introduziram as suas próprias ferramentas na sua organização.
  • 1 em cada 3 funcionários das empresas Fortune 1000 usa serviços em nuvem que a TI não aprovou.
  • 53% das equipes se recusam a usar apenas ferramentas aprovadas por TI.


Fonte: Mais de 124 estatísticas de segurança cibernética que os líderes de TI precisam saber em 2023


Estas estatísticas devem fornecer uma compreensão aprofundada da prevalência, dos riscos e dos desafios associados ao Shadow IT.

Diferentes elementos de Shadow IT

Shadow IT é um conceito multifacetado e pode ser dividido em diferentes elementos com base no tipo de tecnologia utilizada, na forma como é empregada e no motivo de sua utilização. Aqui estão alguns dos principais elementos do Shadow IT:


  1. Software como serviço (SaaS) : aplicativos SaaS são uma forma comum de Shadow IT. Eles são de fácil acesso e muitas vezes gratuitos ou disponíveis a baixo custo. Os exemplos incluem aplicativos de compartilhamento de arquivos como o Dropbox, ferramentas de produtividade como o Google Docs ou plataformas de comunicação como o Slack. Os funcionários podem usar essas ferramentas para sua conveniência e facilidade de uso, muitas vezes sem o conhecimento ou aprovação do departamento de TI.
  2. Hardware : inclui quaisquer dispositivos físicos usados ​​sem o consentimento do departamento de TI, como laptops pessoais, smartphones ou tablets usados ​​para fins de trabalho. Também pode incluir roteadores, servidores ou dispositivos de armazenamento configurados pelos funcionários para aprimorar seu espaço de trabalho.
  3. Plataformas como serviço (PaaS) : são plataformas que permitem aos usuários desenvolver, executar e gerenciar aplicativos sem a necessidade de lidar com a infraestrutura subjacente. Os exemplos incluem Microsoft Azure, Google Cloud e AWS. Eles podem ser usados ​​para criar aplicativos personalizados para atender necessidades específicas de negócios, muitas vezes ignorando os protocolos de TI.
  4. Infraestrutura como serviço (IaaS) : envolve o uso de recursos de computação virtualizados pela Internet, como máquinas virtuais, armazenamento ou redes. Os exemplos incluem AWS, Google Cloud e Microsoft Azure. Embora estes serviços ofereçam flexibilidade e escalabilidade, a sua utilização também pode levar a vulnerabilidades de segurança se não forem devidamente geridas.
  5. Traga seu próprio dispositivo (BYOD) : refere-se à prática dos funcionários usarem seus dispositivos pessoais para fins de trabalho. Embora isso possa aumentar a conveniência e a produtividade, também pode representar riscos de segurança se esses dispositivos forem perdidos, roubados ou infectados por malware.
  6. E-mails e contas pessoais : usar contas de e-mail pessoais para comunicação relacionada ao trabalho é outra forma de Shadow IT. Embora possa parecer inofensiva, esta prática pode levar ao vazamento de dados, dificultando o controle do fluxo de informações pela organização.
  7. Provedores de TI não aprovados : Refere-se ao uso de provedores de serviços de TI ou consultores sem a aprovação ou conhecimento explícito do departamento de TI. Esses provedores podem não seguir as políticas de TI da empresa, levando a possíveis riscos de segurança e problemas de conformidade.


Cada um desses elementos apresenta diferentes desafios e riscos para uma organização. No entanto, também representam maior produtividade, colaboração e oportunidades de inovação. A compreensão desses elementos pode ajudar as organizações a gerenciar o Shadow IT de maneira eficaz, aproveitando seus benefícios e, ao mesmo tempo, mitigando riscos potenciais.

Como descobrir e gerenciar Shadow IT

A melhor maneira de evitar esses problemas é identificar se sua organização está usando alguma TI paralela. Três práticas recomendadas que você deve considerar para fazer isso são políticas de governança, envolvimento do departamento de TI e educação dos funcionários. Vamos examinar rapidamente cada um com mais detalhes.


  • Políticas de governança : Sempre estabeleça políticas e diretrizes sobre o uso de recursos tecnológicos em sua empresa – e certifique-se de comunicar suas consequências com clareza.
  • Engajamento do departamento de TI : tente incentivar a comunicação aberta e a colaboração entre os funcionários e o departamento de TI. Você pode fazer isso promovendo um ambiente onde os funcionários se sintam confortáveis ​​em abordar a TI com suas necessidades e desafios tecnológicos.
  • Educação e conscientização dos funcionários : não se esqueça de realizar sessões regulares de treinamento e campanhas de conscientização para educar os funcionários sobre os riscos associados à Shadow IT.


O Chief Information Officer (CIO) e as equipes de TI desempenham um papel crucial no gerenciamento da shadow IT. Por um lado, o CIO pode fornecer liderança estratégica, definindo políticas, procedimentos e estruturas. Eles podem trabalhar junto com a equipe de TI para garantir que os recursos tecnológicos sejam usados ​​de forma controlada e compatível.

Custos e consequências de Shadow IT

O custo do Shadow IT pode ser bastante significativo e vai além do aspecto financeiro. Apesar de anos de iniciativas de modernização, os CISOs ainda enfrentam esta questão tradicional. Software, serviços e equipamentos não verificados podem potencialmente introduzir uma série de vulnerabilidades, pontos de entrada para malfeitores e malware, representando assim um risco de segurança considerável.


Considere os números do Gartner, que descobriu que 41% dos funcionários adquiriram, modificaram ou criaram tecnologia fora da visibilidade da TI em 2022, e espera-se que esse número suba para 75% até 2027. Enquanto isso, a pesquisa shadow IT e gerenciamento de projetos de 2023 da Capterra descobriram que 57% das pequenas e médias empresas tiveram esforços de shadow IT de alto impacto ocorrendo fora do alcance de seus departamentos de TI.


Embora ofereça benefícios de flexibilidade e conveniência ao usuário, a shadow IT também acarreta custos significativos dos quais as organizações devem estar cientes. Esses custos podem ser amplamente categorizados em custos diretos e indiretos.

Custos diretos:

  1. Despesas desnecessárias : sem supervisão e controle adequados, os funcionários podem assinar serviços redundantes ou adquirir mais licenças do que o necessário, levando a gastos desnecessários. Por exemplo, diferentes equipas podem subscrever ferramentas de gestão de projetos semelhantes, criando custos desnecessários.
  2. Aumento do suporte de TI : Shadow IT geralmente leva a problemas de compatibilidade e aumento de solicitações de suporte. O departamento de TI deve gastar tempo e recursos solucionando problemas relacionados a software ou hardware não aprovado.
  3. Violações de segurança : Shadow IT pode resultar em vulnerabilidades de segurança que os cibercriminosos podem explorar. O custo de uma violação de dados pode ser enorme, considerando as penalidades financeiras, a perda de confiança do cliente e os danos à reputação da empresa.

Custos indiretos:

  1. Perda de produtividade : os funcionários que usam ferramentas não aprovadas ou sem suporte podem enfrentar problemas de compatibilidade ou falhas inesperadas de software. Isto pode levar a uma perda de produtividade, pois os funcionários lutam para corrigir esses problemas, em vez de se concentrarem nas suas tarefas principais.
  2. Riscos de conformidade : muitos setores possuem regulamentações rígidas para gerenciamento e privacidade de dados. O uso de Shadow IT pode levar a violações de conformidade, resultando em multas pesadas e questões legais.
  3. Perda de dados : Shadow IT pode fazer com que os dados sejam armazenados em locais não seguros, aumentando o risco de perda de dados. O custo de recuperação de dados perdidos pode ser elevado e, em alguns casos, os dados podem ser irrecuperáveis.


Embora os custos do Shadow IT possam ser significativos, é importante lembrar que o Shadow IT surge frequentemente da necessidade de ferramentas melhores ou de processos mais eficientes. As organizações devem se concentrar no gerenciamento eficaz do Shadow IT, em vez de tentar eliminá-lo .

Dicas para proteção de Shadow IT

Estabelecemos que a Shadow IT apresenta alguns desafios vitais de segurança e conformidade. Portanto, a implementação de medidas eficazes é crucial.


Aqui estão algumas dicas práticas para proteção contra riscos de Shadow IT:


  • Crie um processo de aprovação e provisionamento para novos softwares ou tecnologias.
  • Realize sessões regulares de treinamento e programas de conscientização para educar os funcionários.
  • Implemente procedimentos rigorosos de aquisição de software e auditorias regulares de rede.
  • Desenvolva políticas e diretrizes tecnológicas abrangentes.
  • Gerencie a shadow IT de uma forma que dê controle à TI e permita que os funcionários continuem tendo a liberdade de adotar novas ferramentas.
  • Mantenha as soluções de segurança cibernética da sua organização atualizadas.
  • Certifique-se de que os controles de acesso estejam em vigor para sistemas, aplicativos e dados críticos.

Benefícios da Shadow IT

Embora a Shadow IT possa abrir a porta para muitos riscos de segurança, é importante lembrar que ela pode beneficiar potencialmente a sua organização. A chave está em aproveitar o seu poder, em vez de eliminá-lo completamente.


Lembre-se de que a Shadow IT pode permitir que os funcionários adotem e utilizem rapidamente ferramentas e tecnologias que atendam às suas necessidades específicas. Eles podem, por exemplo, experimentar ferramentas inovadoras que não estavam originalmente no roteiro da sua organização.


Diferentes departamentos terão requisitos exclusivos que os sistemas de TI centralizados podem não atender totalmente. Shadow IT pode permitir que esses departamentos encontrem e implementem serviços especializados. Então, como você pode monitorar esses aplicativos para garantir que não está sacrificando a segurança?

Uma ferramenta simples para monitorar Shadow IT

Uma alternativa para restringir seu uso é implementar uma solução shadow IT para detectar e gerenciar aplicativos e seus riscos associados.


Uniqkey pode fazer isso e muito mais.


A chave para aproveitar o poder da Shadow IT é trazê-la para a luz. Como parte de nossa solução de gerenciamento de senhas empresariais, a Uniqkey oferece uma visão geral detalhada de todos os serviços da empresa, permitindo que sua organização:


  • Saiba quais serviços seus funcionários estão utilizando; monitorar e descobrir shadow IT em sua organização.
  • Identifique potenciais pontos fracos de segurança, identificando vulnerabilidades e seu impacto potencial em suas atividades comerciais.
  • Economize dinheiro em licenças inativas.


A implementação de uma ferramenta shadow IT como o Uniqkey pode ajudá-lo a adaptar e atender aos requisitos tecnológicos em evolução, garantindo que você possa avaliar todos os aplicativos emergentes e sua compatibilidade com a infraestrutura existente.


Também publicado aqui .