Conhecido no Brasil como TI Invisível, o shadow IT é um termo que está ganhando cada vez mais atenção. É uma prática que está ficando mais comum no mundo corporativo das pequenas, médias e grandes empresas, de modo especial podemos citar os SaaS, que estão cada vez mais próximos dos usuários, e que são os grandes impulsionadores da TI invisível.
A era digital em que estamos vivendo, é a evolução das tecnologias e de modo especial da internet. Hoje, tudo é mais dinâmico, fácil, interativo e rápido. Uma notícia postada nas redes sociais, por exemplo, ganha o mundo com muita velocidade. Essa evolução trouxe novos serviços e facilidades, uma dimensão que não conhecíamos, que hoje passamos a utilizar e que já faz parte do nosso dia-a-dia nas empresas e na vida pessoal. A tecnologia se tornou tão banal que não é preciso ser um expert em computadores ou um especialista na área de TI para utilizar um computador e seus recursos.
E ainda ficou mais fácil interagir no mundo tecnológico com o desenvolvimento massivo de softwares como serviços (SaaS), uma modalidade de cloud em que você não precisa instalar o programa em seu computador para utilizá-lo, ou seja, você faz um cadastro na plataforma e, na maioria das vezes, o software já está pronto para uso. Por ser simples de usar e na maioria das vezes ter uma versão gratuita, o SaaS se popularizou rapidamente principalmente nas empresas, e essa popularidade está deixando as áreas mais independentes no que tange tecnologia.
Essa independência tecnológica dos setores empresariais demonstra como os recursos tecnológicos estão ficando cada vez mais fáceis de serem usados, o problema é que essa simplicidade de usar os serviços em nuvem abrem uma brecha para que quaisquer pessoas possam utilizá-los e, na maioria das vezes, sem o conhecimento e consentimento da área de TI. O uso de aplicativos sem o devido conhecimento do setor de TI ou sem estar no sistema de gestão de segurança da informação é o que chamamos de Shadow IT, TI das sombras ou ainda TI invisível, como é conhecido no Brasil.
Segundo o Gartner, Shadow IT refers to IT devices, software and services outside the ownership or control of IT organizations. Traduzindo, Shadow IT refere-se a dispositivos de TI, software e serviços fora da propriedade ou controle das organizações e da TI.
Essa falta de controle reflete diretamente na Segurança da Informação da organização, nos seus processos e monitoramentos e pode gerar vulnerabilidades que não foram mapeadas na gestão de risco e, portanto, são invisíveis aos olhos do sistema de segurança da informação.
O SGSI – Sistema de Gestão de Segurança da Informação – que engloba toda a empresa no seu contexto interno e externo e determina como as informações devem ser tratadas, disponibilizadas e guardadas pelos funcionários, fornecedores e prestadores de serviços a fim de proteger as informações de possíveis ameaças e com o objetivo de assegurar a continuidade do negócio, minimizando os riscos e maximizando o retorno sobre os investimentos e as oportunidades, é responsável também por mapear as ameaças e determinar as ações a serem tomadas em um possível incidente de segurança. Dessa forma, como o shadow IT percorre pelo lado de fora do SGSI, ele não é visto pela política de segurança e também não é considerado nos gerenciamentos de segurança da informação.
É possível dividir shadow IT em duas vertentes: O PRODUTIVO e o INDESEJADO. Os dois são invisíveis à TI mas um pode ser benéfico se for utilizado da forma correta e outro extremamente danoso, uma vez que não há controle.
A utilização de software baseados na web pelas áreas da empresa, sem o conhecimento da TI, podemos chamar de shadow IT PRODUTIVO. Ou seja, os funcionários utilizam-se de softwares baseados em nuvem para melhorar sua produtividade e atender aos prazos estipulados. Utilizam repositórios on-line para armazenar seus arquivos, fazem relatórios com processadores de texto na web, ou ainda editam documentos usando ferramenta on-line, tudo isso são práticas que veem ganhando cada vez mais espaço nas empresas.
Um estudo feito pela McAfee revelou que mais de 80% dos entrevistados admitem usar aplicativos em nuvem sem o conhecimento da empresa. Esse mesmo estudo demonstrou que em média 15% dos usuários sofreram algum problema de segurança ao usar um aplicativo baseado em nuvem. O estudo completo encomendado pela McAfee e conduzido pela Stratecast pode ser acessado em:
(digitaltransformation.frost.com/files/4313/9300/1515/rp-six-trends-security.pdf).
A utilização desses recursos pelos profissionais das empresas geralmente não é interpretado como algo errado, para eles o uso desses serviços são soluções para adicionar produtividades na vida profissional. E realmente não é algo a ser condenado, muito pelo contrário, deve ser amplamente utilizado. Mas para isso é necessário que todos os serviços sejam comunicados às áreas da TI e que estejam previstos no SGSI.
Agora, temos o outro lado do shadow IT, quando ele é INDESEJADO. Baixar um software da web e instalar no computador parece algo simples, mas pode ser extremamente danoso para uma empresa, ou ainda, trazer um software de casa em um Pen drive e instalá-lo no computador da empresa é também uma condição incorreta a ser feita.
O problema não é um software baixado, mas sim de onde ele é baixado. Se o download for feito do site do desenvolvedor o problema é menor, mas isso dificilmente acontece. O que geralmente é procurado são programas que necessitam de licenças para utilização e para isso existem sites “especializados” que disponibilizam vários e vários softwares para download e já com a licença (crack). Realmente esses softwares baixados funcionam perfeitamente, o problema é identificar que tipo de praga virtual trazem consigo. De nada adianta implantar um SGSI com controles, procedimentos e normas para mitigar possíveis ocorrências de segurança e isso ocorrer de dentro da empresa pelo elo mais vulnerável: o ser humano.
A instalação ou utilização de softwares sem aprovação prévia (shadow IT), podem acarretar em problemas de conectividade e segurança, mas proibir a utilização é engessar as áreas de uma empresa.
Hoje a área de TI está deixando de ser operacional para ser gerencial, ou seja, não é ela quem está escolhendo qual software um setor específico utilizará, isso fica a cargo do próprio setor. A TI está gerenciando o processo, desenvolvendo os procedimentos e verificando se aquele software em questão não está comprometendo a CID (Confidencialidade, Integridade e Disponibilidade) das informações da empresa, dessa forma está mitigando possíveis incidentes de segurança devido a aplicações que antes eram invisíveis.
É fundamental que as empresas conscientizem seus funcionários, com treinamentos constantes, sobre os princípios da segurança da informação para que a utilização de softwares não catalogados pela área de TI sejam reduzidos. O que outrora era invisível, deve passar a integrar o SGSI.
7 Comentários
Simples e direto. Obrigado por compartilhar.
Muito obrigado Sergio.
Ótimo texto. Bem direto.
Obrigado Rodrigo.
Texto elucidativo, prático, orientador e cirúrgico, atingiu o público que procurou lê-lo. Parabéns!
Obrigado Eliézer
Pingback: Shadow IT: Está acontecendo neste momento na sua empresa e você deveria se preocupar – 4UIT Soluções em TI