Shadow IT

O que é shadow IT?

Shadow IT é a prática de usar hardware ou software em uma organização sem o conhecimento ou aprovação do departamento de TI dessa empresa. Conforme essas aplicações não sancionadas fogem do radar do departamento de TI, sua segurança permanece questionável, e elas têm o potencial de causar estragos na sua rede caso não forem detectados. Por isso que é importante descobrir a shadow IT.

Descoberta da shadow IT

A descoberta da shadow IT é o processo de detecção de serviços não autorizados em uso em uma organização. Detectar os serviços que estão sendo utilizados e a magnitude do seu uso ajuda os departamentos de TI a regular a shadow IT. Aqui estão algumas maneiras de detectar a shadow IT:

  • Pesquisas com funcionários:

    A realização periódica de pesquisas com funcionários pode ajudar os departamentos de TI a obter insights sobre os serviços não autorizados que estão sendo utilizados.

  • Análise de tráfego de rede:

    Os departamentos de TI podem monitorar o tráfego de rede para identificar aplicações e serviços em nuvem não autorizados que estão sendo utilizados na organização.

  • Detecção e resposta de endpoints (EDR):

    As ferramentas de EDR podem ser utilizadas para monitorar a atividade de endpoints visando detectar aplicações e serviços em nuvem não autorizados.

  • Borkers de segurança de acesso à nuvem (CASBs):

    Os CASBs podem ser utilizados para identificar e monitorar o uso de serviços de nuvem não autorizados.

Shadow IT na segurança cibernética

Os funcionários utilizam a shadow IT para aumentar a produtividade, mas raramente consideram as implicações para o administrador de TI ao fazer isso.

Do ponto de vista da segurança cibernética, estes serviços não autorizados podem não ter medidas de segurança adequadas, como criptografia, controles de acesso ou armazenamento seguro de dados. Isto pode levar à exposição de dados sensíveis a indivíduos não autorizados, incluindo criminosos cibernéticos.

Além disso, a falta de supervisão e controle sobre a shadow IT pode dificultar a detecção e resposta do departamento de TI a incidentes de segurança. Isso pode atrasar a resposta a incidentes e aumentar a probabilidade de perda de dados ou comprometimento do sistema.

Exemplos de shadow IT

A shadow IT pode assumir várias formas, com base na intenção do usuário. Algumas aplicações muito utilizadas incluem:

  •  
    Serviços na nuvem
    Serviços de armazenamento em nuvem como Google Drive ou Dropbox para armazenamento, compartilhamento ou colaboração de arquivos.
  •  
    Aplicações de mensagens
    Aplicações como Slack e Yammer, que são utilizadas para criar fóruns para discussões de negócios.
  •  
    Dispositivos pessoais
    Uso de celulares ou laptops pessoais vulneráveis para trabalho remoto.
  •  
    Aplicações de software
    Vários softwares podem ser utilizados para eliminar tarefas entediantes, agilizar fluxos de trabalho e aumentar a produtividade.
  •  
    Mídia social
    Aplicações como o LinkedIn para networking, prospecção ou qualquer tarefa profissional.

Por que as pessoas usam shadow IT?

De acordo com a G2, cerca de 35% dos funcionários sentem a necessidade de aplicações de shadow IT como solução alternativa. Aqui estão alguns motivos pelos quais as pessoas as utilizam:

  • Produtividade:

    Os funcionários utilizam as aplicações shadow IT para aumentar sua produtividade, pois sentem que as aplicações sancionadas da sua organização são muito restritivas.

  • Conveniência:

    Os funcionários estão acostumados com suas ferramentas preferidas e as selecionam em vez de uma ferramenta desconhecida.

  • Falta de suporte de TI:

    Os funcionários recorrem a aplicações de shadow IT quando o suporte de TI demora a responder ou é inadequado.

  • Falta de conscientização:

    A conscientização em torno da shadow IT e dos seus riscos é limitada. Cerca de uma em cada cinco organizações não tem uma política de shadow IT em vigor.

Políticas de shadow IT

As organizações têm testemunhado um aumento constante no trabalho remoto e nas políticas de BYOD, contribuindo para o aumento da shadow IT. Em 2020, o primeiro ano da pandemia de COVID-19, a shadow IT explodiu 59%. O uso crescente de serviços não autorizados torna fundamental que as organizações regulem a shadow IT. Uma política de shadow IT em toda a organização deve:

  • Definir explicitamente o que é considerado shadow IT.
  • Descrever as funções e responsabilidades de um funcionário quando se trata de usar a shadow IT.
  • Descrever como os funcionários devem reportar o uso de aplicações de shadow IT.
  • Indicar as consequências caso um funcionário não reportar o uso da shadow IT.
  • Descrever o processo de revisão e aprovação de novos serviços de tecnologia.

Soluções de shadow IT

Os funcionários estão adotando serviços de IA generativa, como ChatGPT e Bard, para diversas aplicações, desde a criação de conteúdo até a geração de trechos complexos de código. No entanto, o uso desses serviços geralmente ocorre sem o conhecimento das suas organizações, levando a um aumento na shadow IT. A Samsung supostamente proibiu sua equipe de usar ferramentas de IA generativa após funcionários vazarem dados acidentalmente via ChatGPT. Em todos os setores, as organizações devem fortalecer a sua infraestrutura de TI para enfrentar a shadow IT. Algumas medidas a serem consideradas incluem:

  •  
    Implementar políticas de shadow IT
    Contar com políticas rigorosas em toda a organização sobre o uso de dispositivos, software e serviços não autorizados pode ajudar os funcionários a tomar decisões fundamentadas sobre o uso da shadow IT.
  •  
    Aumentar a conscientização dos funcionários
    Cursos obrigatórios sobre shadow IT, seus riscos associados e conformidade podem educar os funcionários sobre suas responsabilidades.
  •  
    Adaptar-se à tecnologia
    Ferramentas como brokers de segurança de acesso à nuvem (CASBs) e resposta de detecção de endpoints (EDR) podem ajudar a detectar serviços não autorizados em uso na organização.
  •  
    Simplificar os fluxos de trabalho de aprovação
    Os departamentos de TI podem identificar as aplicações de shadow IT utilizadas com mais frequência, inspecioná-las em busca de ameaças potenciais e aprovar seu uso.

Utilizar o poder da nuvem com a Proteção da Nuvem

Com um CAGR de 17,9% e um tamanho de mercado estimado de US$ 1,2 trilhão até 2027, os serviços em nuvem vieram para ficar. Portanto, é hora do seu departamento de TI ser ágil para utilizar o poder da nuvem, enquanto permanece à prova de malware à espreita em sites inseguros. Seguir essas oito melhores práticas para segurança de aplicações em nuvem também pode melhorar sua postura de segurança cibernética.

A implantação de ferramentas como o DataSecurity Plus da ManageEngine com capacidades de Proteção da Nuvem pode ajudá-lo a:

  • Obter uma visão geral do uso de aplicações web na sua organização.
  • Descobrir quais aplicações sancionadas, não sancionadas e ocultas estão sendo utilizadas.
  • Detectar tentativas de acesso a sites banidos e ocultos.
  • Evitar que os funcionários acessem sites improdutivos, inseguros e inadequados.

Experimente o DataSecurity Plus e não deixe que a shadow IT ofusque a segurança da sua rede.

Teste gratuito de 30 dias!

Uma plataforma unificada de visibilidade e segurança de dados

  • Soluções
  • Conformidade regulatória
  • Recursos
  • Links Rápidos
  • Produtos relacionados