A briga contra a ‘shadow IT’ em 2023
Ter visibilidade de qualquer coisa relacionada à TI é sempre difícil, mas um antigo inimigo, a shadow IT, continua sendo um grande problema
O cerne da tomada de decisões estratégicas de TI depende do que se supõe ser um mapa de dados global preciso e completo, juntamente com um mapa de ativos igualmente correto e abrangente. Infelizmente, nenhuma empresa tem isso hoje e, para ser sincero, provavelmente nunca teve.
Sempre há problemas para obter visibilidade total hoje em qualquer coisa relacionada à TI, mas como o ambiente corporativo mudou nos últimos anos, o antigo inimigo da TI, a shadow IT, ainda é um fator importante.
Este problema piorou muito nos últimos anos devido a vários problemas. Além do crescimento de dispositivos IoT e OT e parceiros e clientes ganhando privilégios de rede, a maior mudança é a avalanche de escritórios domésticos e a falta de consistência ou padrões nesses locais remotos. Os roteadores podem ser de qualquer fornecedor e associados a qualquer operadora. Os firewalls de hardware podem ou não existir – e podem ou não ser corrigidos, se existirem. A maioria das LANs são do velho oeste, com acesso concedido a qualquer pessoa (como, talvez, o namorado da filha adolescente do funcionário).
Além dos problemas de hardware, software e dispositivos, a própria ideia de shadow IT não significa mais o que significava uma década atrás. A definição original significava um funcionário ou prestador de serviço que cuidava da TI comprando tecnologia em outro lugar, como comprar um roteador da Target ou obter espaço na nuvem da Amazon, Microsoft ou Google. O motivo típico geralmente era a falta de paciência da TI para responder e atender a uma solicitação. É mais fácil para um colaborador apenas retirar um cartão Visa e obter o que precisa em poucos minutos.
Leia também: Prepare-se para IA generativa com experimentação e diretrizes claras
Como deve ser chamado quando um fornecedor adiciona algo a um sistema e não o menciona? Isso aconteceu com um grande fabricante quando uma peça muito grande e cara de um equipamento de linha de montagem – algo que a empresa vinha comprando consistentemente do mesmo fornecedor por muitas décadas – começou a apresentar problemas de funcionamento. Enquanto esperavam pelo pessoal de reparo do fornecedor, os trabalhadores removeram um painel e descobriram microfones com pequenas antenas conectadas. Acontece que o fornecedor adicionou dispositivos IoT com a última atualização e não mencionou a mudança a nenhum cliente.
Isso significava que havia hardware IoT no chão de fábrica sobre o qual a TI corporativa não sabia nada. Isso é shadow IT? E quando o pessoal de manutenção das instalações começa a comprar lâmpadas IoT ou fechaduras sem permissão da TI ou do pessoal de segurança?
Aqui está o meu favorito: e quando um parceiro estratégico de negócios exige determinados sistemas, software ou dispositivos?
“A TI está descobrindo pessoas usando VPNs, armazenamento em nuvem e outros serviços exigidos por seus parceiros, mas não aprovados pela organização, pois as parcerias envolvem mais conexões digitais”, disse Bob Hansmann, Gerente Sênior de Marketing de Produto para Segurança da Infoblox.
Os funcionários de uma empresa devem relatar isso à TI? Esse parceiro deveria? Você adivinhou: ninguém relata isso para a TI e, no entanto, lá está, acessando e interagindo com propriedade intelectual corporativa sensível. Essa interação com o parceiro em particular é shadow IT?
Pior ainda, o que deveria acontecer quando a empresa e o parceiro têm políticas opostas? Por exemplo, e se o empregador de um usuário final insistir em usar o Google Drive – e proibir o Microsoft ou o DropBox? E a equipe do parceiro insiste que todos usem o DropBox para um projeto porque a TI deles proíbe o Google? Essas regras podem estar em vigor por motivos de segurança, conformidade ou até mesmo motivos competitivos, tal como se o parceiro concorresse com o Google em alguma outra área de produto ou região geográfica.
Esses são os tipos de minúcias que quase nunca são discutidas nas negociações contratuais.
Veja mais: Inteligência artificial: me ajude a te ajudar
Existem algumas maneiras de tentar descobrir alguns esforços de TI paralela, mas sua natureza mutável torna até mesmo essas técnicas menos eficazes. Uma abordagem seria usar o rastreamento de DNS para detectar atividades de rede indo para algo que não deveria estar conectado à empresa. Uma abordagem menos nerd é simplesmente fazer com que a TI trabalhe com contas a pagar para auditar regularmente os relatórios de despesas – procurando quaisquer compras de tecnologia que deveriam ter sido processadas pela TI.
“Usar a tecnologia é difícil, pois não é fácil definir o que é uso pessoal versus uso comercial”, disse Dirk Hodgson, Diretor de Segurança Cibernética da NTT Australia. “O OneDrive, por exemplo, pode ser ambos. E esse problema se torna enorme quando você considera que a maior parte da sombra de TI é baseada em SaaS e em aplicativos da web, e que muito disso é de código aberto gratuito – então você nem consegue encontrar uma transação financeira para identificá-lo.
“Como exemplo de escala, um cliente de serviços financeiros relativamente pequeno com quem trabalho — com menos de 1.000 licenças — tem cerca de 4.500 aplicativos exibidos na ferramenta que eles usam para escanear seu ambiente em busca de aplicativos”, disse Hodgson. “Tentar encontrar ‘o’ aplicativo shadow IT nesse contexto é definitivamente uma agulha no palheiro. Se alguém acessa seu Google Drive pessoal no trabalho, isso é shadow IT ou apenas um aplicativo pessoal?
“Não é realista pedir ao usuário para verificar cada um deles o tempo todo”, disse ele. “Mas se você não fizer isso e apenas bloquear o acesso, pode ser doloroso para a experiência do usuário e pode os impedir de realizar funções comerciais legítimas”.
Hodgson argumentou que bloquear ou tentar derrotar a shadow IT diretamente, provavelmente, não funcionará. A melhor abordagem, ele argumenta, é abordar a questão subjacente. Em outras palavras, torne a TI tão responsiva, eficaz e de baixo custo que os usuários finais tenham poucos motivos para seguir seu próprio caminho.
“Eu tive um cliente que comprou a um custo significativo uma plataforma de desenvolvimento rápido de aplicativos low-code e a equipe necessária para isso”, disse Hodgson. “Então, a TI permitiu que as áreas de negócios acessassem ambos a um custo muito baixo para qualquer novo aplicativo de que precisassem, para evitar que precisassem ir para outro lugar”.
Hansmann argumentou que há um motivo diferente para os usuários finais gravitarem para a shadow IT: a falta de consciência de que uma ferramenta específica é necessária para uma tarefa específica.
Leia mais: Executivos da indústria esperam maiores receitas com semicondutores em 2024
“Muitas vezes, os usuários não estão cientes da ferramenta apropriada e geralmente estão mais familiarizados com uma ferramenta semelhante e preferem a sua própria”, disse Hansmann. “Ou há uma ferramenta não autorizada específica exigida por um parceiro de negócios, como em ‘Use nossa VPN ou software de autenticação para acessar nossos recursos’”.
Outra questão, ele argumentou, é que a TI tende a se tornar cínica e suspeita – com boa razão – e vê todos os esforços de shadow IT como “um usuário tentando conscientemente escapar da visibilidade e dos controles da empresa/agência para fazer algo antiético, ilegal etc. A TI não pode mais se dar ao luxo de tratar cada violação como se fosse o caso. A história mostra que a maioria das violações de shadow IT pode ser facilmente corrigida sem tornar as coisas desconfortáveis para funcionários valiosos que estavam apenas tentando fazer a coisa certa”.
Rex Booth, o CISO do fornecedor de identidade SailPoint, disse que é provável que esse problema piore.
“A predominância do shadow IT tem tradicionalmente se correlacionado com a rapidez com que as unidades de negócios podem obter resultados contornando o CIO”, disse Booth. “Quando o SaaS surgiu, essa lacuna de velocidade aumentou, o que significou que a prevalência da shadow IT também aumentou. A grande questão agora é qual impacto a IA generativa terá.
“Se uma unidade de negócios pode gerar um aplicativo personalizado em alguns dias, você acha que eles vão esperar pelo processo oficial de TI? Isso vai crescer rapidamente”.
Outra consideração assustadora: Qual é o grau de seriedade da sua empresa em impor regras de shadow IT? Na maioria das empresas, a TI fala bem e declara proibidos os esforços de shadow IT. Mas quando essas regras são violadas, punições significativas nunca acontecem. Que mensagem isso envia aos usuários finais?
Veja também: Monetização de dados: expectativa vs. realidade
Uma empresa está pronta para sancionar um gerente sênior que é de grande valor para a empresa por burlar os controles para usar um serviço de shadow IT? Será ignorado ou resultará em uma resposta insignificante?
“Você deve considerar a necessidade de dissuasão em como sua empresa lida com o uso não autorizado de serviços de TI”, disse Alan Brill, Diretor Administrativo Sênior da Prática de Risco Cibernético da Kroll. “As pessoas precisam entender que pode haver penalidades reais e substanciais por fazer então, ou o que quer que você esteja fazendo, pode apenas motivar as pessoas a buscar novas maneiras de vencer o sistema, porque elas não acreditam que haverá consequências significativas se forem pegas.
“Acho que esse é um tópico que deve ser considerado em conjunto pelas unidades de TI, RH e jurídico de uma empresa”, disse Brill. “Se você quer levar a sério o desencorajamento da shadow IT, você deve torná-la dolorosa para quebrar as regras. Se você não estiver disposto a fazer isso, seu programa de interdição de shadow IT pode ser visto como um tigre desdentado”.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!