No mundo corporativo atual, a tecnologia avança em um ritmo acelerado e o conceito de shadow IT se tornou cada vez mais relevante. Em essência, esse termo refere-se ao uso de sistemas, dispositivos ou aplicativos dentro de uma organização sem a aprovação ou conhecimento da equipe de TI. 

Como é possível imaginar, essa prática apresenta riscos significativos à segurança da informação e à conformidade regulatória, podendo representar soluções não autorizadas, que não foram avaliadas quanto à segurança ou compatibilidade com as políticas da empresa.

Neste artigo, vamos explorar as causas do shadow IT, suas implicações para as empresas e as melhores práticas para gerenciá-lo. Acompanhe!

O que significa “shadow IT”?

Shadow IT acontece quando colaboradores de uma organização utilizam ferramentas sem a autorização da equipe de TI, podendo prejudicar a segurança da informação.

Shadow IT, ou “TI sombra” é um fenômeno que ocorre quando os colaboradores utilizam ferramentas tecnológicas sem a autorização da equipe de TI em uma empresa. Isso pode incluir diversos contextos, desde aplicativos simples até sistemas complexos que não foram avaliados. Esse uso não autorizado pode ocorrer por várias razões, como:

  • Busca por maior eficiência;
  • Falta de recursos disponíveis na equipe de TI;
  • Falta de informação quanto às políticas de segurança da corporação.

Como acontece? 

O shadow IT pode acontecer de diversas maneiras, como através de serviços de armazenamento em nuvem, apps de comunicação e sistemas financeiros não autorizados (exemplos considerados os principais nesse sentido). A seguir, explicamos melhor sobre cada caso:

Serviços de armazenamento em nuvem

Os serviços de armazenamento em nuvem têm se tornado cada vez mais populares entre os colaboradores, e, embora essa prática represente uma solução rápida e eficiente para a colaboração em equipe, pode apresentar sérios riscos à segurança da informação quando utilizadas de maneira errada.

Quando os funcionários usam essas ferramentas sem informar a equipe de TI, eles podem inadvertidamente expor dados sensíveis, como arquivos confidenciais, por exemplo. 

Além disso, a falta de supervisão pode resultar na perda de controle sobre onde e como esses dados estão sendo armazenados, dificultando a conformidade com as políticas internas e regulatórias.

Aplicativos de comunicação

Ferramentas de comunicação entre times e colaboradores também devem ser analisadas pela equipe de segurança da informação.

Ferramentas como WhatsApp ou Slack, por exemplo, são frequentemente escolhidas pelos colaboradores para facilitar discussões profissionais rápidas e informais. Quando as equipes utilizam essas plataformas sem supervisão adequada da TI, corre-se o risco de que informações sensíveis sejam compartilhadas em ambientes não seguros ou que possam ser acessados por terceiros indesejados, por exemplo.

Nesse sentido, a prática pode levantar pontos de atenção significativos sobre privacidade e segurança das informações trocadas. 

Além disso, a falta de um registro formal das comunicações pode dificultar o rastreamento e a auditoria das interações profissionais, comprometendo ainda mais a integridade dos dados corporativos.

Sistemas financeiros não autorizados

Outro aspecto a se atentar no shadow IT é o uso de sistemas financeiros não autorizados dentro das organizações. Colaboradores podem recorrer ao uso de softwares financeiros pessoais ou aplicativos móveis para gerenciar despesas corporativas sem passar pela avaliação da equipe financeira da empresa. 

Essa prática pode levar à introdução de erros nos registros financeiros oficiais, além da exposição (acidental ou intencional) de informações financeiras sensíveis, que deveriam ser mantidas sob estrita confidencialidade. 

Por isso, a ausência deste processo pode criar um ambiente propício para fraudes financeiras e outras irregularidades, que podem ter consequências graves para a saúde financeira da empresa.

O que deve fazer para identificar se a TI sombra está presente em sua empresa?

A identificação de práticas de shadow IT pode ser feita através de ferramentas de monitoramento de rede, análise de logs, pesquisa de domínios IP e feedbacks de colaboradores.

Para identificar Shadow IT, é importante monitorar a rede em busca de atividades suspeitas, analisar logs de acesso, pesquisar domínios e IPs desconhecidos, coletar feedbacks dos colaboradores e revisar contas (para detectar serviços não autorizados). Essas etapas ajudam a mapear o uso não aprovado de tecnologia na organização, e explicamos melhor sobre cada uma a seguir:

1. Monitoramento da rede

Implementar sistemas de monitoramento de rede é fundamental para detectar atividades incomuns que possam indicar o uso não autorizado de aplicativos ou serviços. Isso porque esses sistemas podem analisar o tráfego da rede em tempo real, alertando os administradores sobre comportamentos suspeitos, como acessos a sites desconhecidos ou transferências de dados não autorizadas.

2. Análise de logs

A análise regular dos logs de atividades da rede é uma prática essencial para identificar padrões suspeitos. Os logs contém informações detalhadas sobre quem acessou o quê e quando, permitindo que os profissionais de TI da empresa detectem o uso de aplicativos não reconhecidos, por exemplo, ou mesmo acessos fora do padrão esperado.

Assim, esse tipo de análise também ajuda na identificação de possíveis brechas de segurança e na prevenção de ataques cibernéticos. Ao monitorar continuamente as atividades, é possível reagir rapidamente a incidentes, minimizando danos e garantindo a integridade dos dados. 

3. Pesquisa de domínios e endereços IP

Realizar pesquisas sobre domínios e endereços IP associados a aplicativos e serviços desconhecidos ajuda a verificar sua legitimidade. Essa prática acontece através da investigação se esses domínios são confiáveis ou se estão relacionados a riscos potenciais, como malware ou phishing. Para essa investigação, são utilizadas ferramentas como:

  • Ferramentas de análise de DNS;
  • Ferramentas de serviços de reputação.

Através delas, é possível identificar informações como a data de criação do domínio, o histórico de alterações, e se há registros negativos associados, além das consultas em bases de dados que possam parecer ameaças conhecidas, permitindo identificar se os domínios estão vinculados a atividades maliciosas. 

4. Feedback dos colaboradores

Encorajar os colaboradores a buscarem informações sobre qualquer uso de aplicativos ou serviços que não tenham sido aprovados pelo departamento de TI é crucial para criar um ambiente colaborativo em prol da segurança cibernética. Isso pode ser feito através ações como:

  • Treinamentos regulares;
  • Canais abertos para feedback;
  • Incentivo cultural, com ações e comunicações frequentes sobre a segurança da informação.

Através desses canais, é importante que os colaboradores sintam-se à vontade para compartilhar suas preocupações.

5. Análise de contas e despesas

Revisar as contas e despesas da organização pode revelar pagamentos por serviços não reconhecidos ou não aprovados pelo setor de TI. 

Por isso, essa análise deve incluir uma verificação minuciosa das faturas mensais para identificar cobranças inesperadas que possam estar associadas ao uso indevido do Shadow IT.

Qual tecnologia permite que uma organização monitore e previna a Shadow It?

As soluções IAM (Gerenciamento de Identidade e Acesso) e monitoramento em nuvem são as principais ferramentas utilizadas para a prevenção ao shadow IT. Elas auxiliam a equipe na gestão e controle de acessos não autorizados, permitindo a identificação e monitoramento de aplicativos e serviços utilizados pelos colaboradores. A seguir, explicamos melhor sobre cada uma:

Soluções de gerenciamento de identidade e acesso (IAM)

As soluções de gerenciamento de Identidade e acesso (IAM) desempenham um papel crucial na segurança, garantindo que apenas usuários autorizados tenham acesso a dados sensíveis. 

Essas ferramentas protegem informações valiosas ao mesmo tempo que permitem o rastreamento de atividades suspeitas, associando-as diretamente aos perfis individuais dos usuários. 

Isso possibilita ações corretivas rápidas sempre que necessário. Exemplos notáveis de soluções IAM incluem Okta e Microsoft Azure Active Directory, que são líderes reconhecidos nesse segmento.

Plataformas de monitoramento em nuvem

As plataformas de monitoramento em nuvem são essenciais para rastrear atividades suspeitas relacionadas ao uso não autorizado dentro do ambiente corporativo. Muitas dessas ferramentas oferecem relatórios detalhados, sobre quais aplicações estão sendo utilizadas pelos funcionários, permitindo a identificação rápida de potenciais riscos associados. 

Entre as opções populares disponíveis, estão Netskope e CloudLock, que ajudam as organizações a manterem-se seguras enquanto aproveitam os benefícios da nuvem.

Como você pôde conferir até aqui, compreender o fenômeno conhecido como “shadow IT” é essencial para qualquer organização moderna que enfrenta desafios tecnológicos constantes no mercado atual. 

Além disso, é importante ressaltar que práticas de shadow IT podem representar uma  demanda vinda dos colaboradores e seus respectivos processos – o que pode se tornar uma oportunidade para aprimoramento de processos em segurança.

Por isso, inclusive, a educação contínua dos colaboradores e a criação de uma cultura colaborativa são fundamentais para mitigar esses riscos.

Investir em tecnologias adequadas permitirá monitorar atividades suspeitas de maneira ideal e, por isso, incentivamos você a implementar as práticas discutidas neste artigo em sua organização! Ao fazer isso, você poderá equilibrar inovação tecnológica com segurança organizacional de maneira eficaz.

E para mais artigos sobre segurança da informação, confira a categoria do nosso Blog que trata sobre o tema!

Este artigo foi útil?

Você já votou neste post

Tags

Alexandre Nakano

Alexandre Nakano

Diretor de Segurança e Networking da Ingram Micro Brasil. A frente da diretoria de novos negócios para a área de Enterprise, Colaboração e Cybersec na Ingram Micro Brasil, possui mais de 20 anos no mercado de tecnologia e esteve sempre em cargos de gestão e direção de vendas em grandes empresas do setor de TI. Tem, em seu currículo, passagem por empresas como Cisco Systems, Cyclades/Avocent, Westcon/Comstor e Scansource/Network1. Além da experiência profissional, traz na bagagem acadêmica dois MBAs executivos, o primeiro em gestão corporativa pela FGV, o segundo em finanças, pelo Insper, além da graduação em Engenharia Eletrônica.