A computação em nuvem tornou mais fácil para os usuários de TI ignorar os protocolos e acessar as soluções necessárias para atender aos requisitos de suas tarefas. Mas é preciso ter planejamento e cuidado para que algumas práticas nocivas não prejudiquem as empresas. Uma delas é conhecida como Shadow IT e está muito presente em empresas brasileiras.

Da perspectiva do usuário, a supervisão dos departamentos de TI e as rigorosas políticas de governança geralmente são projetadas para proteger a organização — não necessariamente para enfrentar os desafios diários que o usuário enfrenta com suas tarefas. O resultado é a prática de contornar essas limitações e acessar as soluções de TI necessárias sem o conhecimento do departamento de TI.

O que é Shadow IT?

Shadow IT refere-se a tecnologias, soluções, serviços, projetos e infraestrutura de TI utilizados e gerenciados sem aprovação e suporte formais dos departamentos internos de TI.

Essas tecnologias podem não estar alinhadas com os requisitos e políticas organizacionais relativos à conformidade, segurança, custo, documentação, SLA, confiabilidade e outros fatores importantes que determinam o suporte formal de um sistema de TI pelos tomadores de decisão apropriados na organização.

Assim, os usuários dos sistemas Shadow IT ignoram o processo de aprovação e provisionamento e utilizam a tecnologia não autorizada sem o conhecimento de seu departamento de TI.

A compra dos sistemas Shadow IT inclui SaaS, PaaS, IaaS e outros serviços em nuvem, software pré-empacotado e hardware como computadores, smartphones, tablets e outros dispositivos.

A forma mais prevalente dos sistemas Shadow IT são as ofertas SaaS, uma vez que incluem produtos e soluções exclusivos para atender a requisitos específicos dos usuários de TI que não podem ser identificados, considerados ou abordados pela vasta gama de soluções comuns já suportadas pela organização.

O processo conveniente de compra permite que os usuários de TI inscrevam, consumam e desativem a solução Shadow IT SaaS antes que a organização identifique a compra ou detecte atividades anômalas na rede de computadores.

Por que os usuários recorrem ao Shadow IT?

Os usuários adotam as práticas de Shadow IT apenas para atender aos requisitos de seu trabalho de maneira a facilitar sua vida. Parte do problema está nas organizações que não oferecem suporte adequado às tecnologias exigidas por eles ou tornam o processo de governança, aprovação e provisionamento muito lento e ineficaz.

Especialmente para organizações voltadas para o DevOps, focadas em inovação contínua e rápido desenvolvimento de software e ciclos de lançamento, a necessidade de novas ferramentas pode surgir com pouco aviso para os departamentos de TI identificarem, avaliarem e aprovarem os produtos no ritmo do DevOps.

Comunicação e colaboração inadequadas entre os Devs e os departamentos de TI impedem ainda mais a velocidade e a flexibilidade do suporte de TI necessário para aprovar as tecnologias necessárias. Ao mesmo tempo, recursos inadequados de segurança tendem a impedir as organizações de aprovar novas tecnologias, mesmo quando desejam dar suporte aos desenvolvedores com as melhores e mais recentes soluções disponíveis no setor.

Riscos associados à Shadow IT

Embora os funcionários possam concluir convenientemente as tarefas do trabalho usando os sistemas de Shadow IT, a tecnologia apresenta riscos, ineficiências e custos sem precedentes para a organização, incluindo:

  • A organização perde o controle e a visibilidade dos dados migrados para os sistemas de Shadow IT. Os riscos incluem descumprimento regulamentar e de segurança, vazamento de dados e incapacidade de executar medidas de recuperação de desastre envolvendo dados nos sistemas, quando necessário;
  • As ineficiências do sistema surgem quando os dados são armazenados e usados ​​em vários locais da infraestrutura. Se a organização não for informada sobre os fluxos de dados, os departamentos de TI não poderão planejar capacidade, arquitetura do sistema, segurança e desempenho entre dados em aplicativos Shadow IT díspares e isolados;
  • Depois que um sistema de Shadow IT se torna uma parte crítica do projeto e os usuários de TI precisam escalar os recursos, o custo incorrido pela organização para continuar usando o serviço pode ser injustificado. Essa é uma preocupação comum com aplicativos SaaS, como armazenamento em nuvem;
  • Para organizações sujeitas a regulamentos de conformidade, como a LGPD, o risco da Shadow IT pode ter consequências de longo alcance. Por exemplo, se os usuários de TI de uma instituição de saúde armazenam dados confidenciais do paciente nas soluções de armazenamento em nuvem Shadow IT, eles podem ser obrigados a auditar, identificar e divulgar o escopo e o impacto desse incidente. Além de expor informações confidenciais a ataques cibernéticos, a organização também pode enfrentar um processo caro por descumprimento que pode prejudicar a reputação da marca e os negócios.

Como responder à Shadow IT

Shadow IT é inevitável. Uma pesquisa da Gartner descobriu que uma média de 30 a 40% das compras na empresa envolve gastos com Shadow IT. Uma pesquisa do Everest Group constatou que esses números estão próximos de 50%. Como resultado, as organizações devem tomar medidas estratégicas para reduzir a necessidade e o risco associado, incluindo:

  • Comunicação e colaboração: descubra as necessidades dos usuários de TI. Quebre os silos e permita uma comunicação fácil, conveniente e eficaz entre os departamentos de TI e os usuários, a fim de entender as verdadeiras necessidades, experiência e feedback deles sobre as tecnologias existentes e novas necessárias;
  • Educação e treinamento: informe os usuários sobre os riscos associados à Shadow IT e como a organização pode ajudar no cumprimento dos requisitos de tecnologia sem precisar ignorar os protocolos de governança padrão. Os funcionários conscientes da segurança que compartilham a visão da organização em relação à segurança de TI têm maior probabilidade de entender os riscos associados à Shadow IT e serão incentivados a encontrar soluções adequadas para atender às necessidades de tecnologia;
  • Simplifique a governança: desenvolva uma estrutura de governança de TI que facilite a inovação através do uso de novas tecnologias identificadas, avaliadas, disponíveis e provisionadas para usuários de TI em ritmo acelerado. Desenvolva políticas centradas no usuário e preveja seus requisitos. Equilibre a aplicação de políticas com a flexibilidade de evoluir e responder às mudanças nas necessidades de TI dos usuários finais.
  • Use a tecnologia SD-Wan: implante soluções de tecnologia para monitorar atividades anormais de rede. As SD-WANs oferecem esse nível de visibilidade e podem capacitar os gerentes de TI com mais inteligência de aplicativos para ver como eles podem configurar melhor a rede e oferecer a melhor experiência do usuário para cada aplicativo;
  • Avalie e atenue os riscos: nem todas as tecnologias de Shadow IT representam a mesma ameaça. A avaliação contínua pode permitir que as organizações formem estratégias de atividades de mitigação de riscos com base no nível de risco de cada tecnologia utilizada.

Ao entender a Shadow IT, as necessidades e expectativas dos usuários de TI e os riscos associados à prática, as organizações podem transformar a Shadow IT em um arsenal seguro e útil de ferramentas que impulsionam a inovação disruptiva. Porém, antes que isso aconteça, é preciso elaborar estratégias que atinjam os objetivos coletivos dos funcionários, departamentos de TI e negócios.

Feito corretamente, o suporte a novas tecnologias pode criar oportunidades para as organizações entregarem melhores produtos no mercado e mais rapidamente.

A SD-Wan pode ser o primeiro passo nessa caminhada. Aproveite e conheça mais sobre essa tecnologia que garante maior visibilidade do uso da sua rede!