Gestão > Governança, Segurança de Cloud

Como reduzir a Shadow IT em empresas e agências governamentais

CIOs podem encarar o uso de tecnologias desautorizadas em suas empresas como uma oportunidade

04 de Junho de 2015 - 09h00

A Skyhigh Networks, fornecedora de segurança em nuvem, conduziu um estudo sobre a Shadow IT no governo norte-americano. O levantamento identificou uma quantidade assombrosa de aplicações e serviços não autorizados pelas regras dos departamentos de TI sendo usadas pelos funcionários desses órgãos.

Análises de logs rastrearam cerca de 200 mil trabalhadores dos governos norte-americano e canadense e apontou o uso de, em média, 742 serviços em nuvem em cada órgão estatal – ou seja, cerca de 10 a 20 vezes mais do que a quantidade de sistemas gerenciada pelo departamento de TI.

Apesar de expressivo, o número não é muito diferente do observado pela Skyhigh na esfera privada, aponta Rajiv Gupta, CEO da Skyhigh Networks. “A primeira coisa que eu diria é ‘sim, é alarmante’, mas não se trata de uma exclusividade governamental. Muitos desses problemas também são registrados no setor privado”, declarou o executivo.

Uma das principais diretrizes dada pela fornecedora para acabar com as tecnologias da informação “clandestinas”, é que os CIOs governamentais se esforcem para compreender as ferramentas que seus funcionários precisam (e tem utilizado “na sombra”) para desempenhar suas funções.

Gupta chamou atenção para o aumento da Shadow IT como um crescimento lógico dos aplicativos de fácil acesso (geralmente gratuitos) usados pelos funcionários em suas vidas pessoas, e que cada vez mais são levados ao escritório.

“O uso de aplicativos não autorizados, embora configure um risco potencial significativo à segurança, costuma resultar de funcionários tentando realizar seus trabalhos de maneira mais eficiente”, alertou o executivo, incentivando os CIOs a se conectarem às áreas de negócio de suas organizações para compreender melhor as necessidades.

“A primeira coisa que os líderes de TI precisam fazer (e que alguns já fazem) é entender que o motivo pelos quais os funcionários usam serviços diferentes de compartilhamento de arquivos é porque precisam compartilhar esses arquivos”, ressaltou Gupta, acrescentando: “A primeira coisa a ser feita é compreender que seus funcionários usam serviços em nuvem para desempenhar suas funções”.

A falta de conscientização

Um dos desafios é que nem todos os serviços de armazenamento e colaboração são criados igualmente, e os usuários, sem a orientação do CIO, podem optar por um aplicativo com fraco controle de segurança, que reivindica a posse de seus dados ou que é hospedado em um país cujo governo exerce sanções de troca.

“O problema é que os funcionários não estão conscientes disso e usam o serviço que aparenta ser apropriado”, explicou Gupta. “A falta de conscientização cria esse grande problema da Shadow IT. Cada um de nós, sabendo ou não, viola essas políticas porque muitas delas são anacrônicas”, acrescentou.

Mas a análise da Skyhigh indica que o problema é real e agravado pela falta de conscientização também dentro do departamento de TI sobre o uso de aplicativos desautorizados.

Em uma enquete com profissionais de segurança e de tecnologia, somente 7% disseram que a organização foi exposta a uma ameaça externa no último ano, mas, de acordo com a pesquisa, 82% das empresas apresentarem “indícios comportamentais de ameaças externas somente no último trimestre”.

Pouco mais de 96% das agências governamentais tiveram no mínimo um usuário com identidade comprometida. A empresa aponta senhas fracas usadas em serviços diferentes como um fator de risco que amplia o dano potencial sofrido por uma agência com o comprometimento de uma conta.

Shadow IT pode trazer soluções

Gupta argumentou que os CIOs podem encarar o uso da TI desautorizada em suas empresas como uma oportunidade. Por meio de uma colaboração próxima com os usuários finais, eles podem abordar melhor as necessidades do negócio, aprimorando a postura de segurança da empresa.

“A mudança de mentalidade foi da Shadow IT como uma ameaça real para uma oportunidade de encontrar soluções”, discorreu o executivo. “Ao invés de sermos o departamento do não, como fazer para sermos o departamento do sim?”.