Se você trabalha ou já trabalhou em empresas em que o seu perfil de usuário não tem permissões de instalação, provavelmente já precisou de algum programa diferente dos que já estavam instalados em seu computador e pensou que seria mais fácil se pudesse fazer isso sem pedir para ninguém.
Explicaremos alguns dos pontos que tornam a Shadow IT tão perigosa para os ambientes de rede de um modo geral, ainda mais agora que estamos às portas da Lei Geral de Proteção de Dados (LGPD) iniciar efetivamente seus trabalhos.
O que é Shadow IT?
É considerada Shadow IT qualquer tipo de estrutura utilizada sem a aprovação da área de Tecnologia da Informação (TI). Esta prática pode ter diversas formas, e infringir quase todas as iniciativas de conformidade, assim como podemos ver na lista destacada no Wikipedia. A Shadow IT pode ser traduzida literalmente como TI nas sombras, mas é mais conhecida no Brasil como TI invisível.
Existem diversas formas em que a Shadow IT pode se apresentar dentro de um ambiente de rede. Para que possamos falar com um pouco mais de detalhes sobre elas, escolhemos as 5 formas que mais nos chamam a atenção sobre este ponto:
- Macros do Excel
Pode soar estranho, mas as macros são as principais vilãs quando se trata de Shadow IT. São várias as características que a trazem para o primeiro lugar da lista, uma das principais é que as macros podem ser criadas em qualquer computador com o Office instalado. Talvez você pense que uma ou mais macros utilizadas para facilitar o trabalho de manipulação de uma planilha não é nada demais, e boa parte das vezes realmente não é. O problema começa quando a utilização das macros permea a forma como a empresa funciona, podendo se espalhar por diversos setores e, por vezes, fazendo com que processos passem a depender delas.
Para que a visualização desse problema fique ainda mais fácil, imagine que algumas das pessoas da empresa gostam de automatizar tarefas com fórmulas e macros elaboradas no Excel. Cada uma dessas pessoas desenvolve uma planilha para sua área, que faz consultas em páginas da internet e interage com outras planilhas de processos dentro da rede. Se cada uma dessas planilhas forem configuradas para atualizar os dados web e interagir com planilhas de forma inadequada, elas podem tornar a navegação do setor ou até mesmo da empresa mais lenta e, além disso, podem bloquear o uso das planilhas referentes aos processos da empresa, impactando direta e indiretamente no funcionamento de toda a companhia.
- Softwares
Outro grande problema para a segurança e conformidade de um ambiente são os softwares. Sejam aqueles comprados em lojas ou os gratuitos, baixados em sites variados da internet, todos costumam seguir o mesmo modelo de raciocínio. Alguém, dentro da empresa, precisa de um software para descompactar arquivos com determinadas extensões ou algo que converta rapidamente PDFs para arquivos de texto ou apresentações.
O que boa parte das pessoas não sabe é que usar qualquer tipo de software pode trazer riscos ao computador e até ao ambiente de rede como um todo. Por serem softwares não gerenciados pela área de tecnologia, eles normalmente não são atualizados adequadamente e a versão utilizada pode conter falhas de segurança que possam fazer com que criminosos se aproveitem desse contexto para acessar indevidamente o computador utilizado e até mesmo a rede ao redor. Na pior das hipóteses, o programa utilizado é malicioso e, mesmo cumprindo o propósito desejado, traz escondido em seu funcionamento rotinas que vinculam o computador do usuário diretamente à máquina do criminoso.
- Cloud
Utilização de serviços de nuvem não homologados. Já publicamos diversos artigos falando sobre vazamento de dados e alguns deles estão vinculados a soluções de nuvem mal configuradas ou mal gerenciadas. Vazamentos que aconteceram em provedores de serviço bem estruturados e confiáveis.
Trazendo o exemplo de um usuário que precisa mandar um arquivo muito grande a um fornecedor, o arquivo pode ser grande demais para enviar via e-mail e o usuário precisa de uma alternativa rápida para transferir o arquivo. Em seguida, o usuário pesquisa na internet e verifica que é possível colocar o arquivo em um servidor que permite hospedagem gratuita, sem precisar realizar qualquer tipo de cadastro.
Infelizmente isso não é raro de acontecer, mesmo que haja algumas variações na história, e essa é uma realidade constante nas empresas onde usuários não são devidamente conscientizados sobre a importância dos dados e as formas de como protegê-los, fazendo com que dados importantes trafeguem sem os cuidados necessários.
- Hardware
Costuma não ser um ponto tão comum, mas ainda assim diversas empresas sofrem com funcionários que alteram hardwares da empresa. Seja para subtraí-los e utilizá-los fora das dependências da empresa ou para fazer um upgrade em seu próprio computador e, desta forma, fazê-lo trabalhar de forma mais eficiente.
Imagino que não seja necessário exemplificar para alguém que subtraia uma peça de computador ou periférico como isso pode impactar o desempenho de um dispositivo. Por isso, sigamos então a linha de raciocínio de um funcionário que acha que sua máquina está defasada de alguma forma e quer melhorá-la por conta própria. Algumas das mudanças, como colocar mais memória e mudar o processador por um mais veloz, não são tão nocivas, mas ainda assim são totalmente inadequadas. E é bem diferente de uma troca de HD, por exemplo. Os HDs contêm todos os dados do funcionário e, boa parte das vezes, de todas as pessoas que também já utilizaram o equipamento. Trocá-lo, além de fazer com que os dados não estejam mais disponíveis, pode trazer um nível de risco maior para o computador, pois o novo HD terá que contar com o Windows instalado, o que inclusive, em alguns casos, pode acabar sendo um software não original. Além disso, partindo da prática da Shadow IT em um software, outro risco é que as configurações de segurança, restrições e eventuais criptografias não estejam adequadas ao padrão de segurança estabelecidos pela empresa.
- BYOD
O BYOD (Bring Your Own Device) traz uma série de benefícios e economias para as empresas que o adotam e permite que os funcionários utilizem seus próprios smartphones, ou até computadores, para executar suas tarefas diárias. É importante salientar que o processo de adoção do BYOD é controlado e necessita de uma série de medidas de prevenção para que, em caso de incidentes, tanto o funcionário quanto a empresa sofram o mínimo de danos possível. As precauções podem ir desde controles em políticas no momento da instalação do aplicativo até a criação de contêineres seguros e criptografados dentro do celular do funcionário para que nada saia do ambiente seguro sem prévia autorização. O uso de dispositivos pessoais sem consentimento pode trazer implicações negativas a ambas as partes.
Boas práticas
Existem diversos outros pontos negativos decorrentes da Shadow IT que impactam diretamente no bom funcionamento da empresa, cabe a todos o cuidado para que essa prática seja extinta e restem apenas dispositivos e processos devidamente homologados e configurados.
Não podemos negar que essa é uma tarefa difícil e que normalmente recai sobre os ombros das áreas de Redes e Segurança da Informação, sendo assim, separamos algumas dicas que esperamos que auxiliem a combater a "TI paralela" por traz das empresas:
- Conscientização
Disponibilizar treinamentos e capacitações sobre temas pertinentes a Segurança da Informação, instruindo os usuários sobre os riscos inerentes às suas atividades e quão perigoso pode ser a manipulação inadvertida das informações é, na nossa opinião, um passo muito produtivo para um ambiente de rede mais seguro.
- Identificação e monitoramento
Identificar os aplicativos, softwares e processos rodando “por baixo dos panos” dentro de uma rede pode ser bem trabalhoso. Uma sugestão para esse controle é manter uma lista sempre atualizada de todas as características de cada equipamento, tanto para softwares quanto para hardwares. Existem softwares de inventário que facilitam bem este trabalho, alguns deles permitem que o responsável seja notificado caso algum hardware ou software sofra qualquer alteração.
- Análise de risco e adequação
Após a identificação, é necessário ver qual o impacto que esse software ou hardware causa na rede e iniciar o processo de análise para determinar qual a melhor forma de removê-lo do ambiente.
Em vários cenários, a Shadow IT vem para suprir uma necessidade inerente ao ambiente ou a seus processos. É necessário analisar com cautela para que a saúde do negócio não seja prejudicada com a saída do software/hardware do ambiente, sem que nenhuma alternativa adequada seja posta em seu lugar.
- Gestão de processos e análise de necessidades
Boa parte das vezes, a gestão dos processos cabe mais às áreas responsáveis do que ao departamento de tecnologia de uma empresa. Uma das formas para que esses riscos sejam mitigados é fazer com que o ciclo de análise de processos seja contínuo. Este ciclo pode ter uma etapa de verificação pela área de tecnologia/segurança, isso permitirá que, caso algo precise ser alterado, o responsável da área já esteja ciente e auxilie no processo de adequação.
Com o passar dos ciclos de validações e análises supracitados e das capacitações e treinamentos em Segurança da Informação, os processos de inserção de hardware e software estarão enraízados junto aos processos da empresa e a má prática da Shadow IT não se repetirá.