Em tempos de pandemia, muitas organizações priorizaram a continuidade do negócio e deixaram a cibersegurança em segundo plano. Especialmente nos primeiros dias da pandemia, o foco estava em “poder continuar fazendo as coisas”, o que fez com que ocorresse uma adaptação rápida ao home office e as novas formas de se chegar ao cliente. Isto significou tornar certas políticas mais flexíveis a fim de acompanhar os colaboradores à medida em que eram feitos diversos ajustes na forma de trabalho.
Certamente, essas mudanças foram totalmente justificáveis naquele momento. Porém, a medida que entramos em uma nova fase pós-pandêmica, caracterizada pelo modelo de trabalho híbrido, também se criou um novo cenário com o qual as equipes de TI devem lidar e que acabou gerando um novo desafio: discutir sobre os riscos de cibersegurança relacionados com o uso de hardwares e softwares por parte dos colaboradores sem a aprovação e o controle das equipes de TI.
Quando colaboradores usam softwares e dispositivos fora da supervisão do departamento de TI, a empresa pode estar sofrendo diversos riscos relacionados com a cibersegurança do negócio. Mas resta uma dúvida: o que fazer a respeito, quando até a dimensão do problema nem sempre é tão fácil de ser medida?
O que é Shadow IT?
A prática do Shadow IT existe a anos. O termo de uma forma geral pode se referir a qualquer aplicativo, solução ou hardware usado por colaboradores de uma empresa sem o consentimento e a supervisão do departamento de TI. Às vezes se trata de tecnologias a nível empresarial que apenas foram compradas ou usadas sem o conhecimento da equipe de TI. Mas, na maioria das vezes, são aplicativos ou programas instalados pelos próprios colaboradores para uso próprio, mas que podem expor a empresa a um risco adicional.
Shadow IT pode estar presente em situações como:
- Armazenamento de arquivos a nível do consumidor projetado para ajudar os funcionários a colaborarem de forma mais eficiente uns com os outros;
- Ferramentas de produtividade e gerenciamento de projetos que também podem impulsionar a colaboração e a capacidade dos colaboradores para realizar suas tarefas diárias;
- Mensagens e e-mails para promover uma comunicação mais fluida com contatos de trabalho ou não;
- Sistemas de infraestrutura como serviço para nuvem (IaaS, sua sigla em inglês) e plataformas como serviço (PaaS, sua sigla em inglês) que podem ser usados para hospedar recursos não autorizados.
Por que isso ocorre?
É comum que a prática do Shadow IT ocorra quando os colaboradores estão cansados de sentir que certas ferramentas corporativas são ineficientes e afetam a produtividade. Com o avanço da pandemia, muitas empresas se viram obrigadas a permitir que as pessoas usassem seus dispositivos pessoais para trabalhar de casa. E isso abriu as portas para os downloads de aplicativos não autorizados.
Essa situação foi se agravando porque muitos colaboradores passaram a ignorar a política de segurança corporativa, a qual os próprios líderes se viram obrigados a suspender para poderem “continuar fazendo as coisas”. De acordo com um estudo realizado em 2021, 76% das equipes de TI admitem que, durante a pandemia, a prioridade que a segurança tinha foi dispensada a favor da continuidade dos negócios, enquanto 91% disse que sentiu a pressão de comprometer a segurança.
A pandemia também pode ter impulsionado o uso de softwares e hardwares não autorizados já que os próprios equipamentos de TI eram menos visíveis para os colaboradores. Isto fez com que fosse mais difícil para os colaboradores verificar com a equipe de TI antes de usar novas ferramentas e pode ter os tornado psicologicamente mais pré-dispostos a desobedecer a política da organização. Um estudo de 2020 afirma que mais da metade (56%) dos trabalhadores remotos a nível global usaram um aplicativo que não era de trabalho em um dispositivo corporativo e 66% baixaram dados corporativos nos mesmos. Quase um terço (29%) disse que sente necessidade de usar um aplicativo não laboral, já que as soluções indicadas pela equipe de TI “não fazem sentido”.
A magnitude do problema
Mesmo que o uso de dispositivos dos colaboradores em tempos de pandemia possa explicar parte do risco que implica o Shadow IT, não explica o problema em sua totalidade. Também existem ameaças em unidades de negócio específicas que guardam recursos nas IaaS ou Paas na nuvem corporativa e que não foram identificadas. O problema aqui é que muitos entendem errado a natureza do modelo de responsabilidade compartilhada na nuvem e assumem que o provedor de serviços (CSP) se encarrega de toda a segurança. No entanto, a proteção dos aplicativos e dos dados depende da empresa do cliente. E não se pode proteger o que não se pode ver.
Infelizmente, a própria natureza do Shadow TI torna difícil entender a verdadeira dimensão do problema. Um estudo de 2019 revela que 64% dos trabalhadores estadunidenses teriam criado ao menos uma conta sem reportar à equipe de TI. Por sua vez, outras pesquisas afirmam que 65% das pessoas que trabalham de forma remota desde antes da pandemia usam ferramentas que não foram aprovadas pela TI, enquanto que 40% dos funcionários atuais usam soluções de comunicação e colaboração que não estão sob a supervisão das equipes de TI. Curiosamente, este mesmo estudo sinalizou que a tendência do uso do Shadow IT varia com a idade: somente 15% dos baby boomers afirmam que praticaram Shadow IT, enquanto a porcentagem dos millennials está em 45%.
Por que o Shadow IT é uma ameaça?
Não existem dúvidas sobre o risco em potencial que o Shadow TI pode introduzir em uma empresa. Por exemplo, em meados de 2021 uma empresa estadunidense de rastreamento de contaminados com a Covid-19 pode ter exposto informações de 70 mil pessoas no momento em que seus funcionários usaram contas do Google para compartilhar informações como parte de um “canal de colaboração não autorizado”.
Abaixo descrevemos brevemente os riscos do Shadow IT para as empresas:
- A falta de supervisão da equipe de TI implica que o software pode permanecer sem atualizações ou mal configurado (por exemplo, com senhas fracas), expondo a possíveis ataques tanto aos usuários quanto aos dados corporativos;
- Não existe uma solução anti-malware ou outra solução de segurança para proteger os ativos do Shadow IT ou as redes corporativas;
- Obstáculos à auditoria e monitoramento de conformidade;
- Exposição à perda de dados, uma vez que os aplicativos e dados do Shadow IT não serão incluídos nos processos de backup corporativos.
- Prejuízos financeiros e de reputação resultantes de uma grave vulnerabilidade de segurança.
Como gerenciar o Shadow IT
O primeiro passo é compreender a dimensão da ameaça. Os departamentos de TI devem esclarecer que o Shadow IT está muito abrangente e que pode representar um risco grave, mas que também pode ser atenuado. Para isso, se recomenda considerar:
- Elaborar uma política integral para controlar a presença do Shadow IT, que inclua uma lista claramente estabelecida de softwares e hardwares aprovados e desaprovados, e um processo para se obter a aprovação;
- Incentivar a transparência entre os colaboradores, educá-los sobre o potencial do impacto do Shadow IT e iniciar um diálogo honesto entre todas as partes;
- Escutar e adaptar as políticas, levando em consideração os comentários e queixas dos colaboradores sobre as ferramentas que funcionam ou não. Pode ser um ótimo momento para atualizar as políticas de acordo com as necessidades do trabalho remoto, criando equilíbrio entre segurança e conveniência;
- Usar ferramentas de monitoramento de riscos para rastrear o uso do Shadow IT na empresa e qualquer atividade de risco, e assim tomar as medidas adequadas a respeito dos infratores recorrentes.
O Shadow IT expande a superfície de ataque corporativo e aumenta o risco virtual. Mas tem crescido porque as ferramentas e políticas existentes são muitas vezes vistas como muito restritivas. A sua reparação exigirá, portanto, que a equipe de TI adapte sua própria cultura para se envolver mais diretamente com a força de trabalho em geral.