Um dos principais patrimônios de uma empresa são as informações por ela produzidas. Por isso, a segurança da informação deve ser um assunto prioritário e estratégico da gestão de qualquer negócio.
Apesar de não ser do conhecimento de muitos gestores, existe um fenômeno dentro das organizações que representa um risco muito grande para a segurança dos seus dados: é o chamado shadow it.
Por isso, é importante que você saiba exatamente o que é e como pode ser evitado para não gerar prejuízos irreversíveis. Acompanhe a leitura e confira!
Índice
O que é shadow it?
Em tradução livre para o português, esse termo em inglês significa “sombras na TI”, mas no Brasil é mais conhecido como TI invisível. Trata-se de um fenômeno cada vez mais comum que acontece na maior parte das empresas.
Consiste no consumo de aplicações e recursos tecnológicos realizado por iniciativa dos próprios usuários ou departamentos, sem conhecimento ou análise e controle da área de TI.
Em outras palavras, os colaboradores instalam e utilizam seus próprios softwares e aplicativos sem aprovação e autorização formal das companhias.
O shadow it acontece em razão de diversos motivos, como:
- o departamento de TI pode estar muito ocupado mantendo os sistemas em funcionamento;
- a equipe também pode estar muito engessada e despreparada para responder às requisições rapidamente;
- contar com um ambiente onde a adoção de novos serviços e instalação de novos servidores é extremamente demorado;
- os profissionais não estão satisfeitos com as soluções utilizadas pela organização;
- os profissionais não conhecem as funcionalidades do sistema utilizado;
- a companhia não possui uma solução que atenda a uma tarefa específica;
- o funcionário gosta de usar um aplicativo com o qual está acostumado etc.
Essas são as principais justificativas pelas quais os usuários costumam buscar por si só outras soluções para resolver seus problemas corporativos.
Quais são os riscos do shadow it para as empresas?
Essa tendência que, a princípio parece inofensiva, pode causar problemas graves e invisíveis para a corporação até que os prejuízos sejam demasiadamente grandes para serem ignorados. Os riscos mais críticos são os seguintes:
Vazamento de informações confidenciais
As soluções implementadas pela área de TI são escolhidas para atender as especificidades da organização. O sistema operacional, o software de gestão, o editor de documentos, tudo é controlado pela área técnica para o funcionamento seguro do negócio.
Quando um funcionário começa a utilizar alguma tecnologia por conta própria, as informações da organização estão em perigo. Em um mercado altamente competitivo, garantir a segurança dos dados é fundamental para conseguir vantagens.
Esse cuidado precisa ser ainda maior caso o profissional atue com dados estratégicos da corporação ou responda por eles.
Perda de dados
Em muitos serviços de tecnologia na nuvem, o backup pode ser contratado à parte e o funcionário pode não ter esse conhecimento e gerar conteúdo importante que não será salvo por esse procedimento.
Além disso, acessar e transmitir dados de maneira inadequada deixa-os expostos a acessos indevidos.
Falta ou nenhum de controle das atividades
A equipe de TI realiza manutenção e melhorias contínuas daquilo que é determinado como norma de conduta tecnológica da companhia.
Quando algum colaborador usa um software fora dessa regra, a área técnica não tem como manter o controle do que está acontecendo naquele departamento.
Essa falta de controle pode tanto complicar e atrasar a solução de falhas quanto criar pontos cegos na gestão das informações.
Dispersão e falta de organização
Se, por exemplo, a plataforma de armazenamento padrão da instituição é o Google Drive, imagine o tamanho do problema, se um colaborador salva e organiza todos os seus arquivos no Dropbox.
E se por acaso esse colaborador faltar em um dia de trabalho e o gestor precisar de um relatório feito por ele para tomar uma decisão muito importante? Como a equipe de TI poderá ajudar a encontrar esse documento se só a própria pessoa sabe onde o arquivou?
Se esse trabalhador se desligar da companhia, toda a gestão de conhecimento do seu setor será prejudicada por falta de organização e controle.
Falha na comunicação interna
A utilização de múltiplos canais de comunicação gera falta de padrão, o que pode ser fatal. Cada usuário pode querer enviar os relatórios mensais por um canal diferente, como e-mail, WhatsApp, Facebook e Slack, quando deveriam ser arquivados em uma pasta compartilhada.
Nesse caso, os maiores interessados correm o risco de demorarem a receber essas informações ou de nem recebê-las. E tudo isso pode vir à tona tarde demais.
Aumento de erros e prejuízo financeiro
O uso de tecnologias não autorizadas aumenta a vulnerabilidade e os riscos nos processos da organização, que por sua vez acabam retardando a identificação dos problemas e dos aplicativos paralelos.
Além disso, o vazamento de informações causado pela prática do shadow it pode ser extremamente nocivo, gerando um enorme prejuízo financeiro.
Quebra do compliance
Sem o devido controle das atividades dos usuários e das transferências de dados, a instituição fica fragilizada em relação às obrigações legais.
Dessa forma, ela fica exposta a equívocos e ao descumprimento de normas e legislações que podem acarretar multas e restrições pelo governo e órgãos reguladores.
Desperdício de recursos
A contratação de diversos aplicativos paralelos têm altos custos e desperdício de recursos. Quando se contrata um único fornecedor a empresa tem ganhos de escala, além de ser possível elaborar um planejamento para as integrações e para o uso de links.
Quais são os princípios da segurança das informações?
Para compreender de forma mais aprofundada o que representa a segurança da informação para a gestão de um negócio e por que a organização deve se preocupar com shadow it é necessário conhecer os alguns princípios básicos.
Confidencialidade
Toda informação só pode ser acessada e atualizada por profissionais autorizados e devidamente licenciados.
Por isso, é fundamental contar com mecanismos de segurança da informação capazes de impedir que pessoas não autorizadas tenham acesso a dados confidenciais.
Confiabilidade
É a característica que dá credibilidade à informação. A corporação deve garantir a qualidade da informação com a qual o funcionário trabalhará.
Integridade
É a garantia da completude da informação, ou seja, que ela estará completa, exata e protegida contra alterações indevidas, fraudes e até mesmo contra a sua destruição. Dessa forma, são evitadas violações, sejam elas de caráter acidental ou proposital.
Disponibilidade
É a certeza de que os dados estarão acessíveis e disponíveis de forma contínua para os usuários autorizados.
Atualmente, os recursos tecnológicos de acesso remoto possibilitam a disponibilidade imediata da informação de qualquer lugar do mundo, a qualquer horário. Esse mecanismo viabilizou a administração remota de TI.
Autenticidade
É o controle de quem realizou acessos, atualizações e exclusões de qualquer dado por meio de registros que comprovem a autoria e originalidade.
Todos esses princípios da segurança da informação devem ser tratados com o máximo de cuidado e de forma criteriosa para que gestores, colaboradores, fornecedores, parceiros e clientes sejam beneficiados.
Como evitar o fenômeno shadow it?
O primeiro passo é realizar uma auditoria de TI para averiguar qual é a dimensão da infraestrutura paralela existente na companhia.
Depois, é preciso conhecer as necessidades dos departamentos e o que os levaram a adotar tais soluções alternativas. Além disso, há algumas ações que podem ser tomadas:
- procurar maneiras de aprimorar o desempenho do software de gestão, para que ele passe a atender as demandas;
- colocar as soluções usadas em shadow it em conformidade com os padrões de segurança, instruindo os profissionais para a utilização segura dessas ferramentas;
- buscar soluções com melhor custo-benefício e segurança do que as utilizadas em shadow it;
- realizar o monitoramento da rede para identificar o shadow it de forma mais rápida;
- incentivar o contato entre a TI e os demais setores, para que haja clareza quanto às demandas.
Como vimos, o fenômeno do shadow it pode trazer muitos problemas para as empresas, logo é fundamental buscar meios de minimizar os prejuízos causados por ele.
Agora que você já sabe o que é e como lidar com o shadow it, compartilhe este artigo com os seus seguidores nas redes sociais e ajude a difundir o conhecimento sobre este assunto tão importante para as organizações!