O que é Shadow IT?

Definição de shadow IT

Shadow IT é o uso não autorizado de qualquer serviço ou dispositivo digital que não seja formalmente aprovado e suportado pelo departamento de TI.

Embora os usuários geralmente recorram à shadow IT para melhorar a velocidade com que podem executar seus trabalhos, o uso desses serviços é desconhecido pela equipe de TI e, portanto, não é protegido pelas soluções ou protocolos de cibersegurança da organização. No caso de workloads na nuvem e outros serviços usados por desenvolvedores, os ativos podem conter vulnerabilidades sérias, como o uso de senhas padrão ou erros de configuração. Isso aumenta exponencialmente o risco de comprometimento de dados, não conformidade e outras responsabilidades.

Exemplos de shadow IT

Exemplos de shadow IT incluem:

• Criação de workloads na nuvem usando contas ou credenciais pessoais
• Aquisição de aplicações de software como serviço (SaaS) ou outras assinaturas de serviços em nuvem que fiquem abaixo dos limites de compra definidos pela TI
• Uso de aplicações de fluxo de trabalho ou produtividade como Trello ou Asana
• Aproveitamento de serviços de nuvem pública, como Google Drive ou Box, para armazenar, acessar ou compartilhar dados ou outros ativos
• Uso de plataformas de mensagens ou aplicações de comunicação, como WhatsApp ou Zoom, para conduzir comunicações relacionadas ao trabalho

Por que a shadow IT é um problema crescente?

O uso da shadow IT tem se tornado cada vez mais comum nos últimos anos devido aos esforços de transformação dos negócios. Um estudo de 2019 do Everest Group estima que quase metade de todos os gastos com TI "fica oculto". Notavelmente, esses números são pré-pandemia. É provável que um fluxo repentino de trabalhadores remotos devido às restrições da COVID-19 tenha aumentado ainda mais o uso da shadow IT, à medida que os trabalhadores lutam para manter a produtividade em um novo ambiente com recursos limitados.

O uso da shadow IT raramente é malicioso. Em vez disso, é uma prática adotada pelos funcionários porque suas funções diárias exigem acesso rápido, flexível e sem atrito a diferentes ferramentas e aplicações.

A adoção do DevOps é um dos principais impulsionadores da proliferação da shadow IT. As equipes de nuvem e DevOps gostam de rodar de forma rápida e sem atrito. No entanto, obter os níveis de visibilidade e gerenciamento que as equipes de segurança exigem muitas vezes leva a contratempos e atrasos no ciclo de desenvolvimento. Quando um desenvolvedor cria uma workload na nuvem usando suas credenciais pessoais, ele não o faz por preferência ou por maldade, mas porque passar pelos canais internos adequados pode atrasar o trabalho e fazer com que toda a equipe perca um prazo.

A resposta para a shadow IT, portanto, não é descobrir como eliminar seu uso, mas como fornecer aos funcionários os recursos necessários para atingir os objetivos de negócios com rapidez e em escala.

Riscos e benefícios da shadow IT

Do ponto de vista de TI e cibersegurança, a shadow IT é um problema que deve ser gerenciado para manter a visibilidade da rede e garantir sua segurança. Mas o que acontece com os funcionários que dependem desses ativos para fazer seu trabalho e com os gerentes que fazem vista grossa a esses métodos? Certamente, eles veem algum benefício na shadow IT. Mas esse benefício supera o risco?

Nesta seção, examinamos mais de perto os benefícios e riscos da shadow IT para dar às organizações uma noção melhor do que está em jogo e por que as equipes de TI precisam refinar processos e procedimentos para oferecer a facilidade de uso e a velocidade da shadow IT sem criar riscos indevidos.

Benefícios da shadow IT

Alguns dos benefícios oferecidos pela shadow IT incluem:

• Acesso mais rápido aos recursos necessários, o que melhora a eficiência e impulsiona a inovação
• Custos reduzidos através do uso de serviços gratuitos ou acessíveis baseados na nuvem
• Otimização de recursos limitados de TI, incluindo pessoal, por meio de autoatendimento de solicitações básicas
• Comunicação e colaboração aprimoradas por meio de aplicações e plataformas altamente intuitivas e acessíveis
• Uma experiência positiva do usuário por meio da redução da administração e da burocracia

Riscos da shadow IT

Embora existam muitos benefícios na shadow IT, as empresas não podem subestimar o nível de risco criado pelo uso de ferramentas, aplicações ou dispositivos não autorizados, qualquer um dos quais pode servir como ponto de entrada para um ciber criminoso. À medida que as organizações enfrentam um cenário de ameaças cada vez mais perigoso, é importante limitar os riscos introduzidos pela shadow IT. Esses riscos incluem:

1. Visibilidade e controle

O velho ditado é verdadeiro: você não pode proteger o que não pode ver.

Por definição, a shadow IT fica fora da visão de segurança da TI, o que aumenta a probabilidade de que vulnerabilidades, erros de configuração e violações de políticas não sejam detectadas.

Embora o crescimento do autoprovisionamento do usuário possa ser bom para a velocidade, ele tem suas desvantagens quando se trata de segurança. Ao descentralizar o poder de provisionamento de recursos, as organizações podem criar um ambiente que permite maior agilidade, mas não compromete a visibilidade.

2. Perda de dados

Outro desafio da shadow IT é que dados ou outros ativos armazenados em contas pessoais não são acessíveis a outras pessoas na empresa. Se um funcionário pedir demissão ou for demitido, ele ainda poderá manter o acesso aos ativos armazenados na nuvem, e a empresa poderá perder o acesso a esses ativos.

Outra consideração importante é que a shadow IT não está sujeita às políticas e procedimentos corporativos. Isso pode significar que os dados armazenados em um servidor em nuvem não são copiados, arquivados ou criptografados de acordo com a política da empresa.

3. Expansão da superfície de ataque

Embora a perda de dados seja uma preocupação importante para as organizações, o roubo de dados talvez seja um risco ainda maior.

Com cada instância de shadow IT, a superfície de ataque da organização é expandida. Como a shadow IT não é visível para a equipe de TI ou de cibersegurança, esses ativos não são protegidos pelas soluções de cibersegurança da organização, como serviços de detecção e resposta de endpoint (EDR), antivírus de próxima geração (NGAV) ou inteligência de ameaças .

Além disso, os serviços de shadow IT são frequentemente criados usando credenciais fracas ou padrão e podem estar sujeitos a erros de configuração, todas as quais podem ser exploradas por adversários e usadas como um caminho para a rede corporativa mais ampla da organização.

4. Ineficiências do sistema

A shadow IT tende a ser um problema complexo. Quando uma organização não fornece aos funcionários recursos adequados para concluir seu trabalho e as pessoas se autoprovisionam para resolver uma deficiência, é menos provável que a empresa reconheça a necessidade de investimentos em infraestrutura, novas habilidades ou procedimentos.

Além disso, em casos de shadow IT, as organizações não têm uma única fonte de verdade quando se trata de dados. Isso significa que a análise e os relatórios de dados podem ser imprecisos, inconsistentes ou incompletos. Isso pode prejudicar a qualidade dos insights produzidos a partir desses dados e introduzir problemas de conformidade.

5. Custo

Em muitos casos, os funcionários recorrem à shadow IT como forma de reduzir custos. No entanto, o uso a longo prazo desses serviços, ou a expansão deles para toda a empresa, pode não ser rentável. Por exemplo, um serviço de armazenamento em nuvem pessoal escalado para atender a uma conta empresarial é extremamente caro em comparação com serviços desenvolvidos especificamente para dar suporte a clientes corporativos.

A shadow IT também introduz custos indiretamente na forma de multas e penalidades por não conformidade, danos à reputação no caso de um ataque ou suporte de TI intensivo e oportuno se e quando o serviço precisar ser migrado ou desprovisionado.

Como gerenciar o risco da shadow IT

O desafio de reduzir os casos de shadow IT não está nos funcionários, mas na empresa. As organizações devem tomar medidas para entender e atender às necessidades de seus funcionários, tornando assim o processo de aprovação e provisionamento rápido e sem atrito.

Mesmo nas organizações mais avançadas, alguns casos de shadow IT são inevitáveis. Para isso, as empresas precisam encontrar maneiras de identificar esses casos de forma eficaz e gerenciar os riscos. As empresas podem tomar as seguintes medidas para reduzir o uso de shadow IT e limitar seus riscos:

1. Entenda as necessidades da organização e da equipe por meio de auditorias abrangentes e regulares em toda a empresa.
2. Use tecnologia avançada para monitorar continuamente a rede e garantir visibilidade e controle de todos os dispositivos, aplicações e sistemas.
3. Comunique-se, colabore e treine todos os funcionários sobre o uso seguro de todas as ferramentas e tecnologias e o protocolo adequado para o fornecimento de um novo serviço.
4. Estabelecer e aplicar postura de segurança, políticas e conformidade.
5. Crie um framework que avalie os riscos e priorize os esforços de remediação

Eliminando o risco de shadow IT com o CrowdStrike Falcon Cloud Security

O CrowdStrike Falcon® Cloud Security é uma ferramenta de gerenciamento de postura de segurança em nuvem (CSPM) que detecta e previne erros de configuração e ameaças ao painel de controle, elimina pontos cegos e garante a conformidade em todas as plataformas de nuvem, incluindo AWS, Azure e Google Cloud.

O Falcon Cloud Security oferece visibilidade completa do seu ambiente multinuvem por meio de uma única fonte de verdade para recursos de nuvem.

O Falcon Cloud Security oferece:

• Monitoramento inteligente contínuo de recursos de nuvem para identificar instâncias de shadow IT e detectar proativamente configurações incorretas e ameaças
• Implementação segura de aplicações na nuvem com maior velocidade e eficiência
• Visibilidade e controle unificados em ambientes multinuvem
• Remediação guiada para resolver riscos de segurança
• Proteções para ajudar os desenvolvedores a evitar erros dispendiosos
• Detecção de ameaças direcionada para reduzir a fadiga de alerta
• Integração perfeita com soluções de gerenciamento e correlação de eventos de segurança (SIEM)

Para obter mais informações sobre como o Falcon Cloud Security pode ajudar a reduzir o risco de shadow IT em sua organização, baixe nosso data sheet ou agende uma demonstração hoje.