Rogue applications fly under-the-radar and are unaffected by IT policies – often called shadow IT.

O que é Shadow IT?

Retome o controle dos seus ativos

O que é Shadow IT?

Você provavelmente já ouviu falar de Shadow IT

No mundo de TI de hoje, a gestão e o controle dos ativos usualmente estão fora de controle. As organizações estão tendo dificuldades para entender o que compraram, o que foi implantado, se foi devidamente consumido, como foi utilizado e se foi de uma maneira segura. Isto porque o Shadow IT acontece quando os usuários instalam sistemas e aplicações dentro de organizações sem a aprovação do departamento de TI. 

Tome uma providência!

Por que isso é um problema?

Como mencionamos, o Shadow IT é qualquer aplicativo utilizado para processos de negócios que não tenha sido aprovado pelo departamento de TI ou de segurança de informação, é muito provável que a TI não tem ciência e não preste suporte a este aplicativo. Isto é um problema porque aumenta a probabilidade de fluxo de dados não oficiais, tornando mais difícil o cumprimento das seguintes normas de conformidade de dados. 

  • Lei Sarbanes-Oxley
  • Basel II
  • GLBA (Lei Gramm Leach Bliley)
  • COBIT (Objetivos de Controle para Informação e Tecnologia Relacionada)
  • FISMA (Lei Federal de Gerenciamento de Segurança da Informação de 2002)
  • DFARS ( Suplemento do Regulamento de Aquisição Federal para a Defesa)
  • GAAP (Princípios contábeis geralmente aceitos)
  • HIPAA (Lei de Portabilidade e Responsabilidade de Seguros de Saúde)
  • IFRS (Normas Internacionais de Informação Financeira)
  • ITIL (Biblioteca de Infraestrutura de Tecnologia da Informação)
  • PCI DSS (Padrão de Segurança de Dados da Indústria de Cartões de Pagamento)
  • TQM (Gerenciamento de Qualidade Total)
  • GDPR (Regulamento Geral de Proteção de Dados)
Roughly 90% of all installed applications are unknown to IT departments.

Ignorar o Shadow IT não é mais uma opção

A SoftwareONE estima que aproximadamente 90% de todas as aplicações instaladas a área de TI não tem conhecimento - mesmo em organizações financeiras, políticas e de saúde. Com vários esquemas de conformidade de dados em vigor globalmente, é importante que sua organização não aceite que Shadow IT aconteça, e comece a agir. O Shadow IT pode se tornar uma preocupação de conformidade quando, por exemplo, um funcionário armazena dados corporativos em sua conta pessoal do Dropbox ou Google Drive. 


As aplicações ilícitas que voam por baixo do radar e não são afetadas pelas políticas de TI e Segurança da Informação introduzem uma série de riscos legais e de segurança à sua organização porque não estão sujeitas às mesmas medidas protetivas que às tecnologias utilizadas e aprovadas.


IT and Information Security team are responsible for the risks involved from Shadow IT.

Quem participa do Shadow IT?

A empresa de consultoria CEB estima que 40% dos gastos com TI em uma empresa ocorrem fora do departamento. O rápido crescimento é geralmente impulsionado pelas aplicações na nuvem, como aplicativos de compartilhamento de arquivos, mídia social e ferramentas de colaboração. Também está sendo cada vez mais impulsionada por linhas de negócios que implementam aplicações SaaS de classe empresarial. Em muitos aspectos o Shadow IT está ajudando a tornar as empresas mais ágeis e os funcionários mais produtivos, e é por isso que ele é tão predominante. Entretanto, a TI e a equipe de Segurança da Informação ainda são responsáveis por garantir a segurança e a conformidade dos dados de negócios que os funcionários carregam nos serviços ao cliente.

Quem é responsável pelos riscos envolvidos no Shadow IT?

TI e sua equipe de Segurança da Informação. Embora a TI não seja responsável pela infraestrutura física ou pelo gerenciamento da aplicação, ela é responsável por garantir que os dados corporativos permaneçam seguros quando migrados para a nuvem. Isto coloca a TI em uma posição difícil. Eles podem não permitir  essa funcionalidade para funcionários que usam aplicativos em nuvem, chegando até mesmo a bloquear o acesso a aplicativos em nuvem usando o firewall ou proxy web da empresa. Nós não recomendamos isto. Infelizmente, para cada aplicativo bloqueado, os funcionários podem encontrar outros serviços menos conhecidos e potencialmente mais arriscados para usar no lugar dele.
O receio dos gerentes de TI, é que se o Shadow IT for permitido, os usuários criem silos de dados e impeçam que as informações sejam distribuídas toda a organização.  


40% of IT spending at a company occurs outside the IT department.

O que você pode fazer em relação ao Shadow IT?

Na SoftwareONE, nossa visão é que você nunca entenderá todo o alcance do Shadow IT em uma determinada organização sem fazer um inventário adequado de seu ambiente usando ferramentas de escaneamento. No entanto, você pode implementar as seguintes ações:

Trabalhar em conjunto

Os usuários querem ser produtivos e às vezes a TI deve oferecer mais opções e ser um " Facilitador de Negócios" em vez de negar pedidos que não fazem parte das aplicações comerciais aprovadas.

Assim, para evitar os riscos do Shadow IT, se reunir regularmente com os usuários e ouvir o que eles têm a dizer sobre suas preocupações e tecnologias que eles acreditam que podem ajudar seu dia a dia. A TI deve incentivar uma cultura de serviço proativa para reduzir o uso do Shadow IT e deve compreender as exigências dos departamentos e usuários para melhorar a produtividade.  

Gerenciamento de ativos de software

É fundamental estar no controle em qualquer momento quais tecnologias estão sendo utilizadas e quais dados são processados. A TI deve manter um catálogo de software pré-aprovados que possam ser selecionados pelos usuários para evitar a espera pela aprovação do software. Ao trabalhar em colaboração com os usuários, a TI pode manter este catálogo de softwares relevantes em uma base regular. A equipe de Segurança da Informação deve ter um controle para rastrear e monitorar os softwares instalados.

Fique em conformidade

A conformidade é uma das principais preocupações do Shadow IT com regulamentos como A LGPD, que exigem que as organizações protejam os dados de seus clientes. A TI deve manter controles rigorosos sobre o acesso aos dados para garantir que eles estejam seguros e sejam precisos. Gerenciar o acesso e monitorar quem tem acesso privilegiado é fundamental. Outros aspectos, incluindo backups, a manutenção das versões mais recentes e o tratamento de vulnerabilidades, são todos críticos para a proteção de dados. Quando os usuários instalam e utilizam software não aprovado, eles devem ser conscientizados das melhores práticas de segurança e da gravidade de suas ações.

Dito tudo isso, o Shadow IT não é totalmente ruim - se gerenciada de maneira eficaz, ele pode até ser uma fonte de inovação. Os funcionários novos ou mais jovens podem ter preferido softwares que utilizam e que poderiam trazer benefícios para a empresa. Ao invés de bloquear cada pedaço do Shadow IT, a equipe de TI deveria construir um processo para gerenciá-la através do uso contínuo de ferramentas de escaneamento e dos serviços gerenciados da SoftwareONE.

6 principais pontos de verificação de Shadow IT

Estes são os 6 principais pontos de entrada para o Shadow IT em sua organização

#1 Serviço de software (SaaS)

Os usuários têm opções gratuitas de aplicativos na nuvem que querem usar para resolver suas necessidades de negócios. O departamento de TI raramente tem qualquer ideia do que está sendo usado, podendo levantar questões de segurança e conformidade. Os departamentos de TI estão começando a perceber que o problema não é quando um usuário se cadastra para um único serviço aqui ou ali - é quando muitas pessoas se cadastram neles.

#2 Nuvem Pública

A partir de 2019, 21% de todos os arquivos na nuvem contêm dados sensíveis e os 23% dos links públicos compartilhados por usuários de acordo com o Relatório de Adoção e Risco da McAfee sobre a Nuvem. O relatório também revela que 5,5% dos buckets AWS S3 têm permissões de "leitura mundial", tornando-os abertos ao público. As organizações, usa em média 1.935 serviços únicos na nuvem, 15% a mais que no ano anterior. O relatório afirma que infelizmente, a maioria pensa que só usa 30.

#3 On-premises Apps

m um ambiente em instalações, pode parecer fácil bloquear aplicativos indesejados, mas isso não conta como uma solução completa. Por exemplo, mesmo os macros que os funcionários usam no FileMaker Pro ou Excel podem expor uma ameaça a uma organização. 

Pense também nos aplicativos móveis, já que são ainda mais difíceis de controlar, especialmente se o BYOD for uma opção para os usuários.

#4 Segurança

Atividades como folha de pagamento, projetos, backups e planejamento de negócios ocorrendo na nuvem criaram um problema de segurança desafiador que a maioria das organizações luta para resolver: Shadow IT na nuvem. Embora os benefícios sejam enormes: economia de custos, facilidade de configuração, flexibilidade e mobilidade, o departamento de TI raramente tem uma boa ideia do que está sendo utilizado, e isto pode levar a problemas de segurança e conformidade.

#5 LGPD

Assim como no SaaS, os usuários podem decidir por si mesmos iniciar uma assinatura na nuvem, mas o risco de vulnerabilidade é muito maior e a visibilidade limitada torna impossível para o departamento de TI suportar a plataforma do usuário.

#6 Políticas

Em um ambiente em instalações, é fácil bloquear aplicações indesejadas, mas isso não conta como uma solução complete. E os macros que os funcionários fazem com Filemaker Pro ou Excel? 

Os especialistas da SoftwareONE estão preparados para apoiar os clientes em seus esforços para eliminar ou pelo menos reduzir o Shadow IT.
Estamos capacitando às organizações de TI a prevenir instalações e consumo não autorizados com os processos e políticas corretos, bem como ajudá-las a detectar delitos contra ela.

A criação dos processos e da governação certa para prevenir o Shadow IT tem sempre um componente de gerenciamento de mudanças como parte crucial incorporada, uma vez que, no final do dia, trata-se de mudar o comportamento dos funcionários. Nossos consultores ajudam você a projetar processos para fornecer experiências de solicitação de software convenientes para os clientes. Ao avaliar seu conjunto de ferramentas e dados de gastos, somos capazes de estruturar processos que reduzem significativamente o tempo de execução. Com a campanha de comunicação correta implementada, os usuários finais utilizarão finalmente esses processos padrão, o que garante uma discussão guiada sobre o que será usado e, por fim, evita o Shadow IT.
Como nenhum processo e conceito de governança funciona 100% do tempo, a SoftwareONE permite aos clientes avaliar e descobrir seus erros passados. Ao definir uma estratégia junto com as organizações de Segurança, SAM e Infraestrutura de TI podem determinar melhor como o Shadow IT afeta seu patrimônio de software. Levando em consideração aplicativos móveis, on premises, XaaS (Qualquer coisa como serviço) e Data Center, não haverá uma solução única, mas sim um conjunto de ferramentas e processos para cobrir todo o ambiente de software. Finalmente, uma vez que você tenha examinado seu ambiente, podemos apoiá-lo para determinar seu risco e definir estratégias de mitigação. Nossos especialistas utilizarão diferentes fontes de dados para identificar ameaças ao seu patrimônio, não importando se é relacionado à conformidade, à LGPD ou à segurança virtual.


The Chronicles of Shadow IT

Artigos relacionados

Entre em contato conosco!

Contate-nos hoje preenchendo esse rápido formulário e nossos especialistas entrarão em contato.

Contate-nos