Shadow IT: conheça a gestão invisível de tecnologia Postado por: AMTI - 21/03/17


Você já ouviu falar em Shadow IT? Talvez ainda não, no entanto, depois de ler este artigo, você se dará conta de que sua empresa já está vivendo este fenômeno — ou estará em breve. Ele é um sinal dos tempos na chamada Era da Transformação Digital, especialmente no que tange à cloud computing, a computação em nuvem.

Como tudo na vida, a cloud computing e a tecnologia digital, de uma forma mais abrangente, apresentam uma dicotomia. Por um lado, a boa notícia sobre a era de soluções de negócios baseados em nuvem é que hoje é mais fácil do que nunca para as unidades de negócios ou departamentos obter as funcionalidades de que precisam quase que instantaneamente, através de um provedor. Por outro, a má notícia é que está crescendo o número de empresas que perdem o controle do que seus usuários estão adquirindo e utilizando — o que traz sérios riscos, sobretudo para a segurança da informação.

Neste post, você vai entender o conceito de Shadow IT. Também vai perceber que, apesar do desafio que ele impõe aos negócios, não é, necessariamente, um vilão. Há oportunidades neste novo paradigma. E elas vão desde a melhoria na gestão de TI até estímulos à inovação nos negócios. Continue lendo e entenda mais:

O que é Shadow IT?

O glossário de tecnologia do Gartner, a mais respeitada empresa de pesquisa em TI corporativa do mundo, sintetiza Shadow IT como o termo que “se refere a dispositivos de TI, software e serviços fora da propriedade ou controle de empresas de TI”.

Dito de outra forma, Shadow IT é o uso de soluções de TI (softwares e hardwares) dentro de uma organização sem a aprovação, ou mesmo o conhecimento, de seu departamento de tecnologia. Trata-se de um fenômeno que vem ganhando força nos últimos tempos, sobretudo por conta da acessibilidade que o digital trouxe — 23% dos gastos com tecnologia dentro das empresas é hoje dedicado a serviços e ferramentas baseadas na computação em nuvem, de acordo com a Cisco.

A facilidade que se tem hoje para desenvolver e adquirir recursos tecnológicos é, ao mesmo tempo, uma vantagem e um desafio. Se por um lado, os usuários podem adotar mais ferramentas e equipamentos para suas demandas em poucos cliques, por outro, eles deixam de sentir necessidade de homologar suas aquisições junto ao pessoal de TI. E é deste comportamento das pessoas que nasce o Shadow IT.

Os vários níveis de Shadow IT

Talvez a primeira pergunta que venha ao gestor de TI é “quem, dentro da empresa, está promovendo o Shadow IT?”. Dizendo de uma forma bem simples e direta: todos. Mesmo aqueles que trabalham no departamento de TI, em algum momento, vão incorrer na prática, pois normalmente estes profissionais compreendem os riscos melhor do que a média dos trabalhadores. Ou seja, eles acreditam que o seu padrão de julgamento é melhor, por isso, relaxam e perdem o medo de arriscar.

Muitas vezes, os colaboradores são levados a usar serviços de TI sem passar pelo pessoal de tecnologia devido ao fato de que os protocolos apropriados se tornam complicados, burocráticos e muito demorados. A rotina frenética do dia a dia exige decisões rápidas, sem muito tempo para a reflexão.

Além disso, muitos profissionais usam os mesmos programas no trabalho e em casa. Verificar e-mail pessoal ao longo do tempo ou conversar com os amigos fora da empresa não é mais visto pela maioria das pessoas como uma violação de segurança. Se é tão simples baixar um aplicativo de mensagens instantâneas no tablet corporativo, por exemplo, porque isso poderia prejudicar a empresa? É mais ou menos assim que as pessoas pensam atualmente.

Os 5 principais riscos do Shadow IT

Existem muitos riscos a serem considerados quando falamos de Shadow IT. Dentre eles, os principais são:

1. Não cumprimento do gerenciamento de ativos de softwares

Gerenciamento de ativos de software (SAM) é um desafio grande o suficiente quando se tem processos decentes para gerir a aquisição de licenças. Sempre que os certificados são adquiridos fora deste processo, sem o conhecimento de TI, a organização está exposta a riscos desnecessários.

A descoberta de softwares não aprovados pode demandar uma auditoria completa da infraestrutura, juntamente com os custos financeiros e mobilização de recursos associados para garantir o cumprimento das regras. E, como sabemos, há inúmeros problemas legais (multas, entre outras sanções) e até éticos envolvidos em questões de softwares não licenciados.

2. Dificuldades de governança e com as normas governamentais

As empresas investem pesadamente para garantir o atendimento dos regulamentos impostos pelo governo e indústria. Além disso, existem as normas como a ISO/IEC 20000 para demonstrar qualidade aos clientes.

Investir tempo e recursos para sistemas de documentos, fluxo de processos e modelos de negócios é um esforço desperdiçado se a documentação não reflete a realidade.

3. Falta de testes e controle de mudanças

Quando novos dispositivos ou aplicativos aparecem na infraestrutura corporativa sem orientação do departamento de TI, a mudança e liberação dos processos de gestão são ignoradas e o impacto sobre outros aspectos da infraestrutura não é considerado.

Um dos principais drivers para implantação de software como serviço (SaaS) é que o fornecedor tome posse do processo de atualização e liberação para que os clientes de SaaS tenham sempre a versão mais recente. No entanto, atualizações malfeitas ou ignoradas podem trazer diversos problemas técnicos e também tornar a infra vulnerável.

4. Dificuldades com o gerenciamento de configuração

Grupos de TI podem ter passado meses ou mesmo anos preenchendo um banco de dados de gerenciamento de configuração (CMDB) e definindo relações entre os sistemas. Se os usuários forem para fora dos canais oficiais, serviços ou sistemas-chave não podem ser adicionados ou suportados porque se tornam inconscientes.

5. Ameaças à segurança dos dados

Por fim, todos os riscos descritos até aqui desembocam na maior das preocupações das empresas hoje: a segurança dos dados corporativos. Sem gerenciamento eficaz de ativos de softwares, com normas de governança não respeitadas, faltando testes e controle de mudança e com dificuldades de gerenciamento de configuração, é possível que as vulnerabilidades se multipliquem.

Para se ter uma ideia, um estudo da IBM publicado recentemente mostra que grande parte dos incidentes de segurança da informação está relacionada a erros cometidos pelos usuários das empresas.

Por que o Shadow IT acontece?

Em uma pesquisa realizada em 2013 pela McAfee, mais de 80% dos profissionais inquiridos admitiram o uso de softwares como serviço (SaaS) não aprovados em sua rotina de trabalho.

Isto é particularmente prevalente em empresas menores, onde os empregados são normalmente incentivados a usar sua própria iniciativa a pensar em torno de problemas — e onde, em geral, há muito menos burocracia do que em empresas maiores. Não significa que não aconteça também nas grandes organizações.

Então por que é que o fenômeno do Shadow IT está crescendo? Há alguns pontos a se considerar:

  • Os aplicativos funcionários baixados em casa são, muitas vezes, melhores do que os disponíveis no ambiente corporativo: funcionários trazem seus próprios recursos de TI para preencher as lacunas de uma infraestrutura desatualizada.

  • Mais ambientados com a tecnologia, os funcionários usam seus próprios conhecimentos de aplicativos e TI: eles querem resolver problemas quando não há alternativas sancionadas pela empresa.

  • Os funcionários não entendem o risco — ou pensam que vale a pena arriscar: a busca por respostas rápidas faz com que as pessoas vejam o risco como algo menor do que realmente é.

  • O departamento de TI não ouviu: sem dúvida, na equipe de TI é que estão os especialistas. Mas eles têm ouvido com a devida atenção às demandas dos usuários? Provavelmente não, se todo mundo está baixando suas próprias aplicações.

É importante pontuar a “mea culpa” do departamento de TI, que, muitas vezes, acaba deixando de assistir os apelos dos executivos de negócio. Estes, muitas vezes optam pela “gestão invisível” de recursos tecnológicos para agir com mais urgência, proatividade e até para evitar que o time de TI atrase seus projetos.

Outro ponto interessante a observar é que algumas empresas acabam pecando pelo excesso de independência dos seus departamentos, incluindo orçamentos para a aquisição de recursos de TI em seus centros de custos. Isso pode ser confundido com liberdade total para fazer as próprias escolhas tecnológicas, o que lá na frente pode se revelar um problema.

É possível resistir ao Shadow IT?

Há inúmeros especialistas apontando para a direção de um Shadow IT sem volta. Eles aconselham que os gestores de TI e executivos de negócio estejam preparados para um caminho de desenvolvimento contínuo e assegurem que futuras implementações são um negócio, em vez de baseadas na tecnologia.

Naturalmente, as empresas precisam se proteger contra a perda de controle dos seus dados e não devem encorajar o uso contínuo de aplicativos que não passem pelo crivo dos profissionais competentes para avaliá-los, especialmente quando se trata do processamento de dados considerados sensíveis.

No entanto, tudo indica que não se pode nadar contra a maré. A melhor abordagem é a de saber o que a empresa está usando, aceitar que isto é necessário e então encontrar alternativas mais focadas em negócios para evitar ou intensificar problemas.

Shadow IT é uma oportunidade de gestão?

Depois de apontarmos os principais riscos, como a falta de comunicação e transmissão de conhecimento entre os membros da empresa, podemos também dar um tom mais otimista em relação ao Shadow IT.

E não se trata apenas de se conformar com um fenômeno que não parece que vai cessar tão cedo. Trata-se de saber administrá-lo para gerenciar os desafios que ele impõe aos negócios.

4 perguntas a serem respondidas antes de abraçar ou restringir o Shadow IT

Antes de tomar o fenômeno Shadow IT como ameaça ou oportunidade, é importante que o gestor de TI responda às seguintes perguntas:

  1. Existe uma razão específica para que uma solução seja considerada inadequada para a empresa ou o simples fato de não ter sido adquirida através da TI já é suficiente?

  2. Se os usuários sentem claramente que precisam de um recurso tecnológico, ele pode ser incluído na política de TI da empresa?

  3. Existe uma opção de Shadow IT atualmente em uso na organização?

  4. Você pode integrar shadow IT (determinadas aplicações, serviços ou dispositivos) em seus ativos de TI e instalar as medidas de segurança adequadas à sua volta?

Dicas para transformar o Shadow IT em oportunidades de gestão

A seguir, veja outras dicas para lidar com o Shadow IT de uma forma proveitosa para o departamento de TI e para o negócio:

Faça uma auditoria minuciosa em toda a infraestrutura

Os gestores de TI devem aprofundar seu conhecimento sobre a “tecnologia particular” de cada departamento da empresa. Ou seja, fazer uma auditoria e mapear minuciosamente tudo que cada área já adquiriu e está utilizando para, assim, começar a traçar um plano de gestão e segurança da informação que abarque os recursos que estavam ocultos até então.

Estabeleça regras claras e dê opções aos usuários

Para acomodar as necessidades das unidades de negócio, a TI pode criar e compartilhar uma lista de programas aprovados. Dentro das opções pré-selecionadas, as pessoas podem fazer suas próprias decisões de compra para ter certeza de que a introdução não vai causar problemas de compatibilidade ou de segurança.

Crie um programa de “anistia” a quem incorreu no Shadow IT

Ao identificar recursos de TI não homologados, a empresa pode punir os usuários e fazer bloqueios. No entanto, além de ser uma atitude que pode ser considerada hostil, é possível que nem tudo possa ser bloqueado em tempo hábil.

Muitas empresas estabelecem um projeto de “perdão” aos usuários que, voluntariamente, revelarem as aplicações e os dispositivos que estão utilizando sem o consentimento do pessoal de tecnologia. Esta abordagem pode ser mais engajadora e conscientizadora, e surtir bons efeitos em médio e longo prazo.

Conscientize os usuários e os líderes de departamentos

Para isso, é aconselhável que haja uma abordagem empática e voltada para engajar os usuários e líderes de departamentos. Do contrário, é possível que não haja colaboração e que o relacionamento sofra prejuízos e desconfortos.

Há, portanto, o esforço de quebrar paradigmas e descentralizar o poder, promovendo um entendimento entre os usuários e as lideranças. Apontar os benefícios deste trabalho pode ser a melhor escolha, pois, assim, as pessoas tendem a se abrir para a realização do levantamento e posterior homologação.

Transforme o departamento de TI em um braço de apoio à organização

O fenômeno Shadow IT é também uma oportunidade para a transição da TI tradicional (focada apenas em resolver problemas e dar suporte) para um departamento mais estratégico e voltado a dar apoio ao negócio.

Para isso, é importante que a alta executiva da empresa seja conscientizada do desafio e apoie esta transição, o que ajudará na disseminação da importância do time de tecnologia para as lideranças e, consequentemente, para os usuários. A atuação da TI deve passar a ser mais preventiva e proativa, mais consultiva.

E isso tudo deve perpassar uma real preocupação em ouvir as demandas dos usuários e ganhar a confiança deles para que exponham seus problemas diários, seus anseios em relação à tecnologia. Naturalmente, com o passar do tempo, é claro, haverá mais confiança por parte das pessoas e elas pensarão duas vezes antes de fazer uma aquisição de ferramenta ou dispositivo sem consultar a TI.

Monitore o tráfego de saída

Uma das melhores maneiras de saber o que está acontecendo dentro de sua rede é monitorar o tráfego de saída. Firewalls são usados ??na maioria das vezes para controlar o tráfego de entrada, com os dados de entrada, muitas vezes sendo ignorados. Se você definir o seu firewall para manter um registo de saída detalhada e olhar para onde o tráfego está indo, vai rapidamente ser capaz de identificar alguns dos aplicativos que não são homologados para uso dentro da organização.

Se, por exemplo, o DropBox não é uma aplicação corporativa autorizada, e o registo mostra o tráfego para o site, será possível detectá-lo. Com um pouco de trabalho de detetive, é possível identificar os usuários que baixaram e estão utilizando esta plataforma na rede corporativa.

Invista na computação em nuvem para tornar o Shadow IT mais visível

Além disso, é importante buscar ferramentas e métodos para lidar com o Shadow IT. Uma boa escolha é optar pela computação em nuvem para ampliar o poder de monitoramento e gerenciamento de ativos de software, equipamentos e infra de um modo geral.

É preciso investir em capacidades de previsão, colocando inteligência no contexto por descobrir a extensão da pegada digital e os serviços de nuvem em uso. Quem está usando? Por que eles estão sendo usados? Que dados estão sendo compartilhados? Estas informações podem então ser utilizadas para avaliar os riscos que cada serviço, aplicativo ou site coloca no contexto de estruturas de protecção de dados e conformidade da organização.

Com a nuvem, a empresa também poderá diminuir os custos de infra para prover mais recursos de tecnologia aos usuários, concedendo, por exemplo, mais mobilidade para que as pessoas não precisem estar entre as quatro paredes dos escritórios para operar os sistemas corporativos. Sobrará mais recursos financeiros para adquirir dispositivos e aplicativos, além de serviços baseados em nuvem que evitem que as pessoas façam escolhas sem consultar a TI.

Shadow IT deve ser transformado em oportunidade de inovação

Os líderes de TI lamentam o uso da tecnologia não autorizada dentro de suas organizações, e o termo “shadow IT” evoca imagens negativas nas mentes da maioria deles. Mas, ao dar ao fenômeno um aspecto 100% ruim, os CIOs estão negligenciando os benefícios que podem ser extraídos deste comportamento dos usuários de ir em busca das soluções, as oportunidades que podem impulsionar a inovação nos negócios.

Há uma tendência de colocar toda a culpa no pessoal da empresa. Afinal de contas, eles estão indo atrás por conta própria volta e ignorando procedimentos formais na busca de recursos e serviços de tecnologia. No entanto, em um estudo revelador, a empresa de análises Frost and Sullivan descobriu em 2015 que o Shadow IT não é realmente o resultado de “funcionários desonestos que procuram rebelar-se”, mas sim a incapacidade ou falta de vontade do departamento de TI para fornecer aos usuários a tecnologia que eles precisam.

Nas empresas pesquisadas, 49% dos profissionais se dizem estar mais familiarizados e confortáveis com a sua aplicação não aprovada, e são, portanto, capazes de fazer o seu trabalho de forma mais eficiente. Cerca de 38% dos funcionários culpou “os processos de aprovação de TI lentos ou complicados” para a necessidade de adquirir serviços externos.

A maioria dos funcionários está cientes dos potenciais riscos de segurança que estão expondo sua organização, mas sentem que o seu comportamento é justificado se suas necessidades não estão sendo atendidas internamente. No entanto, como vimos, Shadow IT só constitui uma ameaça se não for gerido corretamente, ou pior, ignorado.

E mesmo assim, questões de segurança à parte, a maior ameaça vem da própria mentalidade do pessoal de TI. O que será deixado para que ele faça se os usuários corporativos tomam iniciativas estratégicas autossuficientes e conseguem gerir suas próprias necessidades tecnológicas?

A melhor maneira de os CIOs abordarem a questão do Shadow TI é oferecer o tipo de agilidade e funcionalidade que os colaboradores precisam para que não seja necessário olhar para além dos muros da organização. Isto significa gastar menos energia em reforçar a política corporativa, e mais em ter uma atuação estratégica e analítica.

Gestores de TI devem reconhecer que o fenômeno do Shadow TI pode ter impactos positivos para eles (profissionalmente falando) e para a organização como um todo. Por exemplo, ele permite que a TI ganhe um insights sobre o tipo de ferramentas e as diferentes funções necessárias para aumentar a eficiência nos processos. Significativamente, ele também pode desencadear novas ideias para a inovação.

O primeiro passo para isso é começar a se comunicar com outras áreas de negócio. A TI precisa ter tempo para entender as causas profundas do Shadow IT e também a humildade de avaliar se o seu portfólio de serviços realmente pode satisfazer as necessidades dos usuários. Desta forma, o departamento de TI pode ser lido como uma área que está dando passos positivos no sentido de ser um facilitador — em vez de um obstáculo — para a inovação.

O que você achou da nossa explicação sobre o Shadow IT? Para continuar aprendendo com nossas publicações, curta nossa página no Facebook e nos acompanhe!



Comentários