A shadow IT é qualquer software, hardware ou recurso de TI usado em uma rede corporativa sem a aprovação do departamento de TI e, muitas vezes, sem seu conhecimento ou supervisão. Alguns exemplos de shadow IT seriam: compartilhar arquivos de trabalho em uma conta pessoal do Dropbox ou em uma unidade USB, fazer reuniões no Skype quando a empresa usa o WebEx e iniciar um grupo no Slack sem a aprovação do departamento de TI.

A shadow IT não inclui  malware  ou outros ativos maliciosos implementados por hackers. Refere-se apenas a ativos não autorizados implementados por usuários finais autorizados da rede.

Os usuários finais e as equipes geralmente adotam a shadow IT porque podem começar a usá-la sem esperar a aprovação do departamento de TI ou porque sentem que ela oferece funcionalidades melhores para seus propósitos do que qualquer outra alternativa oferecida pelo departamento. No entanto, apesar desses benefícios, a shadow IT pode resultar em riscos de segurança significativos. Como a equipe de TI não tem conhecimento da shadow IT, ela não monitora esses ativos, não os analisa nem aborda suas vulnerabilidades. A shadow IT é particularmente propensa à exploração por hackers. De acordo com o  relatório State of Attack Surface Management 2022  da Randori, quase sete em cada dez organizações foram comprometidas devido à shadow IT no ano passado.

De acordo com a Cisco, 80% dos funcionários das empresas usam a shadow IT. Funcionários individuais geralmente adotam a shadow IT devido à conveniência e à produtividade, pois sentem que podem trabalhar de maneira mais eficiente ou eficaz com seus dispositivos pessoais e softwares preferenciais, em vez de usar os recursos de TI autorizados pela empresa.

Isso só aumentou com a consumerização da TI e, mais recentemente, com a ascensão do trabalho remoto. O software como serviço (SaaS) permite que qualquer pessoa com um cartão de crédito e um mínimo de conhecimento técnico implemente sistemas de TI sofisticados para colaboração, gerenciamento de projetos, criação de conteúdo e muito mais. As políticas de BYOD (Bring Your Own Device) das empresas permitem que os funcionários usem seus próprios computadores e dispositivos móveis na rede corporativa. No entanto, mesmo com um programa formal de BYOD em vigor, as equipes de TI geralmente não têm visibilidade do software e dos serviços que os funcionários usam no hardware de BYOD, e pode ser difícil aplicar as políticas de segurança de TI nos dispositivos pessoais deles.

Apesar disso, a shadow IT nem sempre é o resultado da ação individual de um funcionário, pois esses aplicativos também são adotados por equipes. De acordo com a Gartner, 38% das compras de tecnologia são gerenciadas, definidas e controladas por líderes de negócios, não pelo departamento de TI. As equipes querem adotar novos serviços em nuvem, aplicativos de SaaS e outras tecnologias da informação, mas geralmente sentem que os processos de aquisição implementados pelo departamento de TI e pelo CIO são muito onerosos ou lentos. Portanto, elas ignoram as recomendações do departamento de TI e obtêm a nova tecnologia desejada mesmo assim. Por exemplo, uma equipe de desenvolvimento de software pode adotar um novo ambiente de desenvolvimento integrado (IDE) sem consultar o departamento de TI porque o processo de aprovação formal atrasaria o desenvolvimento e faria com que a empresa perdesse uma oportunidade comercial.

Softwares, aplicativos e serviços de terceiros não autorizados são talvez a forma mais difundida de shadow IT. Alguns exemplos comuns incluem:

• Aplicativos de produtividade como Trello e Asana

• Aplicativos de armazenamento em nuvem, compartilhamento de arquivos e edição de documentos, como Dropbox, Google Docs, Google Drive e Microsoft OneDrive

• Aplicativos de comunicação e sistema de mensagens, incluindo Skype, Slack, WhatsApp, Zoom, Signal, Telegram, bem como contas de e-mail pessoais

Geralmente, esses serviços em nuvem e ofertas de SaaS são fáceis de acessar, têm uso intuitivo e estão disponíveis gratuitamente ou a um custo muito baixo, o que permite que as equipes os implementem rapidamente quando necessário. Muitas vezes, os funcionários trazem esses aplicativos de shadow IT para o local de trabalho porque já os usam em suas vidas pessoais. Os funcionários também podem ser convidados a usar esses serviços por clientes, parceiros ou provedores de serviços. Por exemplo, não é incomum que os funcionários participem dos aplicativos de produtividade dos clientes para colaborar em projetos.

Os dispositivos pessoais dos funcionários, incluindo smartphones, notebooks e dispositivos de armazenamento como unidades USB e discos rígidos externos, são outra fonte comum de shadow IT. Os funcionários podem usar seus dispositivos para acessar, armazenar ou transmitir recursos de rede remotamente ou podem usar esses dispositivos no local como parte de um programa formal de BYOD. De qualquer forma, é frequentemente difícil para os departamentos de TI descobrir, monitorar e gerenciar esses dispositivos com sistemas tradicionais de gerenciamento de ativos.

Embora os funcionários normalmente adotem a shadow IT devido aos benefícios percebidos, os ativos dela representam riscos de segurança potenciais para a empresa. Esses riscos incluem:

• Perda de visibilidade e controle de TI: como a equipe de TI geralmente desconhece ativos específicos de shadow IT, as vulnerabilidades de segurança deles não são resolvidas. De acordo com o relatório State of Attack Surface Management 2022 da Randori, a empresa média tem 30% mais ativos expostos do que o identificado pelos programas de gerenciamento de ativos. Os usuários finais ou as equipes departamentais podem não entender a importância de atualizações, correções, configurações, permissões e controles críticos de segurança e regulamentação relativos a esses ativos, o que aumenta ainda mais a exposição da empresa.

• Insegurança de dados: dados confidenciais podem ser armazenados, acessados ou transmitidos por meio de dispositivos e aplicativos de shadow IT não seguros, o que coloca a empresa em risco de violações ou vazamentos de dados. Os dados armazenados em aplicativos de shadow IT não são capturados durante os backups de recursos de TI autorizados oficialmente, o que dificulta a recuperação de informações após a perda de dados. Além disso, a shadow IT também pode contribuir para a inconsistência de dados: quando os dados são distribuídos por vários ativos de shadow IT sem qualquer gerenciamento centralizado, os funcionários podem acabar trabalhando com informações não oficiais, inválidas ou desatualizadas.

• Problemas de conformidade: regulamentos como a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA), o Padrão de Segurança de Dados do Setor de Cartão de Pagamento (PCI DSS) e o Regulamento Geral sobre a Proteção de Dados (GDPR) têm requisitos rigorosos para o processamento de informações pessoalmente identificáveis (PII). As soluções de shadow IT criadas por funcionários e departamentos sem experiência em conformidade podem não atender a esses padrões de segurança de dados, resultando em multas ou ações jurídicas contra a empresa.

• Ineficiências de negócios: os aplicativos de shadow IT podem não se integrar com facilidade à infraestrutura de TI autorizada, obstruindo fluxos de trabalho que dependem de informações ou ativos compartilhados. É improvável que a equipe de TI considere recursos de shadow IT ao introduzir novos ativos autorizados ou provisionar a infraestrutura de TI para um determinado departamento. Como resultado, o departamento de TI pode fazer mudanças na rede ou nos recursos de rede de forma que interrompa a funcionalidade dos ativos de shadow IT em que as equipes confiam.

No passado, as empresas frequentemente tentavam minimizar esses riscos banindo totalmente a shadow IT. No entanto, os líderes de TI têm a aceitado cada vez mais como uma inevitabilidade, e muitos passaram a adotar os benefícios de negócios que ela oferece. Esses benefícios incluem:

• Permitir que as equipes sejam mais ágeis na resposta às mudanças no cenário de negócios e à evolução de novas tecnologias

• Permitir que os funcionários usem as melhores ferramentas para suas tarefas

• Simplificar as operações de TI, reduzindo os custos e recursos necessários para adquirir novos ativos de TI

Para minimizar os riscos da shadow IT sem sacrificar esses benefícios, muitas empresas agora pretendem alinhá-la com os protocolos de segurança de TI padrão, em vez de proibi-la completamente. Para isso, as equipes de TI geralmente implementam tecnologias de segurança cibernética, como ferramentas de gerenciamento de superfície de ataque (ASM), que monitoram continuamente os ativos de TI voltados à Internet de uma empresa a fim de descobrir e identificar a adoção da shadow IT. Esses ativos de shadow IT podem ser avaliados quanto a vulnerabilidades e corrigidos. 

As empresas também podem usar softwares de broker de segurança de acesso à nuvem (CASB), que garantem conexões seguras entre os funcionários e quaisquer ativos de nuvem que eles usam, incluindo ativos conhecidos e desconhecidos. Os CASBs podem descobrir serviços de nuvem de shadow IT e sujeitá-los a medidas de segurança como criptografia, políticas de controle de acesso e detecção de malware.