O que é TI sombra?

O que é TI sombra?

TI invisível é qualquer recurso de software, hardware ou tecnologia da informação (TI) utilizado em uma rede corporativa sem a aprovação, conhecimento ou supervisão do departamento de TI.

São exemplos de TI invisível o compartilhamento de arquivos de trabalho em uma conta de armazenamento em nuvem pessoal, a realização de reuniões por meio de uma plataforma de videoconferência não autorizada quando a empresa utiliza um serviço aprovado diferente ou a criação de um bate-papo em grupo não oficial sem aprovação da área de TI.

A TI invisível não inclui malware nem outros ativos maliciosos plantados por hackers. Refere-se somente a ativos não autorizados implementados pelos usuários finais da rede autorizados.

Os usuários finais e as equipes geralmente adotam a TI invisível porque podem começar a utilizá-la sem esperar pela aprovação da TI ou porque acham que ela oferece uma funcionalidade melhor para seus objetivos do que qualquer outra alternativa oferecida pela área de TI. Mas apesar desses benefícios, a TI invisível pode representar riscos consideráveis à segurança. Como a equipe de TI não tem conhecimento da TI invisível, não monitora esses ativos nem aborda suas vulnerabilidades. A TI invisível é particularmente propensa à exploração por hackers. 

Causas da TI invisível

De acordo com a Cisco, 80% dos funcionários da empresa utilizam TI invisível. Os funcionários individuais geralmente adotam a TI invisível por questões de praticidade e produtividade. Eles sentem que podem trabalhar com mais eficiência ou eficácia com seus dispositivos pessoais e seus software preferidos, em vez dos recursos de TI sancionados pela empresa. Outro estudo, citado pelo IBM Institute for Business Value, descobriu que 41% dos funcionários adquiriram, modificaram ou criaram tecnologia sem o conhecimento de sua equipe de TI/IS. 

Isto só aumentou com a consumerização da TI e, mais recentemente, com o aumento do trabalho remoto. O software como serviço (SaaS) permite que qualquer pessoa com cartão de crédito e um mínimo de conhecimento técnico implemente sistemas de TI sofisticados para colaboração, gerenciamento de projetos, criação de conteúdo e outras atividades. As políticas bring your own device (BYOD) das organizações permitem que os funcionários utilizem seus próprios computadores e dispositivos móveis na rede corporativa. Mas mesmo com um programa formal de BYOD em vigor, as equipes de TI muitas vezes não têm visibilidade do software e dos serviços que os funcionários utilizam no hardware BYOD e pode ser difícil aplicar políticas de segurança de TI nos dispositivos pessoais dos funcionários.

Mas a TI invisível nem sempre é o resultado de funcionários agindo sozinhos. As aplicações de TI invisível também são adotadas pelas equipes. De acordo com a Gartner, 38% das compras de tecnologia são gerenciadas, definidas e controladas por líderes de negócios, e não pela área de TI. As equipes querem adotar novos serviços de nuvem, aplicações de SaaS e outras tecnologias de informação, mas muitas vezes sentem que os processos de aquisição implementados pelo departamento de TI e pelo CIO são muito onerosos ou lentos. Então, evitam a área de TI para terem a nova tecnologia que desejam. Por exemplo, uma equipe de desenvolvimento de software pode adotar um novo ambiente de desenvolvimento integrado sem consultar o departamento de TI, pois o processo de aprovação formal atrasaria o desenvolvimento e faria a empresa perder uma oportunidade de mercado.

Boletim informativo Think

Sua equipe apanharia o próximo dia zero a tempo?

Junte-se aos líderes de segurança que confiam no boletim informativo Think para receber notícias selecionadas sobre IA, cibersegurança, dados e automação. Aprenda rápido com tutoriais e explicações de especialistas, entregues diretamente em sua caixa de entrada. Consulte a Declaração de privacidade da IBM.

Sua assinatura será entregue em inglês. Você pode encontrar um link para cancelar a assinatura em todos os boletins informativos. Você pode gerenciar suas assinaturas ou cancelar a assinatura aqui. Consulte nossa Declaração de privacidade da IBM para obter mais informações.

https://www.ibm.com/br-pt/privacy

Exemplos de TI invisível

Software, aplicativos e serviços de terceiros não autorizados são talvez a forma mais difundida de TI invisível. Exemplos comuns:

  • Aplicativos de produtividade, como o Trello e o Asana
     

  • Aplicações de armazenamento em nuvem, compartilhamento de arquivos e edição de documentos, como Dropbox, Google Docs, Google Drive e Microsoft OneDrive
     

  • Aplicativos de comunicação e mensagens, incluindo Skype, Slack, WhatsApp, Zoom, Signal, Telegram e contas de e-mail pessoais

Esses serviços em nuvem e ofertas de SaaS geralmente são fáceis de acessar, têm uso intuitivo e estão disponíveis gratuitamente ou a um custo muito baixo, possibilitando que as equipes os implantem rapidamente conforme necessário. Muitas vezes, os funcionários trazem esses aplicativos de TI invisível para o local de trabalho porque já os utilizam em suas vidas pessoais. Os funcionários também podem ser convidados a usar esses serviços por clientes, parceiros ou prestadores de serviços, por exemplo, não é incomum que os funcionários participem dos aplicativos de produtividade dos clientes para colaborar em projetos.

Os dispositivos pessoais dos funcionários, como smartphones, laptops e dispositivos de armazenamento como unidades USB e discos rígidos externos, são outra fonte comum de TI invisível. Os funcionários podem usar seus dispositivos para acessar, armazenar ou transmitir recursos de rede remotamente, ou podem usar esses dispositivos no local como parte de um programa formal de BYOD. De qualquer forma, muitas vezes é difícil para os departamentos de TI descobrir, monitorar e gerenciar esses dispositivos com os sistemas tradicionais de gerenciamento de ativos.

Riscos da TI invisível

Embora os funcionários normalmente adotem a TI paralela por seus benefícios percebidos, os ativos de TI paralela representam possíveis riscos de segurança para a organização. Esses riscos são:

Perda de visibilidade e controle da TI

Como a equipe de TI geralmente não tem conhecimento dos ativos de TI invisível, as vulnerabilidades de segurança nesses ativos não são resolvidas. Os usuários finais ou equipes departamentais podem não entender a importância de atualizações, correções, configurações, permissões e controles críticos de segurança e regulatórios para esses ativos, exacerbando ainda mais a exposição da organização.

Insegurança de dados

Os dados confidenciais podem ser armazenados, acessados ou transmitidos por meio de dispositivos e aplicativos de TI invisível, colocando a empresa sob risco de violações ou vazamentos de dados. Os dados armazenados em aplicativos de TI invisível não serão capturados durante os backups de recursos de TI oficialmente sancionados, dificultando a recuperação de informações após a perda de dados. E a TI invisível também pode contribuir para a falta de uniformidade dos dados: quando os dados estão espalhados por vários ativos de TI invisível sem qualquer gerenciamento centralizado, os funcionários podem estar trabalhando com informações não oficiais, inválidas ou desatualizadas.

Problemas de conformidade

Regulamentos como a Lei de Portabilidade e Responsabilidade de Seguros de Saúde, o Padrão de Segurança de Dados do Setor de Cartões de Pagamento e o Regulamento Geral de Proteção de Dados têm requisitos rigorosos para o processamento de informações de identificação pessoal. As soluções de TI invisível criadas por funcionários e departamentos sem experiência em conformidade podem não atender a esses padrões de segurança de dados, levando a multas ou ações legais contra a organização.

Ineficiências de negócios

Os aplicativos de TI invisível podem não ser integrados facilmente à infraestrutura de TI sancionada, obstruindo fluxos de trabalho que dependem de informações ou ativos compartilhados. É improvável que a equipe de TI leve em conta os recursos de TI invisível introduzindo novos ativos sancionados ou provisionando a infraestrutura de TI para um determinado departamento. Consequentemente, o departamento de TI pode fazer alterações na rede ou nos recursos da rede de maneiras que interrompam a funcionalidade dos ativos de TI invisível dos quais as equipes dependem.

Benefícios da TI invisível

No passado, as organizações muitas vezes tentavam mitigar esses riscos banindo totalmente a TI invisível. No entanto, os líderes de TI têm aceitado cada vez mais a TI invisível como inevitável e muitos passaram a abraçar os benefícios comerciais da TI invisível. Esses benefícios são:

  • Possibilitar que as equipes sejam mais ágeis na resposta às mudanças no cenário de negócios e à evolução das novas tecnologias
     

  • Possibilitar que os funcionários utilizem as melhores ferramentas para realizarem seus trabalhos
     

  • Otimizando as operações de TI reduzindo os custos e os recursos necessários para adquirir novos ativos de TI

Para mitigar os riscos da TI invisível sem sacrificar esses benefícios, muitas organizações agora procuram alinhar a TI invisível com protocolos padrão de segurança de TI, em vez de proibi-la completamente. Para esse fim, as equipes de TI geralmente implementam tecnologias de cibersegurança , como ferramentas de gerenciamento de superfície de ataque , que monitoram constantemente os ativos de TI voltados para a Internet de uma organização para descobrir e identificar TI invisível à medida que é adotada. Esses ativos invisíveis podem, então, ser avaliados quanto a vulnerabilidades e remediados. 

As organizações também podem usar o software Cloud Asset Security Broker (CASB), que garante conexões seguras entre os funcionários e quaisquer ativos de nuvem que utilizarem, incluindo ativos conhecidos e desconhecidos. Os CASBs podem descobrir serviços de nuvem invisíveis e sujeitá-los a medidas de segurança, como criptografia, políticas de controle de acesso e detecção de malware. 
Soluções relacionadas
Soluções de segurança corporativa

Transforme seu programa de segurança com soluções do maior provedor de segurança corporativa.

 Explore as soluções de cibersegurança
Serviços de cibersegurança

Transforme sua empresa e gerencie riscos com consultoria em cibersegurança, nuvem e serviços de segurança gerenciados.

         Conheça os serviços de segurança cibernética
    Cibersegurança de inteligência artificial (IA)

    Melhore a velocidade, a precisão e a produtividade das equipes de segurança com soluções de cibersegurança impulsionadas por IA.

         Explore a cibersegurança da IA
    Dê o próximo passo

    Quer você necessite de soluções de segurança de dados, gerenciamento de endpoints ou gerenciamento de acesso e identidade (IAM), nossos especialistas estão prontos para trabalhar com você para alcançar uma postura de segurança forte. Transforme sua empresa e gerencie os riscos com um líder mundial em consultoria de cibersegurança, nuvem e serviços de segurança gerenciados.

         Explore as soluções de cibersegurança Descubra os serviços de cibersegurança