O que é TI sombra?

De acordo com a Cisco (link fora do ibm.com), 80% dos funcionários da empresa utilizam TI invisível. Os funcionários individuais geralmente adotam a TI invisível por questões de praticidade e produtividade. Eles sentem que podem trabalhar com mais eficiência ou eficácia com seus dispositivos pessoais e seus software preferidos, em vez dos recursos de TI sancionados pela empresa.

Isto só aumentou com a consumerização da TI e, mais recentemente, com o aumento do trabalho remoto. O software como serviço (SaaS) permite que qualquer pessoa com cartão de crédito e um mínimo de conhecimento técnico implante sistemas de TI sofisticados para colaboração, gerenciamento de projetos, criação de conteúdo e outras atividades. As políticas bring your own device (BYOD) das organizações permitem que os funcionários utilizem seus próprios computadores e dispositivos móveis na rede corporativa. Mas mesmo com um programa formal de BYOD em vigor, as equipes de TI muitas vezes não têm visibilidade do software e dos serviços que os funcionários utilizam no hardware BYOD e pode ser difícil aplicar políticas de segurança de TI nos dispositivos pessoais dos funcionários.

Mas a TI invisível nem sempre é o resultado de funcionários agindo sozinhos. As aplicações de TI invisível também são adotadas pelas equipes. De acordo com o Gartner (link fora do ibm.com), 38% das compras de tecnologia são gerenciadas, definidas e controladas por líderes de negócios e não pela área de TI. As equipes querem adotar novos serviços de nuvem, aplicativos SaaS e outras tecnologias de informação, mas muitas vezes sentem que os processos de aquisição implementados pelo departamento de TI e pelo CIO são muito onerosos ou lentos. Então evitam a área de TI para terem a nova tecnologia que desejam. Por exemplo, uma equipe de desenvolvimento de software pode adotar um novo ambiente de desenvolvimento integrado sem consultar o departamento de TI, pois o processo de aprovação formal atrasaria o desenvolvimento e faria a empresa perder uma oportunidade de mercado.

Software, aplicativos e serviços de terceiros não autorizados são talvez a forma mais difundida de TI invisível. Exemplos comuns:

• Aplicativos de produtividade, como o Trello e o Asana

• Aplicativos de armazenamento em nuvem, compartilhamento de arquivos e edição de documentos, como Dropbox, Google Docs, Google Drive e Microsoft OneDrive

• Aplicativos de comunicação e mensagens, incluindo Skype, Slack, WhatsApp, Zoom, Signal, Telegram e contas de e-mail pessoais

Esses serviços em nuvem e ofertas de SaaS geralmente são fáceis de acessar, têm uso intuitivo e estão disponíveis gratuitamente ou a um custo muito baixo, possibilitando que as equipes os implantem rapidamente conforme necessário. Muitas vezes, os funcionários trazem esses aplicativos de TI invisível para o local de trabalho porque já os utilizam em suas vidas pessoais. Os funcionários também podem ser convidados a usar esses serviços por clientes, parceiros ou prestadores de serviços, por exemplo, não é incomum que os funcionários participem dos aplicativos de produtividade dos clientes para colaborar em projetos.

Os dispositivos pessoais dos funcionários, como smartphones, laptops e dispositivos de armazenamento como unidades USB e discos rígidos externos, são outra fonte comum de TI invisível. Os funcionários podem usar seus dispositivos para acessar, armazenar ou transmitir recursos de rede remotamente, ou podem usar esses dispositivos no local como parte de um programa formal de BYOD. De qualquer forma, muitas vezes é difícil para os departamentos de TI descobrir, monitorar e gerenciar esses dispositivos com os sistemas tradicionais de gerenciamento de ativos.

Embora os funcionários normalmente adotem a TI paralela por seus benefícios percebidos, os ativos de TI paralela representam possíveis riscos de segurança para a organização. Esses riscos são:

Perda de visibilidade e controle da TI

Como a equipe de TI geralmente não tem conhecimento de ativos de TI invisível específicos, as vulnerabilidades de segurança nesses ativos não são resolvidas. De acordo com o relatório The State of Attack Surface Management de 2022 , uma organização comum tem 30% mais ativos expostos do que seus programas de gerenciamento de ativos identificaram. Os usuários finais ou equipes departamentais podem não entender a importância de atualizações, correções, configurações, permissões e controles críticos de segurança e regulatórios para esses ativos, exacerbando ainda mais a exposição da organização.

Insegurança de dados

Os dados confidenciais podem ser armazenados, acessados ou transmitidos por meio de dispositivos e aplicativos de TI invisível, colocando a empresa sob risco de violações ou vazamentos de dados. Os dados armazenados em aplicativos de TI invisível não serão capturados durante os backups de recursos de TI oficialmente sancionados, dificultando a recuperação de informações após a perda de dados. E a TI invisível também pode contribuir para a falta de uniformidade dos dados: quando os dados estão espalhados por vários ativos de TI invisível sem qualquer gerenciamento centralizado, os funcionários podem estar trabalhando com informações não oficiais, inválidas ou desatualizadas.

Problemas de conformidade

Regulamentos como a Lei de Portabilidade e Responsabilidade de Seguros de Saúde, o Padrão de Segurança de Dados do Setor de Cartões de Pagamento e o Regulamento Geral de Proteção de Dados têm requisitos rigorosos para o processamento de informações de identificação pessoal. As soluções de TI invisível criadas por funcionários e departamentos sem experiência em conformidade podem não atender a esses padrões de segurança de dados, levando a multas ou ações legais contra a organização.

Ineficiências de negócios

Os aplicativos de TI invisível podem não ser integrados facilmente à infraestrutura de TI sancionada, obstruindo fluxos de trabalho que dependem de informações ou ativos compartilhados. É improvável que a equipe de TI leve em conta os recursos de TI invisível introduzindo novos ativos sancionados ou provisionando a infraestrutura de TI para um determinado departamento. Consequentemente, o departamento de TI pode fazer alterações na rede ou nos recursos da rede de maneiras que interrompam a funcionalidade dos ativos de TI invisível dos quais as equipes dependem.

No passado, as organizações muitas vezes tentavam mitigar esses riscos banindo totalmente a TI invisível. No entanto, os líderes de TI têm aceitado cada vez mais a TI invisível como inevitável e muitos passaram a abraçar os benefícios comerciais da TI invisível. Esses benefícios são:

• Possibilitando que as equipes sejam mais ágeis na resposta às mudanças no cenário de negócios e à evolução das novas tecnologias

• Possibilitando que os funcionários utilizem as melhores ferramentas para realizarem seus trabalhos

• Otimizando as operações de TI reduzindo os custos e os recursos necessários para adquirir novos ativos de TI

Para mitigar os riscos da TI invisível sem sacrificar esses benefícios, muitas organizações agora procuram alinhar a TI invisível com protocolos padrão de segurança de TI, em vez de proibi-la completamente. Para esse fim, as equipes de TI geralmente implementam tecnologias de cibersegurança , como ferramentas de gerenciamento de superfície de ataque , que monitoram constantemente os ativos de TI voltados para a Internet de uma organização para descobrir e identificar TI invisível à medida que é adotada. Esses ativos invisíveis podem então ser avaliados quanto a vulnerabilidades e remediados. 

As organizações também podem usar o software Cloud Asset Security Broker (CASB), que garante conexões seguras entre os funcionários e quaisquer ativos de nuvem que utilizarem, incluindo ativos conhecidos e desconhecidos. Os CASBs podem descobrir serviços de nuvem invisíveis e sujeitá-los a medidas de segurança, como criptografia, políticas de controle de acesso e detecção de malware.