O que é “Shadow IT” e por que isso é um problema?

As empresas gastam muito dinheiro na compra de equipamentos de informática. As compras de hardware podem ser na forma de dispositivos de usuário final, como laptops, desktops e telefones celulares, mas também inclui outro hardware de computador, como servidores e equipamentos de rede. As empresas também podem gastar grandes somas de dinheiro em software para rodar no hardware. Coletivamente, essas são infraestruturas oficiais, pois a empresa aprovou seu uso para fins comerciais.

Shadow IT é o nome da infraestrutura não oficial, onde as pessoas começaram a usar dispositivos, software ou serviços em nuvem não aprovados. A infraestrutura de sombra não precisa necessariamente ter um uso comercial. Por exemplo, se uma empresa proíbe BYOD, também conhecido como Traga seu próprio dispositivo, e um funcionário conecta seu telefone celular pessoal à rede corporativa, isso ainda conta como sombra de TI. Isso ocorre porque o dispositivo está conectado a uma rede da empresa de onde ele poderia espalhar malware, etc, se tivesse sido comprometido.

O software não aprovado também é classificado como shadow IT. Como o software será executado em computadores da empresa, ele pode afetar negativamente o desempenho ou a segurança dos dispositivos ou redes. Os principais riscos de um software não aprovado são não ser atualizado ou o usuário obter uma cópia não oficial com malware.

Os serviços de TI em nuvem são uma parte relativamente recente da shadow IT, que pode ser usada para processar dados. O problema é que esses serviços podem estar fora do dever legal da empresa de proteger os dados e não transferi-los para outras empresas. Os serviços em nuvem não aprovados também têm uma probabilidade significativamente menor de passar por um processo de proteção adequado, tornando-os mais vulneráveis ​​a tentativas de hackers.

O Shadow IT não é um risco fácil de se preparar e lidar porque, por definição, os problemas exatos e os riscos que eles representam são desconhecidos. A única maneira de se preparar para eles é criar procedimentos e planos e ter consequências claras por quebrar as regras. Também é particularmente importante garantir que os procedimentos oficiais para solicitar equipamentos, etc. de forma adequada sejam fáceis de usar, pois isso reduz a chance de os funcionários recorrerem a algo que não deveriam porque é mais fácil.