Todos sabem que ela traz grandes riscos para a governança de TI, mas a prática não dá sinais de encolhimento: será mesmo tão difícil enfrentar a “TI das sombras”?

*Por Fabio Ferreira

A chamada shadow IT tornou-se tão disseminada que já é percebida pelos CIOs como uma inevitabilidade. Do simples uso de um app de mensagens pessoais para discussões de trabalho até a contratação de software como serviço com cartão corporativo sem validação de segurança, a adoção de aplicativos e serviços não aprovados pela área de TI parece um movimento impossível de ser combatido. Mas será mesmo?

Assumir que a batalha está perdida é a pior atitude que um líder de TI pode ter em resposta a esse tema. Na verdade, se a área deve estar à frente das decisões sobre tecnologia na organização, ela não pode se eximir da responsabilidade de dar à “TI das sombras” seu devido peso, encarando o problema com a seriedade e os esforços que ele demanda. 

Por ser uma área de suporte, a TI tem uma capacidade de atendimento limitada. Por outro lado, seu escopo é pretensioso: nada menos que garantir a continuidade da empresa. Para tanto, uma de suas atribuições é justamente escolher aplicações que não só atendam às necessidades do momento presente, mas se mantenham vigentes no futuro. Dessa forma, elas precisam ter boas características técnicas, sim, e mais: é necessário que venham de fornecedores que não estejam sob risco de saírem de cena em poucos anos. 

Só que as áreas de negócio não têm esse olhar e, por isso, tendem a ser imediatistas – a sua preocupação está apenas em resolver um problema pontual com a maior agilidade possível. Com a grande oferta de soluções SaaS que encontramos hoje, fica relativamente fácil efetuar a aquisição de novos softwares sem consultar a TI previamente. E será nessas ferramentas e sistemas que rodarão informações sensíveis da organização.

Eis aí o primeiro risco trazido pela shadow IT: promover a circulação de informações que podem dar insumos sobre a situação financeira da empresa (número de funcionários, quantidade e identidade dos clientes, questões de ordem fiscal, etc) em um ambiente que não está controlado ou mesmo compreendido pela TI. E, infelizmente, essa não é a única ameaça no horizonte.

Uma cascata de riscos

Uma área de negócio jamais deveria contratar um fornecedor de tecnologia sem realizar a avaliação prévia de aspectos essenciais do produto. As perguntas a se fazer são diversas: esse fornecedor tem condições de armazenar as informações de forma segura? Consegue assegurar a continuidade da operação ou a disponibilidade dos dados quando houver alguma ameaça ou interrupção? A solução adquirida dialoga com aquelas existentes? Estas são questões básicas para qualquer profissional da TI, mesmo para os mais juniores. Fora da área, porém, elas são praticamente ignoradas.

Uma outra complicação bastante comum é a aplicação tomar uma proporção na qual vários departamentos da empresa se tornarão dependentes dela. Essa relação é bastante temerosa quando se trata de um fornecedor que não está adequadamente estruturado para ampliar a escala de suas soluções. Pior ainda se ele não tiver solidez financeira. Todo CIO já vivenciou a experiência de ter que encontrar uma alternativa para substituir um software que “desaparece”, ou cujo fabricante é adquirido por uma empresa maior, causando a mudança da categoria de serviço e a consequente indisponibilidade de um serviço que, até então, era imprescindível para as operações da organização.

E existe, claro, o risco mais óbvio e imediato: a vulnerabilidade dos dados. É possível que esses aplicativos ou aplicações fomentem o roubo dos mesmos ou a criptografia dos dispositivos, de uma maneira que o usuário nem perceba que ele próprio se tornou a porta de entrada para eventuais riscos. E como a TI não está a par dessas aplicações, o diagnóstico dessas invasões se torna mais difícil.

O engano pela familiaridade

Não precisamos ir longe para pensar em como situações deste tipo ocorrem. Consideremos os aplicativos de mensagem ou redes sociais que são usados como meio de veiculação de informações entre as equipes. Em nome da praticidade (“ah, mas é que já estamos acostumados com esse app”), o compliance é sacrificado – e o bom senso, também. A chance de isso terminar mal nunca é uma questão de “se”, mas de “quando”.

E a inteligência artificial não iria ficar de fora dessa problemática. Tanto ela foi incorporada à “TI das sombras” que já está em voga a expressão shadow AI. Usar uma solução de IA generativa que não foi escolhida tampouco é monitorada pela TI traz um risco imediato, que reside no fornecimento de informações sigilosas e/ou sensíveis em um serviço que pode fazer quase tudo o que quiser com elas.

Em última análise, essas práticas são evidências inequívocas de que a governança da empresa não está bem estabelecida. E aqui é onde podemos responder de forma mais direta à pergunta que dá título a esse artigo: sim, é muito difícil controlar todo o universo de riscos que surge a partir do uso da tecnologia não-autorizada, mas uma sólida cultura de segurança da informação consegue evitar que esse uso seja comum.

Como em quase todo problema recorrente relacionado à cibersegurança, a shadow IT é consequência de uma cultura que não foi capaz de estabelecer uma governança real.

Essa governança deficitária se soma à notória dificuldade que muitos departamentos de TI têm em conversar com as áreas de negócio para entender suas necessidades. Isso cria um terreno propício para que essas áreas saiam em busca de soluções paralelas, sem avaliar se elas atendem a uma demanda que já poderia ser endereçada pela infraestrutura instalada ou se apresentam riscos de qualquer natureza. 

Diante desse cenário, cabe reforçar um alerta que é recorrente em meus artigos: a diretoria precisa apoiar a TI na disseminação das questões relativas à segurança da informação. De pouco adianta a TI estar aculturada para a cibersegurança se a empresa toda não está. Esse aculturamento precisa permear a organização como um todo, e isso só pode ser feito se há uma política que se traduz em práticas defendidas e estimuladas constantemente pelos altos escalões, com coordenação da liderança de tecnologia. 

Mas isso não é tudo: a TI tem, sim, a obrigação de estar atenta às necessidades dos usuários, de modo que eles não tenham que adotar soluções externas – até porque essas necessidades não são oriundas de meros caprichos, e sim de um conjunto de metas que foram estabelecidas pela própria direção estratégica da organização. Se a TI não mostrar prontidão e disponibilidade para responder aos usuários com soluções que eles demandam, a shadow IT vai se tornar cada vez mais sombria.