Shadow IT forcepoint
Shadow IT forcepoint

Quando os gestores de networking e segurança “incentivam” shadow IT

Problemas ou insuficiência das aplicações homologadas, desconhecimento das necessidades e preferências dos usuários e falta de informação realista para os tomadores de decisão têm como sintoma a criação de áreas de sombra na estrutura de TI. Geralmente, os levantamentos iniciais do uso real de aplicações em nuvem mostram índices surpreendentes de acesso a software e serviços “implementados” por iniciativa dos próprios usuários. A boa notícia é que isso ocorre mais por voluntarismo do que por indisciplina, pois grande parte dos que adotam essa abordagem de BYApp (use seu próprio aplicativo) tem argumentos profissionais, ligados a sua produtividade e a suas metas, para escolher suas próprias ferramentas. Uma vez que os objetivos – satisfazer os clientes; gerar resultados; e, não menos importante, zelar pela sustentabilidade do empregador – são comuns a todos, resta o desafio de harmonizar as expectativas de usuários e áreas de negócios às políticas de cibersegurança e às próprias estratégias de TI.

Evidentemente, os clientes de soluções como CASB (cloud security access broker), em sua maioria, buscam inicialmente uma forma de obter visibilidade sobre a circulação de informações sensíveis, comportamentos de risco e outras questões de cibersegurança. Contudo, o gerenciamento revela fatos interessantes para gestores de grupos de trabalho, RH e financeiro.

Experiência do usuário, a origem da shadow IT

As mudanças de postura dos usuários e áreas de negócios se aprofundaram com a computação em nuvem, mas eram sinalizadas desde as primeiras experiências com a Internet. Há pouco mais de 20 anos, escolher um aplicativo de negócios ainda implicava licenciar e implementar plataforma, banco de dados, e esperar alguns meses pela entrega pela TI. Mas já naquela época, as companhias que licenciaram pesadas plataformas de mensagens começaram a ter a proliferação de clientes de e-mail mais leves e populares na Internet. Na prática, o usuário achava alternativas para contornar as limitações da rede e de seu desktop. Logo depois, começaram a usar serviços de web mail no trabalho, pela percepção de alta disponibilidade e capacidade, que muitas vezes falhavam nos servidores on premise.

Com a evolução das ofertas em nuvem e os hábitos digitais das pessoas, as decisões e a operação de TI devem considerar ainda mais as reais demandas e a experiência do usuário. Isso abrange várias camadas. No nível técnico, é imprescindível garantir que a rede, o aparato de segurança e a capacidade da infraestrutura proporcionem o desempenho satisfatório dos serviços. É preciso também criar canais ágeis de comunicação com analistas de negócios e usuários, para assegurar que as funcionalidades dos sistemas homologados estejam em sintonia às necessidades reais.

Office 365 dá chance de maior controle do “Excel Resource Planning”

A migração da suíte MS Office para sua versão online dificilmente se enquadra na categoria de “shadow IT”, pois, além de ser um licenciamento empresarial, já é um pacote presente na maioria dos escritórios e postos de trabalho. As preocupações de segurança e DLP relativas à suíte de produtividade pessoal também não são novas. Particularmente no topo das empresas, é comum que diretores, com acesso de alto nível, repliquem informações sensíveis em seus aplicativos de desktop. Para piorar, são exatamente essas aplicações, por sua popularidade, as mais exploradas por malware avançado. A proteção de end point e de dados móveis continua prioritária na agenda, mas algumas coisas ficam mais integradas e automatizadas no Office 365.

Na Azure, a Microsoft oferece serviços de DLP, classificação de dados e ATP (proteção a ameaças avançadas) que protegem os dados no ambiente de nuvem. Evidentemente, isso funciona no perímetro da Azure, mas as organizações contam com soluções abrangentes, como as da Forcepoint, que se integram aos recursos da Microsoft e estendem a cobertura a todo o ciclo do dado, do end point às nuvens híbridas.

 

CASB para gestão financeira e políticas de treinamentos

Conforme o enfoque, a visibilidade sobre as aplicações nuvem revelam tanto quem faz o que não deve quando quem não faz o que pode. Seja por falta de conhecimento por parte do usuário ou gaps de funcionalidades, é comum se recorrer a aplicativos não sancionados para realizar tarefas que seriam contempladas pelos sistemas homologados. Isso pode implicar iniciativas de comunicação e treinamento, para recuperar controle do ambiente.

Outro tipo de perda que não é nova é o licenciamento desnecessário. Nos ambientes tradicionais, on premise, os levantamentos mostram que grande parte dos usuários jamais utilizaram aplicativos ou módulos de sistemas que lhe são licenciados. A diferença hoje é que se conta com ferramentas que monitoram o comportamento dos usuários de forma contínua. E esse gerenciamento dá condições a uma gestão financeira mais dinâmica, que ajuste o custo às necessidades reais.

 

Recuperação de controle e padronização

Segurança, compliance e proteção de informações sensíveis não são as únicas preocupações relativas a shadow IT. Outra Lei de Murphy – além da relativa a riscos, mais conhecida – é que “deixadas por sua própria conta as coisas tendem a ir de mau a pior”. Ou seja, a proliferação de “startups de TI”, com cada departamento ou grupo de trabalho definindo seu software e provedor de serviços, pode resultar em uma Torre de Babel que comprometa a produtividade e a eficiência de todos.

LEAVE A REPLY

Please enter your comment!
Please enter your name here