índice
O gerente de TI que destruiu Shadow IT

Confrontando Shadow IT e recuperando sua pilha de software

Shadow IT tornou-se um nome familiar (ou de escritório) nas empresas modernas de hoje, mas o que muitas organizações não percebem é o número de riscos envolvidos em ignorar essas instalações de tecnologia desonestas. De acordo com um estudo, a grande empresa média usa cerca de 1,220 serviços de nuvem individuais, o que é mais de 13 vezes os 91 serviços reconhecidos pelos departamentos de TI. O Shadow IT não só vai diretamente contra os departamentos de TI, como também pode criar vulnerabilidades de segurança e custos desnecessários. Os funcionários normalmente se envolvem no Shadow IT porque acham que isso economizará tempo e dinheiro para a empresa e o departamento de TI. Na realidade, contornar a TI simplesmente ignora o gerenciamento crítico, a integração e as proteções relacionadas à segurança e conformidade que eles suportam.

Imagine um mundo em que Shadow IT tenha permeado cada centímetro da empresa e, mais do que qualquer um poderia imaginar, ameaçou a segurança, lucratividade e eficiência de toda a empresa. É o Velho Oeste - tiroteios nas ruas, donzelas em perigo e pianos de salão soando antigos tocando ao fundo. Entra Clark, o gerente de TI (e herói desta história), sua chefe Cynthia, a CIO, e seu fiel companheiro Steve, o administrador de sistemas. Os três se sentam em silêncio juntos. Seu departamento perdeu o controle e ninguém sabe ao certo quais tecnologias estão sendo usadas em toda a organização. A consumerização de TI, ou o ciclo de funcionários trazendo tecnologias populares do mercado consumidor de casa para o escritório, facilitou a implantação de tecnologia pelos funcionários, deixando o departamento de TI no escuro.

Esse problema não é exclusivo de Clark e sua equipe. Em uma pesquisa da Intel Security, 23% dos entrevistados disseram que seus departamentos lidam com segurança sem a ajuda da TI.

Um dia, Clark decidiu traçar a linha. Ele estava cansado de ser controlado pelos caprichos da Shadow IT, cansado de não saber qual tecnologia estava sendo usada para manter o negócio funcionando. Então ele decidiu fazer algo sobre isso. Ele reuniu sua equipe, construiu um plano de ação e atacou de cabeça na batalha contra Shadow IT.

Como uma empresa que depende muito da aprovação do departamento de TI, queríamos saber mais sobre os pensamentos de Clark sobre aplicativos não autorizados e entender melhor sua abordagem sistemática para enfrentar a Shadow IT e construir uma cultura de gerenciamento de TI mais transparente.



Ícone de tamanho real

Tamanho natural
Provedor de software de comunicação e colaboração em nuvem

ícone Clark

Clark
A personificação de um gerente de TI heróico para uma empresa não muito diferente da sua

Como você encontrou o problema? O que você fez para encontrar os piores criminosos?

Tudo começou com um artigo que li que afirmava, ???Sete em cada 10 executivos não sabem quantos aplicativos Shadow IT estão sendo usados ​​em sua organização.??? Fiquei curioso para ver se esse fato era verdade na minha empresa. Muitas vezes, minha equipe ouvia sobre todos esses aplicativos diferentes que os departamentos usavam no escritório, mas ninguém vinha diretamente a nós sobre isso. E enquanto alguns eram benignos, outros eram potencialmente maliciosos ??? e não podíamos arriscar nada. Começamos a monitorar de perto para ver se alguma ferramenta ou aplicativo novo e desconhecido aparecia em nossas verificações regulares, o que resultou em uma verificação de vulnerabilidade em toda a empresa.

Existem programas criados especificamente para detectar novos aplicativos na rede. Sniffers de rede e ferramentas de verificação de segurança podem fornecer informações detalhadas sobre fluxos de dados novos e desconhecidos. É claro que o monitoramento não remove completamente a ameaça do shadow IT, mas fornece insights. Essa verificação não apenas nos mostrou que nossos funcionários estavam usando ferramentas que desconhecíamos, mas também nos forneceu informações suficientes para iniciar as avaliações de risco e, nos piores casos, pesquisar soluções alternativas mais alinhadas aos nossos requisitos.

Você recebeu resistência quando sua organização de TI não pôde dar suporte a algumas das ferramentas desejadas de um departamento?

É claro. Damos suporte a muitos teletrabalhadores em nossa empresa, e um dos desafios que descobrimos rapidamente é que, se você não tiver maneiras aprovadas pela TI de permitir que os funcionários trabalhem remotamente ou em trânsito, eles encontrarão seus próprias maneiras de fazê-lo. É aí que as coisas ficam arriscadas, com transmissão insegura de documentos, dispositivos perdidos ou roubados e assim por diante. Descobrimos que, sendo transparentes sobre nossos requisitos de segurança e rede e incentivando nossos funcionários a entrar em contato com a TI durante a fase de descoberta de novos softwares, fomos incluídos em mais discussões e mais bem posicionados para fazer as seleções finais. Você ficaria surpreso como as pessoas ficam felizes por ter sua ajuda procurando e selecionando soluções em vez de ficar rodeando e tentando descobrir por conta própria.

Como você conseguiu que seus funcionários apresentassem informações sobre a Shadow IT? Isso deve ter sido desafiador.

Foi a princípio. A Shadow IT representa um risco absoluto apenas para as empresas que não querem resolvê-lo, por isso resolvemos isso. A tendência é que as organizações de TI arrombem portas e ameacem prisão para aqueles que usam software não aprovado, e isso parecia um pouco duro para o meu gosto. Decidimos adotar a abordagem pacífica, então oferecemos refúgio seguro para os departamentos que utilizam Shadow IT. Em vez de assumir esses programas imediatamente e desligá-los, demos um passo atrás, determinamos o risco e oferecemos soluções comparáveis ​​quando necessário para alcançar o resultado que as unidades de negócios estavam procurando. Isso também nos permitiu abrir um diálogo sobre os riscos associados a cada programa. Este exercício realmente nos colocou na mesma página e estabeleceu uma confiança e franqueza entre nós??? e eles.???

Como você manteve a consistência com essa estratégia? Seu problema de Shadow IT está resolvido agora, mas como você garante que ele não volte para sua empresa?

Você sabe, muitas pessoas me fizeram essa pergunta, e a resposta é bastante simples. Isso se resume a relacionamentos. Construí um relacionamento com todos os chefes de departamento, reuni-me regularmente para discutir a estratégia de tecnologia e criei um diálogo aberto entre os departamentos e a organização de TI. Além disso, era essencial que minha chefe, Cynthia, a CIO, mantivesse contato próximo com o restante da equipe eletrônica sobre transparência tecnológica e os riscos potenciais da adoção de tecnologias não aprovadas.

Tendo combatido com sucesso o Shadow IT, que conselho você daria para os departamentos de TI que estão começando a lidar com o problema em suas organizações?

Aproveite para criar um diálogo aberto com seus colegas de toda a empresa ??? seus clientes. Ouça seus comentários, aprenda mais sobre os problemas que eles estão tentando resolver e esteja disposto a fornecer informações. Certa vez, recebi uma solicitação para revisar uma ferramenta que já foi aprovada e implantada por outro departamento da organização. Nesse caso, foi muito mais fácil e muito mais barato ajustar nosso plano para adicionar mais algumas licenças do que seria para iniciar um contrato totalmente novo. O último conselho que vou deixar é não subestime o poder de uma interface de usuário simples. Certifique-se de equilibrar seus requisitos de segurança e rede com a usabilidade final dos aplicativos. Uma das coisas que gosto de procurar é uma solução que se integre ao nosso SSO. Isso apenas reduzirá o número de senhas que os funcionários precisam acompanhar e atualizar ao longo do ano.

 

A combinação de práticas de senha ruins com aplicativos Shadow IT pode criar vulnerabilidades de segurança significativas. Confira nosso blog, The Best Defense Against IoT DDoS Attacks, para proteger sua rede.

Sobre o Lifesize

O Lifesize é um sistema de colaboração aprovado pela TI porque foi desenvolvido com a TI em mente para fornecer segurança, resiliência e confiabilidade de rede. Temos mais de uma década de experiência projetando câmeras HD e telefones com tela sensível ao toque, e nossa interface intuitiva e diretório compartilhado oferecem aos usuários tudo o que eles precisam para colaborar de forma mais eficaz por meio de aplicativos aprovados pela TI, eliminando a necessidade de aplicativos não autorizados adicionais. Os fluxos de comunicação Lifesize suportam criptografia AES e TLS (Transport Layer Security) de 128 bits para todas as sinalizações por padrão, e operamos em uma rede de fibra privada por meio do IBM Cloud. Para completar, apoiamos nosso serviço premiado com um contrato de nível de serviço (SLA) com suporte financeiro e suporte 24x7x365.

FONTES
http://blogs.cisco.com/cloud/shadow-it-rampant-pervasive-and-explosive
http://www.csoonline.com/article/3083775/security/shadow-it-mitigating-security-risks.html
http://www.digitalistmag.com/resource-optimization/2016/02/11/2016-state-of-shadow-it-04005674