Quando os gestores de networking e segurança “incentivam” a shadow IT

Problemas ou insuficiência das aplicações homologadas, desconhecimento das necessidades e preferências dos usuários e falta de informação realista para os tomadores de decisão têm como sintoma a criação de áreas de sombra na estrutura de TI. Geralmente, os levantamentos iniciais do uso real de aplicações em nuvem mostram índices surpreendentes de acesso a software e serviços "implementados" por iniciativa dos próprios usuários.

A boa notícia é que isso ocorre mais por voluntarismo do que por indisciplina, pois grande parte dos que adotam essa abordagem de BYApp (use seu próprio aplicativo) tem argumentos profissionais, ligados a sua produtividade e a suas metas, para escolher suas próprias ferramentas. Uma vez que os objetivos - satisfazer os clientes; gerar resultados; e, não menos importante, zelar pela sustentabilidade do empregador - são comuns a todos, resta o desafio de harmonizar as expectativas de usuários e áreas de negócios às políticas de cibersegurança e às próprias estratégias de TI.

Evidentemente, os clientes de soluções como CASB (cloud security access broker), em sua maioria, buscam inicialmente uma forma de obter visibilidade sobre a circulação de informações sensíveis, comportamentos de risco e outras questões de cibersegurança. Contudo, o gerenciamento revela fatos interessantes para gestores de grupos de trabalho, RH e financeiro.

Experiência do usuário, a origem da shadow IT
As mudanças de postura dos usuários e áreas de negócios se aprofundaram com a computação em nuvem, mas eram sinalizadas desde as primeiras experiências com a Internet. Há pouco mais de 20 anos, escolher um aplicativo de negócios ainda implicava licenciar e implementar plataforma, banco de dados, e esperar alguns meses pela entrega pela TI. Mas já naquela época, as companhias que licenciaram pesadas plataformas de mensagens começaram a ter a proliferação de clientes de e-mail mais leves e populares na Internet. Na prática, o usuário achava alternativas para contornar as limitações da rede e de seu desktop. Logo depois, começaram a usar serviços de web mail no trabalho, pela percepção de alta disponibilidade e capacidade, que muitas vezes falhavam nos servidores on premise.

Com a evolução das ofertas em nuvem e os hábitos digitais das pessoas, as decisões e a operação de TI devem considerar ainda mais as reais demandas e a experiência do usuário. Isso abrange várias camadas. No nível técnico, é imprescindível garantir que a rede, o aparato de segurança e a capacidade da infraestrutura proporcionem o desempenho satisfatório dos serviços. É preciso também criar canais ágeis de comunicação com analistas de negócios e usuários, para assegurar que as funcionalidades dos sistemas homologados estejam em sintonia às necessidades reais.

CASB para gestão financeira e políticas de treinamentos
Conforme o enfoque, a visibilidade sobre as aplicações nuvem revelam tanto quem faz o que não deve quanto quem não faz o que pode. Seja por falta de conhecimento por parte do usuário ou gaps de funcionalidades, é comum se recorrer a aplicativos não sancionados para realizar tarefas que seriam contempladas pelos sistemas homologados. Isso pode implicar iniciativas de comunicação e treinamento para recuperar controle do ambiente. Outro tipo de perda que não é nova é o licenciamento desnecessário. Nos ambientes tradicionais, on premise, os levantamentos mostram que grande parte dos usuários jamais utilizaram aplicativos ou módulos de sistemas que lhe são licenciados. A diferença hoje é que se conta com ferramentas que monitoram o comportamento dos usuários de forma contínua. E esse gerenciamento dá condições a uma gestão financeira mais dinâmica, que ajuste o custo às necessidades reais.

Recuperação de controle e padronização
Segurança, compliance e proteção de informações sensíveis não são as únicas preocupações relativas a shadow IT. Outra Lei de Murphy - além da relativa a riscos, mais conhecida - é que "deixadas por sua própria conta as coisas tendem a ir de mau a pior". Ou seja, a proliferação de "startups de TI", com cada departamento ou grupo de trabalho definindo seu software e provedor de serviços, pode resultar em uma Torre de Babel que comprometa a produtividade e a eficiência de todos.

Por Luiz Faro, Diretor de Engenharia de Sistemas LATAM da Forcepoint

Sobre a Forcepoint
A Forcepoint é uma empresa global de cibersegurança centrada no ser humano que transforma as companhias digitais ao adaptar continuamente a resposta de segurança ao risco dinâmico representado por usuários individuais e máquinas. O Human Point System da Forcepoint oferece proteção adaptável aos riscos para garantir o uso confiável de dados e sistemas. Sediada em Austin, Texas, a Forcepoint protege o ponto humano de milhares de clientes corporativos e governamentais em mais de 150 países. www.forcepoint.com

Junte-se à Forcepoint nas redes sociais
LinkedIn: https://www.linkedin.com/company/forcepoint
Twitter: https://www.twitter.com/forcepointsec
Facebook: https://www.facebook.com/ForcepointLLC/
Instagram: https://www.instagram.com/forcepoint