Shadow IT, CISOs e a gestão de riscos.

O nome é digno de um filme de espiões, cheio de hackers digitando códigos a velocidades alucinantes enquanto tentam invadir algum sistema incrivelmente protegido. Bom, a verdade é que o termo “Shadow IT” não tem nada relacionado com espiões, hackers ou com o departamento de TI de uma empresa (de certa forma).

O que é Shadow IT?

A Shadow IT pode ser traduzida como “TI das sombras” ou “TI invisível”. Esse nome faz alusão ao fato que ela ocorre quando serviços, softwares ou dispositivos são utilizados sem o conhecimento do administrador de TI.

A prática de Shadow IT pode ser vista por vários ângulos, positivos e negativos, mas é importante ressaltar que seu aparecimento dentro de uma companhia não é algo planejado, e sim resultado da organização interna da companhia.

Por que surge a Shadow IT?

Em grandes empresas existem alguns processos que podem demandar um volume de tempo que não está necessariamente disponível. Por exemplo, a conclusão de um projeto depende somente da utilização de um software específico e para isso, o procedimento correto seria requisitar a aquisição e implementação desse software para a equipe de TI. O prazo para que isso ocorra, porém, não é suficiente para cumprir a data limite do projeto, o que faz com que a equipe adquira diretamente o programa sem passar pelo setor responsável.

Essa prática de Shadow TI acaba gerando ganho de produtividade e possibilitando a entrega dentro do prazo.

A parte positiva

A autonomia de algumas equipes em adquirirem os materiais necessários para a execução de um projeto ou função, sem a necessidade de passar por processos burocráticos, pode ser vista como uma vantagem produtiva e um recurso de eficiência.

O problema

Apesar dos ganhos de produtividade, a prática pode sair pela culatra e causar danos muito maiores do que os benefícios colhidos em agilidade. A utilização de programas sem uma prévia avaliação da equipe de TI pode trazer riscos consideráveis para a empresa.

Como já falamos em artigos anteriores, ransomwares e invasões são ameaças constantes, e uma vulnerabilidade criada por um programa ou serviço não confiável pode ser fatal.

CISOs e a gestão de riscos

Por apresentar riscos consideráveis, a shadow IT não é uma prática desejável e sua origem, muitas vezes, passa por uma falha de gerenciamento, por isso, existe uma série de rotinas que pode ser crucial para identificar e solucionar problemas organizacionais e evitar eliminar a shadow IT.

É nesse ponto que entra a figura do Chief Information Security Officer (CISO), o profissional responsável pela segurança de dados da empresa.

Ele é o ponto chave de contenção de problemas e está responsável pelas condutas que devem ser seguidas:

·        Monitoramento de rede: análise em tempo real de problemas e vulnerabilidades;

·        Investigação: identificar e conter as causas dos problemas;

·        Ciberinteligência: atuar junto aos altos executivos para que os mesmos entendam os possíveis problemas na compra de novos equipamentos ou migração de softwares;

·        Contenção: propor e implementar programas de contenção de riscos;

·        Boas práticas: treinar a equipe para utilizar os equipamentos e programas de forma eficaz e segura;

·        Gestão: garantir que os recursos materiais e financeiros estejam alocados corretamente para cada setor de TI.

O CISO é um profissional altamente capacitado na área de TI e crucial para segurança e manutenção de todo o setor. Por isso, é importante escolher com cuidado o profissional ou empresa que irá se encarregar dessas funções.

Opções

Enquanto a primeira opção que vem à mente é a contratação de um profissional, existem empresas como a TELIUM que possuem equipe especializada e serviços específicos para as necessidades da sua empresa.

Se você ainda não tem o profissional ideal, entre em contato conosco e saiba o que a Telium pode fazer por você!

• Compartilhar
• Tweet