Wiz
Todos os artigos

O que é Shadow IT? Causas, riscos e exemplos

Equipe de especialistas do Wiz
9 Minuto de leitura
Melhores práticas de segurança em nuvemExperimente o Wiz Cloud
Main Takeaways from Shadow IT:

  • Shadow IT occurs when employees bypass security oversight to use unauthorized and unvetted technology. Research found that 41% of employees used shadow IT in 2022, a number expected to climb to 75% by 2027.

  • Several factors lead to shadow IT, including a lack of transparency in IT procurement processes, the need for faster solutions, insufficient IT-provided tools, and the widespread availability of cloud-based services.

  • The risks associated with shadow IT include an expanded attack surface, data breaches, potential compliance violations, and increased IT costs, all of which can strain organizational security and resources.

  • While shadow IT can encourage innovation, boost productivity, and allow teams to solve problems quickly, these benefits often come at the expense of security and governance.

  • Organizations can combat shadow IT by adopting detection tools, enhancing visibility, fostering collaboration across teams, enforcing strict access controls, and educating employees on its potential risks.

O que é um Shadow IT?

  • A TI sombra ocorre quando Os funcionários ignoram a supervisão de segurança para usar tecnologia não autorizada e não verificada. A pesquisa descobriu que 41% dos funcionários usaram a TI invisível em 2022, um número que deve subir para 75% até 2027.

  • Vários fatores levam à TI invisível, incluindo a falta de transparência nos processos de aquisição de TI, a necessidade de soluções mais rápidas, ferramentas insuficientes fornecidas pela TI e a ampla disponibilidade de serviços baseados em nuvem.

  • O riscos associados à TI invisível incluem uma superfície de ataque expandida, violações de dados, possíveis violações de conformidade e aumento dos custos de TI, o que pode sobrecarregar a segurança e os recursos organizacionais.

  • Embora a TI invisível possa incentivar a inovação, aumentar a produtividade e permitir que as equipes resolvam problemas rapidamente, essas Os benefícios geralmente vêm às custas da segurança e da governança.

  • As organizações podem combater a TI invisível adotando ferramentas de detecção, aumentando a visibilidade, promovendo a colaboração entre as equipes, aplicando controles de acesso rígidos e educando os funcionários sobre seus riscos potenciais.

O que é shadow IT? 

Shadow IT é o uso não autorizado de serviços, aplicativos e recursos de TI por um funcionário que não são controlados ou visíveis para o departamento de TI de uma organização. O Shadow IT pode incluir: 

  • Serviços de nuvem IaaS, PaaS e SaaS

  • Pontos de extremidade como computadores e telefones

  • Apis

  • Servidores e redes,

  • Produtos OOTB não sancionados

  • Plug-ins do Chrome

  • Aplicativos em nível de plataforma 

De acordo com Gartner, 41% dos funcionários em 2022 instalaram e usaram aplicativos que estavam além da visibilidade de seus departamentos de TI. A previsão é que esse número suba para 75% até 2027.

Causas da TI invisível

A Shadow IT não surge do nada – é um produto da dinâmica organizacional, das necessidades dos funcionários e das tendências tecnológicas. Aqui estão os principais fatores:

Lack of visibility into IT procurement

Imagine uma equipe precisando de uma nova ferramenta para melhorar o fluxo de trabalho, mas sem um processo claro para aprovação de TI. Sem transparência, eles podem ignorar completamente a TI – usando um cartão de crédito da empresa para comprar software ou se inscrever para uma avaliação gratuita. O problema? As equipes de TI não sabem, permitindo que essas ferramentas introduzam lacunas de segurança operando fora das verificações formais de segurança e governança.

Desejo por soluções mais rápidas

Todos nós já passamos por isso: a frustração de esperar por aprovações por semanas - ou até meses. Quando os prazos se aproximam, os funcionários podem contornar totalmente a TI para acessar ferramentas que acreditam que farão o trabalho mais rapidamente. Essa urgência de "apenas fazer funcionar" geralmente resulta no surgimento de shadow IT.

Insufficient IT-provided solutions

O que acontece quando as ferramentas que a TI fornece não são suficientes? Talvez eles sejam muito desajeitados ou não tenham recursos-chave para um departamento específico's fluxo de trabalho. Quando as equipes se sentem sem apoio, muitas vezes procuram soluções que se alinhem melhor com seus requisitos. Essa solução alternativa pode parecer inofensiva inicialmente, mas pode levar a pontos cegos de segurança e problemas de conformidade.

Maior acesso a serviços baseados em nuvem

O surgimento de aplicativos baseados em nuvem, como SaaS (Software as a Service), tornou incrivelmente fácil para qualquer pessoa com cartão de crédito implantar ferramentas sem envolver TI. O apelo? Soluções acessíveis e de baixo custo que prometem resolver problemas com o mínimo de tempo de configuração. O risco? Essas ferramentas podem não atender aos padrões de segurança da organização e podem introduzir vulnerabilidades no ecossistema.

Por que a shadow IT se tornou uma tendência crescente?

Cada vez mais Os funcionários estão sob pressão para atuar em ambientes de alta octanagem. Isso resulta em tentativas de autootimizar e agilizar projetos, aproveitando uma variedade de serviços de nuvem facilmente disponíveis. 

Infelizmente, o uso não autorizado desses serviços de nuvem é muito comum. O percepção de que os departamentos de TI estão letárgicos pode fazer os funcionários se sentirem frustrado com a burocracia e os procedimentos burocráticos que estão entre eles e o acesso a recursos críticos de TI. Juntamente com uma necessidade crescente de desenvolver soluções rápidas e lidar rapidamente com cargas de trabalho, não é surpresa que muitos funcionários estejam tomando a TI em suas próprias mãos.

Benefícios da TI invisível

Shadow IT geralmente tem uma má reputação, mas vamos dar uma olhada objetiva. Quando gerenciada (ou tropeçada) com cuidado, a TI invisível pode trazer vantagens inesperadas:

  • Acesso mais rápido às ferramentas: As equipes podem adotar rapidamente soluções adaptadas às suas necessidades sem esperar por longos processos de aprovação de TI.

  • Inovação através da experimentação: Os funcionários podem explorar ferramentas e tecnologias de ponta, às vezes introduzindo soluções que a organização em geral não havia considerado.

  • Maior produtividade dos funcionários: Quando os funcionários encontram ferramentas que funcionam perfeitamente para suas tarefas, isso pode simplificar os fluxos de trabalho e aumentar a produção.

  • Equipes capacitadas e autossuficientes: A Shadow IT geralmente promove uma atitude de "fazer acontecer", permitindo que as equipes resolvam problemas de forma independente e cumpram prazos críticos.

No entanto, esses benefícios vêm com uma ressalva significativa: as possíveis repercussões da shadow IT não são pouca coisa. Ferramentas não verificadas podem introduzir Vulnerabilidades de segurança, violações de conformidade e ineficiências que acabam custando mais caro a longo prazo.

Crie políticas de segurança específicas para os negócios:

Quais são os riscos da shadow IT?

A seguir estão os quatro maiores riscos da TI paralela: 

  • Riscos e vulnerabilidades de segurança: O uso de shadow IT leva a um risco maior de ataques de malware e exfiltração de dados de hardware, software e aplicativos em nuvem de TI não autorizados. Recursos de TI não autorizados não são fortalecidos por uma organização'sua estratégia, ferramentas e táticas de segurança cibernética, e isso os torna vulneráveis a agentes de ameaças cujos objetivos são roubar informações confidenciais e ativos de dados de alto valor.

  • Superfície de ataque expandida: A Shadow IT geralmente leva à expansão de aplicativos, com aplicativos não autorizados se multiplicando por toda a organização. Essa proliferação cria endpoints não monitorados e conexões não seguras, Expandindo a superfície de ataque e dar aos agentes de ameaças mais oportunidades de explorar vulnerabilidades.

  • Perda ou vazamento de dados: A Shadow IT geralmente resulta em Dados confidenciais sendo armazenado ou transmitido através de canais desprotegidos, deixando-o exposto a violações ou Vazamentos. Por exemplo, uma equipe pode usar um aplicativo gratuito de compartilhamento de arquivos para colaborar, colocando inadvertidamente informações proprietárias em um sistema que não possui criptografia ou proteções de conformidade.

  • Conformidade e preocupações regulatórias: As implicações de conformidade da TI paralela podem ser tão prejudiciais quanto as violações de segurança. As empresas precisam cumprir as estruturas regulatórias específicas da região e do setor, como a Lei de Privacidade do Consumidor da Califórnia (CCPA), o Regulamento Geral de Proteção de Dados (GDPR), a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA), o Programa Federal de Gerenciamento de Riscos e Autorizações (FedRAMP) e o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS). Falhas de conformidade podem custar milhões às empresas em multas e honorários advocatícios.

  • Falta de controle e governança: Deficiências no controle centralizado e na visibilidade de ambientes e recursos de TI podem ser extremamente prejudiciais para uma organização. A maioria dos funcionários não tem a perspicácia técnica e o ponto de vista de alto nível para controlar e governar bem os ativos de TI não oficiais. Como mencionado anteriormente, a aquisição de TI paralela pode resultar em ganhos de curto prazo, mas também pode abrir as comportas para obstáculos de resposta a incidentes e remediação e desafios post-mortem devido a trilhas de auditoria fracas.

  • Aumento dos custos e ineficiências de TI: Há grandes consequências relacionadas a custos da TI paralela, incluindo colaboração subótima, mau uso dos recursos existentes, bloqueios de fornecedores não autorizados, operações desorganizadas e ineficientes, tempo de inatividade potencial e comprometimento de dados.

Exemplos de shadow IT

As empresas precisam ser capazes de identificar instâncias específicas de TI paralela para mitigar riscos e prevenir ocorrências futuras semelhantes.

Alguns exemplos proeminentes de TI sombra a serem observados incluem:

ExampleDescription
Cloud storage and collaboration toolsEmployees may utilize a range of unsanctioned applications from cloud storage and collaboration suites on a short-term or project-to-project basis or for interdepartmental collaboration. Even storage and collaboration tools from trusted providers can be vulnerable if they aren’t under the supervision of the IT department.
SaaSShadow SaaS is a growing form of shadow IT. There are thousands of free or freemium SaaS solutions that attract employees who want to augment their work without undergoing permissions processes. A simple example of shadow SaaS can be an employee from an accounting department using an unsanctioned SaaS graphic design tool to create a report.
Personal devices and applicationsThe rise in hybrid work-from-home models means that numerous employees access enterprise IT resources on personal devices. Employees working on personal smartphones and computers may tend to use non-approved applications for work, and this can introduce numerous vulnerabilities and risks.
External software subscriptionsEmployees may subscribe to a service or software for a particular project and then lose track of its status. These dormant, neglected, and hidden software subscriptions are capable of causing significant—and costly—problems for enterprises.
Developer toolsDevelopers often leverage unauthorized programming libraries, frameworks, or open-source software to tackle the pressures and challenges of agile environments. Unauthorized developer tools may have powerful capabilities that empower employees and teams, but their hidden presence can create unforeseen complexities.

Algumas práticas recomendadas simples para evitar o Shadow IT

O Shadow IT pode ser evitado com uma combinação de práticas recomendadas em toda a organização, ferramentas e tecnologias robustas e estratégias proativas. 

Para evitar a TI de sombra, tenha em mente estas dicas:

1. Maximize a visibilidade: As empresas devem implementar mecanismos para monitorar o uso de recursos de nuvem, dispositivos móveis e endpoints, aplicativos, sistemas operacionais, código e pacotes em seus ambientes de TI. A visibilidade pode ajudar a fortalecer a postura de segurança, reforçar os protocolos de conformidade, otimizar as despesas e simplificar as implantações de carga de trabalho. 

An example of the level of visibility needed for a cloud service and technology inventory

2. Torne a detecção eficiente: A detecção automatizada de serviços em nuvem existentes e recém-comissionados pode ajudar as empresas a vigiar e controlar seu ambiente de TI com mais eficiência. A capacidade de detectar atividades e acessar visualizações de gráficos e mapeamentos de recursos de PaaS, máquinas virtuais, containers, buckets públicos, volumes de dados e bancos de dados pode ajudar as empresas a evitar a TI sombreada e corrigir instâncias existentes. 

An example detection of a newly introduced cloud service to an environment

3. Crie políticas de segurança específicas para os negócios: As políticas de segurança devem estar sintonizadas com uma organização'requisitos e objetivos exclusivos. Essa abordagem pode ajudar muito a mitigar o risco em um cenário de ameaças em rápida evolução.

4. Implemente o gerenciamento de dispositivos móveis (MDM): Soluções robustas de MDM são essenciais para combater a shadow IT, proteger endpoints em proliferação e sustentar modelos de trabalho híbrido e remoto. Exemplos de recursos de MDM incluem mecanismos para impedir que os funcionários assinem aplicativos externos sem contas de email corporativas oficiais e esquemas de logon único (SSO). As empresas devem impor listas de negação de TI e listas de permissões em dispositivos da empresa e BYOD para controlar quais aplicativos podem ser introduzidos.

5. Elimine o código de sombra: O código de sombra refere-se ao código não autorizado usado pelos desenvolvedores. As empresas precisam se integrar SAST (Teste de Segurança de Aplicativos Estáticos), ferramentas DAST (Dynamic Security Testing) e IAST (Interactive Application Security Testing) para verificar todo o código e estruturas de código aberto utilizadas pelos desenvolvedores. Isso pode ajudar as empresas a evitar riscos como violações de segurança, roubo de dados e ineficiências operacionais. Ele também garante que apenas código cuidadosamente verificado e autorizado seja adicionado aos repositórios Git.

6. Aproveite os controles de acesso: Estabelecer, incorporar e implementar controles de acesso em ambientes de nuvem, endpoints, aplicativos e processos pode ajudar as organizações a determinar e policiar quais ativos de TI são permitidos, onde podem ser integrados e quem pode comissioná-los. Esses controles devem ser formalizados, incorporados à estrutura de uma organização e rigorosamente mantidos.

An example of an AWS excessive access detection

7. Alertas automatizados: Mecanismos automatizados podem alertar os departamentos de TI e segurança cibernética sobre violações de políticas de segurança e atividades anômalas em tempo real. Os alertas podem ajudar as organizações a lidar com os primeiros sinais de TI paralela e minimizar os danos causados por incidentes.

Example alert for an unreviewed/unwanted cloud service

8. Organize o treinamento: Os funcionários geralmente recorrem à shadow IT por conveniência, ignorância ou porque sentem que as ferramentas aprovadas não atendem às suas necessidades. Workshops regulares sobre os riscos da TI paralela podem dissuadir os funcionários de usar TI não autorizada. As sessões de treinamento também ajudam a promover um ambiente onde os funcionários se sintam confortáveis em aumentar suas necessidades de tecnologia com a TI.

9. Ofereça um catálogo de serviços de TI: É uma boa ideia fornecer um catálogo de software, aplicativos e serviços aprovados para uso dos funcionários. Um catálogo atualizado pode impedir que os funcionários busquem soluções fora dos canais autorizados.

10. Incentive a colaboração entre TI e unidades de negócios: Sempre que as equipes de TI trabalham em estreita colaboração com outros departamentos, elas entendem melhor suas necessidades departamentais específicas e podem fornecer ferramentas e serviços apropriados que atendam às suas demandas exclusivas. 

11. Conclua auditorias regulares: A auditoria de ativos de TI permite que sua empresa identifique software ou serviços não autorizados e garante que todos os aplicativos e serviços usados na organização estejam em conformidade com as políticas legais e da empresa.

12. Comprometa-se com uma resposta rápida: As equipes de TI precisam ter um plano para lidar com a TI invisível quando ela's detectados. Os protocolos podem incluir a remoção de software ou serviços não autorizados e o fornecimento de uma alternativa apropriada e aprovada.

Descubra aplicativos de TI sombra em seu ambiente

Criar um inventário abrangente de ambientes de TI existentes é a melhor maneira de obter insights sobre seu potencial cenário de TI sombra. No passado, obter um mapa topográfico preciso de novos serviços de nuvem em um ambiente de TI corporativo era um processo demorado e trabalhoso. A Wiz possibilita começar a mapear um inventário completo de serviços em nuvem em apenas alguns cliques. 

Obtenha uma demonstração do Wiz agora para começar a capacitar suas equipes de desenvolvimento e nuvem para entender o risco de TI. Proteja e otimize um mecanismo robusto baseado em nuvem para sua organização em velocidades incomparáveis.

Shine a Light on Shadow IT

Learn how Wiz offers visibility into what cloud resources, applications, operating systems, and packages exist in your environment in minutes.

Ver demonstração 

Perguntas frequentes sobre o Shadow IT