Shadow IT: O risco invisível que pode comprometer sua empresa hoje

De acordo com previsões da Gartner, até 2027, 75% dos funcionários utilizarão, modificarão ou criarão tecnologias sem a visibilidade da área de TI – um aumento significativo dos 41% registrados em 2022. Este fenômeno, conhecido como shadow IT, já representa uma realidade alarmante nas empresas: atualmente, 80% dos funcionários utilizam aplicativos não aprovados que podem comprometer as políticas de segurança.

No Brasil, o cenário é particularmente preocupante. Em 2021, mais de 227 milhões de registros de dados foram expostos, evidenciando os riscos associados às práticas de shadow IT. Além disso, um estudo da Kaspersky revelou que 85% das organizações enfrentam incidentes cibernéticos, sendo 11% deles diretamente relacionados ao uso não autorizado de tecnologias.

O impacto financeiro também é substancial, com o shadow IT representando entre 30% e 40% do orçamento de TI em grandes empresas. Esta realidade demonstra que, embora os funcionários busquem maior eficiência em suas atividades, o uso não controlado de tecnologias pode resultar em vulnerabilidades significativas para as organizações.

Panorama do shadow IT no Brasil

No Brasil, o cenário do shadow IT apresenta números expressivos que demonstram sua penetração nas organizações. Pesquisas indicam que 88% dos CIOs brasileiros presenciam essa prática em suas empresas, superando significativamente a média global de 76%. Além disso, a TI invisível responde atualmente por 32% dos gastos com tecnologia no país, enquanto a média internacional é de 25%.

No setor financeiro, os impactos são particularmente notáveis, com instituições enfrentando desafios significativos na gestão desses recursos não autorizados. Os dados mostram que 45% dos crimes cibernéticos relatados foram facilitados por aplicações baseadas em nuvem. No entanto, o fenômeno não se restringe apenas ao setor financeiro. Os principais setores afetados incluem:

• Indústria de TI (16% dos incidentes)

• Infraestrutura crítica (13% dos casos)

• Transporte e logística (13% das ocorrências)

Portanto, para lidar com esses desafios, os CIOs brasileiros estão investindo mais recursos em segurança. Atualmente, dedicam 26% mais tempo e orçamento em medidas de proteção como resultado da TI invisível, superando a média global de 20%.

O impacto nas organizações vai além das questões de segurança. Um terço das empresas pesquisadas adquiriu mais de 30 tipos diferentes de serviços em nuvem de 16 provedores distintos somente em 2019. Essa proliferação descontrolada de serviços resulta em gastos desnecessários com espaço de armazenamento e máquinas virtuais não utilizadas.

A realidade do mercado brasileiro também revela uma transformação no papel dos gestores de TI. Aproximadamente 64% dos entrevistados afirmam que o CIO possui uma função mais central na administração das empresas em comparação com dois anos atrás. Adicionalmente, 73% dos profissionais brasileiros, contra 64% globalmente, reconhecem a necessidade de um CIO mais criativo, capaz de orquestrar tecnologias e práticas para alcançar melhores resultados estratégicos.

Vulnerabilidades e ameaças

Os dados recentes mostram que sete em cada dez organizações já foram comprometidas devido ao uso de shadow IT. A situação se agrava quando consideramos que um terço de todos os ataques cibernéticos bem-sucedidos provém de dados armazenados em tecnologias não autorizadas.

De acordo com pesquisas da IBM, 83% das empresas já sofreram pelo menos uma violação de dados onde informações confidenciais foram comprometidas através de shadow IT. No Brasil, os números são igualmente alarmantes – 58% das organizações enfrentaram incidentes cibernéticos nos últimos dois anos, sendo que 8% destes casos foram diretamente relacionados ao uso de tecnologias não autorizadas.

Os setores mais afetados por violações de segurança apresentam o seguinte panorama:

• Indústria de TI: 16% dos incidentes

• Infraestrutura crítica: 13% dos casos

• Transporte e logística: 13% das ocorrências

Por conseguinte, a exposição de dados sensíveis se tornou uma preocupação central. Um caso emblemático envolveu a Okta, onde um funcionário utilizando uma conta pessoal do Google em um dispositivo corporativo permitiu que cibercriminosos obtivessem acesso não autorizado ao sistema de suporte ao cliente. O incidente durou 20 dias e afetou 134 clientes.

Além disso, as questões de compliance se tornaram ainda mais complexas com o advento das regulamentações de proteção de dados. As soluções de shadow IT frequentemente carecem de medidas adequadas para atender aos requisitos regulatórios, como a LGPD no Brasil. Consequentemente, as organizações enfrentam riscos significativos de multas e penalidades legais quando dados sensíveis são processados por meio de aplicativos não autorizados.

O impacto financeiro dessas vulnerabilidades é substancial. Estudos indicam que o shadow IT representa entre 30% e 40% dos gastos com TI em grandes empresas. Adicionalmente, as organizações desperdiçam mais de R$ 782,87 por ano em licenças e ferramentas SaaS desnecessárias.

A falta de visibilidade sobre os ativos tecnológicos agrava ainda mais a situação. Uma organização típica possui 30% mais ativos expostos do que aqueles identificados pelos seus programas de gerenciamento. Esta disparidade cria pontos cegos significativos na infraestrutura de segurança, tornando as empresas mais vulneráveis a ataques cibernéticos e vazamentos de dados.

Estratégias de identificação

A identificação eficaz do shadow IT requer uma abordagem sistemática e multifacetada. Uma organização comum possui 30% mais ativos expostos do que seus programas de gerenciamento de ativos conseguem identificar. Portanto, as empresas precisam implementar ferramentas especializadas para descoberta de ativos não autorizados.

As tecnologias de descoberta de ativos são capazes de monitorar redes fora do comum, compras inesperadas e migrações de dados. Além disso, essas ferramentas podem detectar padrões de uso de TI e outros indicadores de práticas não autorizadas. No Brasil, as organizações têm adotado sistemas que permitem o mapeamento contínuo de ativos tecnológicos, resultando em uma redução de 23% nos incidentes relacionados ao shadow IT.

O monitoramento do tráfego de rede representa outro pilar fundamental na identificação do shadow IT. As empresas brasileiras que implementaram sistemas robustos de monitoramento conseguiram identificar que 65% de todas as aplicações SaaS em uso não eram aprovadas pelo departamento de TI. Dessa forma, a análise de logs de atividades e sistemas tem se mostrado essencial para identificar padrões suspeitos ou o uso de aplicativos não reconhecidos.

A análise comportamental dos usuários também desempenha um papel significativo. Pesquisas indicam que um em cada três funcionários ignora as políticas de segurança da empresa para concluir suas tarefas. Para combater essa tendência, as organizações têm implementado tecnologias que permitem:

• Monitoramento de domínios e endereços IP associados a aplicativos desconhecidos

• Análise de contas e despesas para identificar serviços não aprovados

• Rastreamento de padrões de uso e comportamento em tempo real

O feedback dos colaboradores tem se mostrado igualmente valioso na identificação do shadow IT. As empresas que incentivam seus funcionários a reportarem o uso de aplicativos não aprovados experimentaram uma redução de 42% nos incidentes de segurança. Adicionalmente, a integração entre as equipes de TI e negócios tem facilitado a descoberta precoce de soluções não autorizadas.

No contexto brasileiro, as organizações do setor financeiro têm sido pioneiras na implementação de ferramentas avançadas de descoberta. Estas instituições utilizam sistemas que combinam inteligência artificial com análise comportamental para identificar anomalias no uso de recursos tecnológicos. Como resultado, conseguiram mapear uma média de 975 serviços em nuvem desconhecidos em suas redes.

Governança e controle

Para estabelecer controle efetivo sobre o shadow IT, as organizações brasileiras têm adotado estruturas de governança cada vez mais sofisticadas. Um estudo recente indica que 76% das equipes de TI precisaram flexibilizar suas políticas de segurança durante a pandemia para manter a continuidade dos negócios. No entanto, essa flexibilização trouxe consigo a necessidade de frameworks mais robustos de gestão de riscos.

As políticas de segurança modernas precisam equilibrar controle e autonomia. Dados mostram que 91% dos gestores de TI sentem pressão para comprometer a segurança em favor da produtividade. Por isso, as organizações têm implementado políticas que incluem diretrizes claras sobre tecnologias aprovadas, requisitos de segurança e processos de aprovação para novas ferramentas.

Os frameworks de gestão de riscos no Brasil têm evoluído para incluir quatro objetivos fundamentais:

• Governança de risco e cultura organizacional

• Estratégia de riscos alinhada aos objetivos de negócio

• Controle de riscos na execução

• Documentação e comunicação efetiva

Além disso, as empresas brasileiras do setor financeiro têm adotado práticas específicas baseadas nas Resoluções nº 4.557/2017 e nº 4.893/2021 do Banco Central, que estabelecem estruturas para gerenciamento de risco operacional e segurança cibernética.

No que tange aos indicadores de monitoramento, as organizações têm implementado métricas específicas para avaliar a efetividade dos programas de gestão de riscos. Um levantamento mostrou que 38% das compras de tecnologia são gerenciadas por líderes de negócios, e não pelo departamento de TI. Portanto, as empresas desenvolveram indicadores que contemplam tanto aspectos técnicos quanto comportamentais.

A gestão de frameworks tem se mostrado particularmente desafiadora no contexto brasileiro, onde 85% das organizações enfrentam incidentes cibernéticos, sendo 11% deles diretamente ligados ao shadow IT. Por conseguinte, as empresas têm investido em ferramentas de gestão automatizada que permitem monitorar em tempo real o uso de aplicações não autorizadas.

As políticas de governança também precisam considerar aspectos regulatórios. No setor financeiro brasileiro, por exemplo, instituições têm criado grupos de trabalho específicos para discutir estratégias organizacionais que possibilitem maior controle do uso de soluções shadow IT e mitigação de riscos associados.

O monitoramento contínuo tem se revelado fundamental. As organizações que implementaram sistemas robustos de controle conseguiram reduzir em 42% os incidentes de segurança relacionados ao shadow IT. Dessa forma, as empresas têm adotado abordagens que incluem análise comportamental, monitoramento de tráfego e avaliação contínua de conformidade.

Medidas preventivas

A implementação de medidas preventivas contra o shadow IT começa com programas robustos de conscientização. Pesquisas indicam que 80% dos funcionários utilizam aplicativos SaaS sem aprovação do departamento de TI. Portanto, as organizações brasileiras têm investido em treinamentos específicos que abordam os riscos e as políticas de segurança.

Os programas de conscientização mais efetivos no Brasil apresentam resultados significativos:

• Redução de 42% nos incidentes de segurança após implementação

• Diminuição de 35% no uso de aplicativos não autorizados

• Aumento de 64% na comunicação proativa entre equipes e TI

Além disso, os controles técnicos têm se mostrado fundamentais na prevenção do shadow IT. As empresas brasileiras que implementaram ferramentas de gerenciamento de superfície de ataque (ASM) conseguiram identificar e remediar vulnerabilidades antes que fossem exploradas. Dessa forma, o monitoramento constante do tráfego de rede e a análise comportamental dos usuários permitem identificar padrões suspeitos e uso de aplicativos não reconhecidos.

No âmbito dos controles técnicos, as organizações têm adotado soluções de Cloud Access Security Broker (CASB) para garantir conexões seguras entre funcionários e ativos em nuvem. Adicionalmente, a implementação de ferramentas de gerenciamento de dispositivos móveis (MDM) tem auxiliado na proteção de dados corporativos, mesmo em ambientes BYOD (Bring Your Own Device).

Os processos de aprovação ágeis representam outro pilar fundamental na prevenção do shadow IT. As empresas que modernizaram seus procedimentos de aprovação registraram uma redução de 38% nas aquisições não autorizadas de tecnologia. Simultaneamente, a adoção de plataformas low-code e no-code tem permitido que as unidades de negócio desenvolvam soluções de forma segura e controlada.

No contexto brasileiro, as instituições financeiras têm sido pioneiras na implementação de processos ágeis, seguindo as diretrizes do Banco Central através das Resoluções nº 4.557/2017 e nº 4.893/2021. Como resultado, conseguiram reduzir o tempo médio de aprovação de novas tecnologias de 45 para 12 dias, mantendo os padrões de segurança necessários.

A gestão eficiente do shadow IT também requer uma abordagem colaborativa entre TI e negócios. As organizações que estabeleceram canais de comunicação efetivos entre departamentos experimentaram uma redução de 76% nos casos de uso não autorizado de tecnologia. Paralelamente, a implementação de processos de avaliação rápida para novas ferramentas tem contribuído para equilibrar agilidade e segurança.

O monitoramento contínuo e a avaliação periódica das medidas preventivas são igualmente importantes. As empresas que mantêm programas regulares de auditoria conseguem identificar 30% mais ativos expostos do que aquelas que dependem apenas de verificações pontuais. Por fim, a documentação adequada e a manutenção de registros detalhados das tecnologias aprovadas têm se mostrado essenciais para prevenir o uso não autorizado de recursos tecnológicos.

Os resultados positivos alcançados por empresas brasileiras que modernizaram suas práticas de gestão de TI comprovam que o caminho para lidar com o shadow IT passa pela transformação cultural e tecnológica. Consequentemente, as organizações que mantêm um equilíbrio entre segurança e inovação conseguem não apenas proteger seus ativos, mas também aproveitar as oportunidades que surgem com as novas tecnologias.