Paulo é diretor de vendas de uma grande indústria química. Ele lidera uma equipe com 20 executivos e viaja muito, visitando indústrias de transformação espalhadas por todo o Brasil. Em seu notebook, no seu smartphone, no PC de sua casa, ele acessa aplicações homologadas e testadas pela equipe de TI de sua empresa. Mas Paulo emprega diariamente, também, aplicações que ele baixou da web e que são úteis em sua rotina. Trata-se de serviços como Google Docs e Dropbox, entre várias aplicações para uso pessoal.
Paulo é um dos milhões de usuários corporativos que encontram na Shadow IT recursos que facilitam sua vida.
O que é preocupante é que Paulo pode estar usando web services Shadow IT também para compartilhar informações sensíveis como senhas, documentos confidenciais e planos de longo prazo de sua empresa com interlocutores internos ou externos.
Ele não será o único.
Relatório produzido pela Blue Coat Elastica no primeiro semestre deste ano mostra que as empresas utilizam, em média, 841 aplicações na nuvem, um valor 20 vezes maior do que as aplicações que foram aprovadas pela área de TI. Na prática, portanto, os funcionários corporativos seguem baixando serviços da nuvem e usando esses serviços – sejam seguros ou não – para compartilhar dados. Trata-se de uma ação que não obedece às diretrizes das empresas.
O relatório da Blue Coat Elastica aponta, ainda, que 23% dos dados mais estratégicos da empresa são compartilhados pela nuvem. Essa tendência é confirmada pelo fato de que 12% dos documentos inseridos em aplicações web da Shadow IT traziam informações confidenciais.
Uma forma de lidar com esta realidade é, muito simplesmente, tentar esmagar o uso da Shadow IT em sua organização.
Quem tentou seguir esse caminho já entendeu que se, hoje, existem milhares de aplicações na nuvem, amanhã haverá ainda mais.
Diante disso, talvez valha a pena abrir caminhos de comunicação entre a TI e as áreas de negócio para ouvir o usuário e conseguir que ele também escute a TI. Criar pontes entre a TI e a área de Recursos Humanos também é essencial – a abordagem aqui descrita preocupa-se em evitar que o funcionário fique desmotivado com as restrições impostas pela TI. Trata-se de trabalhar a partir de premissas construtivas em que todos os envolvidos (TI, negócio, RH) são igualmente ouvidos e respeitados, e todos interagem pelo bem da empresa.
Neste contexto, a segurança da TI torna-se responsabilidade de todos, e a produtividade e a inovação, também.
É possível que um usuário tenha descoberto, na web, uma aplicação sob medida para seu desafio; é possível que o CIO teste esse sistema e concorde. É possível que o RH acompanhe esse momento de transformação corporativa e elimine arestas, atuando como mantenedor de vínculos que estão em pleno processo de renovação.
É importante destacar, no entanto, que neste rio de trocas entre a TI, o negócio e o RH, todos têm de compreender que a empresa funciona a partir de regras de conformidade (compliance) que têm razões de existir. Não se trata de, simplesmente, tirar a TI de cena e deixar o uso da Shadow IT correr solto. Muito pelo contrário.
Segue sendo fundamental descobrir, monitorar e controlar o acesso a aplicações na nuvem – incluindo Shadow IT.
Isso pode ser feito com ajuda das soluções CASB (Cloud Access Security Broker). A primeira conquista que as soluções CASB trazem à corporação usuária é dar visibilidade às aplicações Shadow IT. As melhores plataformas realizam uma auditoria completa, repleta de recursos analytics. O resultado é a geração de sofisticados e detalhados relatórios sobre o que as áreas de negócio estão fazendo (download, upload) e que aplicações Shadow IT estão usando.
Acima de tudo, porém, as soluções CASB controlam o acesso, via nuvem, a dados críticos da companhia. Isso evita que o usuário desavisado consiga compartilhar por meio de serviços Shadow IT informações essenciais ao negócio. Para isso, o CASB identifica e classifica informações confidenciais.
Nas melhores plataformas CASB, o dado crítico jamais é trafegado na nuvem. Quem tentar compartilhar, por exemplo, dados extraídos de aplicações como SalesForce, Oracle Sales Cloud e ServiceNow, perceberá, perplexo, que onde deveria haver uma informação inteligível encontram-se, apenas, símbolos sem sentido. Isso acontece por causa dos recursos de tokenização do CASB.
O grau de eficácia das soluções CASB é tal que é possível programar a exclusão de dados confidenciais de uma transação específica ou bloquear o download de um arquivo crítico. Trata-se de uma solução muito poderosa que simplesmente impede que uma informação estratégica seja compartilhada por meio de um serviço Shadow IT.
Um alerta: nem todos os apps que a área de negócio baixa são Shadow IT.
É bom lembrar que muitos funcionários utilizam aplicações como Twitter, Facebook ou Dropbox para seu uso pessoal. A inspeção de apps de uso pessoal pode entrar em conflito com o respeito à privacidade dos funcionários. Nesta questão, a área de TI anda no fio da navalha. Daí a importância de compartilhar a tomada de decisão sobre bloqueios e proibições com os gestores de negócio.
Nos dias atuais, as unidades de negócios são capazes de implementar serviços de TI com a mesma velocidade com que eles são criados na web. É o que índica o Gartner. Segundo um relatório desse instituto de pesquisa, em 2015, 35% do orçamento de TI foram gastos em ações definidas fora do departamento de TI. E, até 2017, os CMOs (Chief Marketing Officers) investirão mais em serviços de TI do que os CIOs.
Neste contexto, ganha espaço a TI que atua como "trusted advisor" da área de negócio, iluminando com seu conhecimento o caminho para se melhorar a experiência do usuário e a produtividade da empresa.
É o consenso, e não o conflito, que promove a segurança do ambiente corporativo digital e real.
Durante muito tempo a área de TI foi conhecida por dizer não. Vivemos, agora, a era em que com todo o critério, a partir de informações muito bem fundamentadas, o CIO pode dizer sim.
Marcos Oliveira, country manager da Blue Coat Brasil.