Shadow IT torna o trabalho de segurança corporativa ainda mais complexo em tempos de home office
Dentre as muitas definições que faremos, no futuro, sobre o “legado” que a terrível experiência da pandemia nos deixou, uma delas é que esse período consolidou a cultura do home office. Já são inúmeras as empresas – inclusive, grandes corporações – que anunciaram não pretendem mais voltar aos escritórios, mesmo num hipotético cenário de fim da pandemia. Essa tendência pode ser interpretada de diferentes maneiras, com defensores exaltando os seus benefícios, de um lado, e críticos ao modelo, de outro. Mas é indiscutível que uma questão não pode mais ser negada por nenhuma empresa: os cuidados com a TI Invisível (ou Shadow IT) se tornaram algo crítico para a continuidade dos negócios.
Para quem não está familiarizado com o termo, a Shadow IT se refere a dispositivos, programas e serviços online usados por colaboradores, e que não estão sob a gestão da área de TI. Isso inclui aplicativos de mensagens (como Messenger ou WhatsApp), e-mails pessoais, serviços de compartilhamento de arquivos ou qualquer outro programa de uso pessoal.
Também fazem parte da TI Invisível os programas que utilizamos na internet (SaaS), e que ajudam empresas e profissionais a ganhar agilidade, trabalhar remotamente e manter o alinhamento, enquanto as equipes trabalham a distância. Ou seja, trata-se de algo não apenas corriqueiro, mas, algumas vezes, essencial para o trabalho em casa. Mas tudo na vida tem dois lados, e a Shadow IT também torna o trabalho de segurança corporativa ainda mais complexo. De acordo com a recente da Pesquisa de Riscos Globais de Segurança da Kaspersky, 92% das pequenas e médias empresas e 89% das grandes corporações convivem com a presença da Shadow IT em suas redes.
Ao contrário das ferramentas corporativas, que são, via de regra, configuradas pelas equipes de TI e possuem um nível adequado de controle, proteção e gerenciamento de incidentes – quando se trata de serviços não autorizados –, a segurança dos dados compartilhados é incerta. As dúvidas são, por exemplo, se os trabalhadores estão usando senhas fortes, se acessam os serviços de maneira segura, se os dispositivos estão protegidos, ou sobre quem irá gerenciar o acesso, caso essas pessoas deixem a empresa.
Com mais uma questão a resolver, em meio a tantas outras levantadas com a pandemia, cabe responder à pergunta: como resolver o problema da Shadow IT, em um contexto em que os limites entre a vida pessoal e profissional foram obscurecidos, e as pessoas, de suas casas, estão usando as máquinas corporativas para tarefas domésticas, assistir a filmes por streaming ou até ver pornografia?
Primeiramente, é importante ressaltar que se proteger dessas ameaças não significa bloquear o acesso a todas as ferramentas que não sejam corporativas. Isso seria irrealista. Além do mais, a Shadow TI pode ajudar os profissionais a aprimorar o seu trabalho. Um exemplo foi o caso de uma vice-presidente que pagou um CRM com seu próprio dinheiro, ignorando o sistema autorizado sugerido pela equipe de TI. Quando a empresa descobriu, a executiva foi advertida disciplinarmente, apesar de ela ter conseguido, graças a esse CRM, aumentar a receita da companhia em US$ 1 milhão por mês.
Portanto, ter equilíbrio é fundamental. Tão importante quanto não expor a empresa a riscos é não ser autoritário. Mas qual é o equilíbrio?
O caminho passa pela sua visibilidade e integração aos recursos corporativos. Existem ferramentas dedicadas que permitem que as equipes gerenciem o acesso às nuvens públicas. Elas destacam os serviços usados com mais frequência, quais têm capacidade de transferência e armazenamento de dados e quais os riscos envolvidos, e ajudam a tomar as medidas necessárias.
Essas ferramentas podem ser uma solução autônoma ou estar integrada à segurança corporativa. Por exemplo, descobrimos que o YouTube é o aplicativo que os funcionários mais acessam em dispositivos corporativos. Como essa página não fornece opções de compartilhamento de arquivos ou qualquer processamento de dados corporativos, o risco é mínimo. A menos que os vídeos do YouTube afetem a eficiência da equipe, mas isso é outra história.
Mas essas medidas só funcionam quando acompanhadas da conscientização das equipes em relação ao uso seguro de serviços digitais – do e-mail corporativo, ao software exclusivo de engenharia, até o bom e velho WhatsApp. Caso haja uma política corporativa que impeça o compartilhamento de documentos por aplicativos não autorizados, isso precisa ser avisado. Ao trabalhar com qualquer serviço ou ferramenta, os colaboradores devem estar cientes de medidas básicas, como gerenciamento de senhas e acesso. Também precisam ser colocadas as regras de segurança básicas, como não abrir anexos ou clicar em links de e-mails desconhecidos, não baixar software de fontes não oficiais e sempre verificar o endereço das páginas web que solicitam dados de login.
Ao falar sobre cibersegurança, é melhor usar o enfoque correto: educando, alertando, testando e lembrando novamente sobre os riscos, sem punições. Explique às equipes por que os cuidados digitais são tão importantes, que elas podem continuar usando serviços não corporativos para o trabalho, mas é fundamental que sigam as regras e não violem a política de proteção de dados.
*Claudio Martinelli é diretor-geral da Kaspersky para a América Latina
