Seis dicas para ajudar os CIOs a gerenciarem a chamada Shadow IT

Um fenômeno muito interessante, que ocorre em muitas das médias e grandes empresas, é o Shadow IT, também conhecido por TI invisível _ tecnologias e serviços adquiridos pelos usuários das áreas de negócio, com seus próprios budgets, à margem da TI.

Este fenômeno surgiu com o advento do modelo client-server, que permitiu que áreas usuárias comprassem pequenos servidores e aplicativos departamentais, sem que TI soubesse, acelerou com o advento da Internet e agora vemos sua potencialização pela clod computing. Com o aumento de uso da nuvem e do BYOD, tornou-se cada vez mais difícil para os departamentos de TI acompanhar e gerenciar software e hardware - e manter um ambiente seguro.

Então o que os CIOs e outros líderes de TI devem fazer para identificar e gerenciar a Shadow IT e mitigar seus riscos em potencial? A CIO.com perguntou a dezenas de profissionais de TI, nas áreas de mobilidade e cibersegurança, como gerenciar essa TI invisível. Confira.

1. Monitore sua rede,  para saber se, ou quando você tem um problema Shadow IT.

"Independentemente de saber se os funcionários usam hardware da companhia ou  pessoal (ie, BYOD), as organizações precisam identificar onde todos os seus dados residem, se no data center, na borda ou na nuvem ", diz Greg White, gerente sênior de marketing de produto da CommVault.

Então, "para identificar rapidamente o uso marginal de TI, você precisa monitorar continuamente sua rede em relação à conexão de novos dispositivos, desconhecidos, comparando a lista entre as varreduras para determinar quando novos dispositivos aparecem", diz Dwayne Melancon, CTO da Tripwire, empresa de segurança de rede.

"A varredura de vulnerabilidades pode ser incorporada na rotina empresarial, como uma prática de segurança amplamente recomendada e adotada", diz Melancon. "Esta abordagem permitieá reunir informações sobre o local onde os novos dispositivos estão em sua rede e obter informações detalhadas sobre que tipo de dispositivos são."

Da mesma forma, "você pode processar os dados de registro de seus atuais firewalls, proxies, Siems e produtos de MDM para identificar serviços na nuvem  que estão sendo usados ​​sem o conhecimento da TI", diz Rajiv Gupta, CEO da Skyhigh Networks, empresa de segurança de acesso em nuvem. "Estes dados podem dizer que serviços estão sendo utilizados, quem os está utilizando e quantas vezes, além de quando os dados são carregados e descarregados."

2. Priorize o risco. "Nem todos os software/serviços utilizados fora do controle de TI são ruins", diz Gupta. "Procure fazer um registro objetivo e abrangente dos serviços em nuvem para identificar os de maior risco e tratá-los", ele sugere. "Impeça o acesso a esses serviços de alto risco, bloqueando-os através de sua infraestrutura existente (ie, firewalls, proxies, soluções de MDM) ou identificando os usuários e solicitando que deixem de utilizar os serviços."

3. Estabeleça diretrizes em torno do BYOD, apps e serviços na nuvem. "Para acomodar as necessidades das unidades de negócio, a TI pode criar e compartilhar uma lista de software/aplicações pré-aprovadas, além de um padrão de aprovação", diz Chris Smith, CMO da Zenoss , fornecedora de soluções de monitoramento e gestão.

"Isso permitirá que as unidades de negócios tomem suas próprias decisões de compra com a certeza de que a introdução de um novo serviço não causará problemas de compatibilidade e segurança", diz Smith. Além disso, "os processos de TI deve-se colocar no lugar de quem aprova/desaprova novos aplicativos procurados pelas unidades de negócio, rapidamente."

"Na BT, nós fizemos questão de compartilhar os detalhes de nossa estratégia de BYOD com nossa força de trabalho, deixando claro o que podemos suportar e em que áreas precisamos ter cuidado devido ao alto risco para o negócio", diz Jason Cook, arquiteto-chefe e diretor de tecnologia da BT Global Services. Isso permite que os trabalhadores saibam antecipadamente o que é permitido e reduzam o risco de aplicações e dispositivos não aprovados sendo usados.

4. Ofereça alternativas. "Os trabalhadores de hoje esperam ser capazes de encontrar, visualizar e usar seus dados em todos os locais e dispositivos", diz White. "Se as empresas não fornecerem uma solução segura para acesso a dados corporativos remotamente, os trabalhadores vão encontrar suas próprias maneiras de gerenciar informações para trabalhar de forma eficiente, usando produtos de consumo que podem colocar em risco a organização", diz ele.

"Ao fornecer aos empregados um ambiente de TI seguro, controlado, que permite acesso aos dados em qualquer lugar, a qualquer, a TI reduz o risco de ter os funcionários implantando produtos fora do controle da TI", diz White.

"Seus funcionários estão usando iOS e dispositivos baseados em Android para acessar seu conteúdo de trabalho remotamente", diz Jeetu Patel, gerente geral da EMC Syncplicity . "Então, certifique-se de dar aos usuários alternativas móveis para trabalhar com a sua plataforma de gerenciamento móvel existente ou de fornecer extensa política de controles de segurança e para proteger dados em dispositivos perdidos ou roubados."

"Os departamentos de TI não devem ignorar o BYOD, mas devem abordá-lo com uma solução que permita que seus funcionários trabalhem com segurança em dispositivos pessoais", diz Tyler Lessard, diretor de marketing e produto da Fixmo.

"Se não o fizerem, eles se expõem ao risco de ter usuários trabalhando fora da política, encontrando suas próprias maneiras de encaminhar documentos corporativos, etc, para os seus dispositivos móveis", adverte Lessard. "Ataque a Shadow IT de frente, de forma estratégica, dizendo 'sim' para o BYOD e dê aos funcionários uma maneira correta de fazer o trabalho com segurança, em vez de forçá-los a encontrar soluções."

5. Restrinja o acesso a aplicativos de terceiros. "Restrinja o acesso dos usuários a aplicativos como Dropbox, SkyDrive e SharePoint, entre outros", diz Christophe Boudet, diretor da Akita Serviços de TI . "A maioria das políticas de TI impede que usuários individuais escolham os aplicativos que são capazes de instalar", diz ele. "Além disso, deixam bastante clara a sua política de TI que estes serviços que não são permitidos."

No entanto, "o bloqueio nem sempre é a melhor abordagem", afirma Gupta. "Às vezes, pode ser mais eficaz identificar os usuários, ajudá-los a compreender os riscos e sugerir uma alternativa de baixo risco com funcionalidade equivalente. Pessoas tendem a encontrar maneiras de obter acesso a sites e serviços se se sentirem bloqueadas injustamente."

6. Ofereça anistia. "Ao identificar as ameaças da Shadow IT você tem duas opções: primeiro, o departamento de TI pode identificar o tráfego de e para soluções de terceiros na nuvem, como o Skype e o Dropbox", diz Orlando Scott-Cowley, evangelista de Segurança e Conformidade da Mimecast, que fornece gerenciamento de e-mail e conformidade.

"No entanto, este processo é demorado, impreciso e bloquear o acesso completamente é quase impossível", diz Scott-Cowley. A melhor opção? "Crie um programa de anistia para identificar a Shadow IT, encorajando os usuários a confessarem o uso sem medo de retaliações - especialmente se você der a eles a oportunidade de explicar por que eles precisavam usar essas sokuções e por que suas plataformas corporativas não estavam à altura da tarefa ".

Você vai abraçar Sombra de TI?
Antes de abraçar ou restringir o uso invisível de TI, Boudet, da Akita, sugere que os CIOs questionem-se sobre:

1 - Se existe uma razão para que uma solução particular seja inadequada para a empresa.

2 - Se os usuários se sentem claramente necessitando de uma solução para compartilhamento de documentos para incluir o acesso a ela na política de TI da empresa.

3 - Se existe uma opção de TI em uso na organização que satisfaça as necessidades de conformidade.

4 - Se é possível integrar certos aplicativos ou serviços ou dispositivos em seus ativos de TI e instalar as medidas de segurança adequadas ao seu redor?