Shadow IT (“TI invisível”, em inglês) é um termo usado para representar a adoção de recursos de TI em uma empresa sem a aprovação prévia ou supervisão do departamento de TI. O fenômeno é uma realidade na maioria dos negócios, e pode se tornar ainda mais intenso nos próximos anos: a Gartner estima que, até 2027, 75% dos empregados irão adquirir, modificar ou criar tecnologia sem que a TI tenha visibilidade sobre ela.
Neste artigo, vamos explorar o fenômeno do Shadow IT e suas principais causas, riscos, formas de prevenção e soluções.
O que é shadow IT?
O shadow IT engloba o uso de softwares, apps, plataformas na nuvem e dispositivos não autorizados previamente pela TI de uma empresa.
A prática muitas vezes é originada de uma busca legítima por agilidade e eficiência por parte de departamentos que não possuem ferramentas adequadas dentro do leque de programas aprovados pela empresa, ou que precisam se adequar rapidamente a novas mudanças tecnológicas. Apesar da possibilidade de resolução imediata de algum problema ou processo, recorrer ao shadow IT pode representar uma série de riscos, incluindo vazamentos de dados, falta de visibilidade e controle, além do descumprimento de políticas internas da empresa.
O fenômeno não se restringe ao uso de programas complexos e pode começar de forma muito simples, desde o uso contas pessoais em plataformas de nuvem para compartilhar arquivos de trabalho ou a inserção de informações sensíveis em plataformas de inteligência artificial como o Chat GPT. A popularização da IA generativa, aliás, deu origem a seu próprio termo – shadow AI – e representa a grande dificuldade que empresas têm de acompanhar o ritmo das novas tecnologias adotadas por funcionários.
Principais causas do shadow IT
Busca de produtividade
A crescente oferta de soluções de Software como Serviço (SaaS) na nuvem e o avanço de tecnologias acessíveis a usuários não-técnicos, como diversos programas de IA, têm sido fatores-chave para o avanço do shadow IT.
Funcionários em busca de maior produtividade e eficiência podem, por desconhecimento ou dificuldade de aprovação, buscar o uso desse tipo de ferramenta para solucionar problemas rapidamente em seus departamentos. Dados de 2023 coletados pela empresa de segurança Entrust Datacard com funcionários de TI nos EUA estimam que 65% de todas as aplicações SaaS em empresas se encaixam nesta definição, ou seja, são adotadas por usuários sem o conhecimento ou aprovação do departamento.
Essa tendência resulta num fenômeno conhecido como “Tech Spraw”, no qual as empresas rapidamente se encontram usando e gerenciando centenas de aplicações sem a visibilidade ou o controle centralizado. Isso não apenas dificulta a gestão de TI e gera custos e redundâncias, já que muitos desses programas não se conectam ou têm funções equivalentes, mas também aumenta de forma significativa riscos de segurança de dados e violações de normas internas e parâmetros legais, como a LGPD.
Falta de comunicação da empresa
Embora os times de TI estejam cientes dos riscos de segurança do shadow IT, dados revelam que a maioria dos funcionários não tem a mesma percepção, ou sequer ciência das possíveis consequências administrativas desses riscos. Mais de um terço dos profissionais de TI ouvidos no levantamento da Entrust afirmam que suas empresas não estabeleceram consequências internas claras para a adoção de novas tecnologias sem a aprovação da TI.
Backlog da TI
A demora nos processos de aprovação da TI é outra causa relevante do shadow IT. Essa lentidão pode frustrar os funcionários de áreas de negócio, levando-os a buscar soluções alternativas para a solução de processos do time sem perceber que, no médio e longo prazo, esse “atalho” pode acabar sendo mais prejudicial do que benéfico.
Estima-se que, nos EUA, apenas 12% dos departamentos de TI acompanham todas as solicitações de novas tecnologias feitas pelas áreas de negócio, fenômeno que pode ser ainda mais grave em países como o Brasil. Esse descompasso reforça a necessidade das empresas de se tornarem mais ágeis na implementação de tecnologias sugeridas pelos colaboradores. Para isso, a adoção de ferramentas de gerenciamento de processos que ajudem a TI a manter a governança sobre fluxos de trabalho, ao mesmo tempo em que dão autonomia às linhas de negócio, se torna ainda mais urgente.
Ainda na pesquisa da Entrust, 80% dos respondentes acreditam que suas empresas devem ser mais ágeis na adoção dessas tecnologias. Para 42%, desenvolver e divulgar políticas mais claras de aprovação ajudaria os funcionários a buscar e introduzir ferramentas de forma mais alinhada às normas da TI.
Riscos do shadow IT
A adoção de dispositivos, softwares e serviços fora do controle do departamento de TI não apenas compromete a segurança dos dados corporativos, o que pode resultar em perda de reputação com clientes, multas ou outras consequências legais, mas também impõe desafios em termos de eficiência operacional e integração de sistemas.
Gastos desnecessários
Uma das consequências mais significativas do shadow IT é o aumento de custos com ferramentas e descontrole do tech stack da empresa. Segundo a Gartner, o shadow IT corresponde a entre 30% e 40% dos gastos da TI em empresas – o Everest Group prevê que ele pode representar até 50% desses gastos.
Esses custos elevados e muitas vezes ocultos podem desviar recursos financeiros relevantes de iniciativas estratégicas de TI, além de introduzir e solidificar redundâncias e ineficiências operacionais no ambiente tecnológico da empresa, gerando uma bola de neve cada vez maior e mais complicada de solucionar.
Perda de visibilidade e controle de TI
Um dos principais riscos do shadow IT é a perda de visibilidade e controle sobre os ativos de TI. Sem o conhecimento ou supervisão do departamento, vulnerabilidades de segurança podem passar despercebidas por muito tempo, aumentando a exposição da empresa a ataques cibernéticos.
O relatório State of Attack Surface Management 2022 revela que a empresa média possui 30% mais ativos expostos do que aqueles identificados pelos programas de gerenciamento de ativos.
Insegurança de dados
O uso de programas e aplicativos não autorizados para armazenar, acessar ou transmitir dados representa um risco significativo de violações de regulamentação, ou vazamentos. Uma pesquisa da Forbes Insight revelou que uma em cada cinco empresas sofreu uma violação cibernética devido ao shadow IT.
Regulamentos como a LGPD, no Brasil, ou GDPR na Europa, requerem que as informações pessoais sensíveis sejam processadas de maneira segura. Soluções de shadow IT, muitas vezes criadas sem o devido conhecimento da legislação vigente em cada país, podem levar a multas elevadas ou ações jurídicas contra a empresa por falhas no cumprimento desses padrões.
Ainda, dados importantes armazenados em aplicativos fora da governança corporativa podem não ser incluídos em backups oficiais da empresa, dificultando ou impossibilitando a recuperação de informações após uma migração de sistemas, ou um incidente de perda de dados.
Ineficiência de processos
A dificuldade de integrar programas de shadow IT com a infraestrutura autorizada da empresa pode obstruir fluxos de trabalho essenciais e provocar falhas operacionais, além de redundâncias e ineficiência de processos.
Ainda, a equipe de TI, por não saber do uso de algum recurso, pode, por exemplo, realizar mudanças no tech stack da empresa que afetem negativamente a funcionalidade de um aplicativo não-autorizado que tenha se tornado relevante a uma área específica, prejudicando a produtividade e entregas das equipes que dependem dessa solução.
Como prevenir, identificar e resolver o Shadow IT
Para prevenir, identificar e resolver o shadow IT, é importante que a TI trabalhe tanto na construção de relacionamentos dentro da empresa quanto na implementação de tecnologias de segurança e monitoramento avançadas e uma política eficiente de aprovação de softwares.
Esse processo, apesar de ser liderado pela TI, não é restrito ao departamento e deve ser apoiado de forma ampla por gestores de outras áreas e executivos para se tornar uma prática cultural da empresa.
Crie (e divulgue) um processe de avaliação e aprovação de softwares
Para prevenir o shadow IT, é fundamental estabelecer um processo claro, ágil e acessível para a avaliação e aprovação de softwares e tecnologias solicitadas pelos funcionários. Isso não só aumenta a agilidade organizacional na adoção de novas tecnologias, mas também garante que todas as ferramentas utilizadas estejam em conformidade com os padrões de segurança e governança de TI da empresa.
Nessa etapa, conte com os times de negócio e o departamento de RH para montar uma estratégia ampla de divulgação da política, seu registro no onboarding de funcionários e sessões recorrentes de atualização conforme houver mudanças no processo.
Colabore com outros departamentos
A responsabilidade da área de TI vem aumentando dentro das empresas, com cobranças em relação a resultados estratégicos, eficiência das linhas de negócios e controle de custos. Por isso, é fundamental que lideranças da área passem a dedicar tempo e esforços na manutenção de uma rede de contatos em outros departamentos – é recomendado que gestores de projeto de TI devem dediquem de 20% a até 50% de seu tempo no engajamento com essa comunidade. Isso não só ajuda a prevenir o shadow IT, mas amplia o conhecimento dos stakeholders sobre a atuação da TI e as necessidades atuais de cada área, trazendo mais resultados.
Esse engajamento entre líderes também é importante para encorajar os funcionários a discutir abertamente suas necessidades tecnológicas e buscar aprovação formal antes de adotar novas soluções. A criação de processos claros para a solicitação e aprovação de novas tecnologias incentiva a conformidade e apoia a inovação responsável.
Monitore ativamente os softwares utilizados pelas equipes
Especialmente enquanto uma cultura de prevenção ao shadow IT não é consolidada na empresa, é fundamental que equipes de TI invistam em sistemas robustos de monitoramento de rede e ferramentas para gestão de ativos e licenciamento de software para identificar o uso não-autorizado de sistemas e serviços.
Além do monitoramento, solicitar que os funcionários cessem o uso de aplicativos e serviços não autorizados e auxiliá-los na remoção desses elementos são práticas recomendadas, especialmente num primeiro momento. Propor um período de anistia pode facilitar esse processo, reduzindo a resistência e promovendo uma transição suave para práticas de TI seguras e aprovadas.
Treine e conscientize as equipes
A chave para o sucesso dessa abordagem é a comunicação aberta e a transparência. É fundamental desenvolver treinamentos obrigatórios no onboarding e sessões periódicas de reciclagem, com exemplos reais de problemas decorrentes do shadow IT para ilustrar as consequências negativas de tais práticas.
Outro instrumento de conscientização é a apresentação dos esforços do departamento de TI para manter a segurança dos dados da empresa. Compreender os processos do time, especialmente junto a uma estratégia de aproximação de departamentos, pode contribuir com o senso de propósito comum e incentivar a colaboração.
Invista em plataformas de automação de processos low/no-code
Ferramentas de gerenciamento (BPM) e automação de processos (BPA) low/no-code são as melhores amigas de líderes em busca de eliminar o shadow IT sem aumentar o backlog da TI e mantendo a autonomia das equipes de negócio para gerenciar seus próprios fluxos de trabalho.
Essas tecnologias permitem que usuários sem conhecimento de programação criem e automatizem seus próprios processos e fluxos, sob a governança da TI, que passa a ser acionada apenas para intervir em casos de alta complexidade ou que exijam conexões avançadas a outros sistemas.
Líderes devem buscar plataformas com interface amigável para o usuário, como modelos drag and drop, que se conectem a ferramentas comuns e sistemas legados, que ofereçam níveis de permissão variados e que sejam flexíveis para se adaptar às diversas áreas de negócio e ao crescimento da empresa. Ainda, funcionalidades como chatbots e automação alimentadas por IA generativa facilitam ainda mais o trabalho dos times de negócio na hora de otimizar seus fluxos de trabalho, buscar por dados relevantes e até realizar atendimentos de solicitações simples.
Adotar essas ferramentas não apenas minimiza os riscos associados ao shadow IT, mas também aproveita o potencial de inovação e agilidade que as soluções desenvolvidas pelos próprios usuários de negócios podem oferecer, incentivando o desenvolvimento cidadão e promovendo uma cultura de colaboração e inovação responsável dentro da empresa.
Evite o shadow IT com Pipefy
Pipefy é a ferramenta de gerenciamento e automação de processos recomendada por líderes de TI e preferida pelas equipes de negócios. Reconhecido por facilidade de uso por portais como G2 e Capterra, o Pipefy tem implementação 2x mais rápida do que plataformas concorrentes, e se integra de forma nativa a mais de 300 programas e apps, com conexões de API disponíveis para outros sistemas.
Com recursos de IA para criação de workflows, gerenciamento de automações e funcionalidade de chatbot como co-piloto ou atendente, usuários têm ainda mais facilidade para gerenciar seus processos com autonomia e segurança, sem precisar recorrer ao shadow IT ou lotar a fila do departamento de TI.