Recursos/White Papers

Tecnologia

Sete passos para reaver controle da “Shadow IT”

Compreender as motivações dos usuários é a primeira etapa. Mas o processo também envolve restringir o acesso, em alguns casos

Da Redação, com IDG News Service

Publicada em 11 de abril de 2017 às 08h39

"Shadow IT" refere-se à prática muito comum em que os gerentes das áreas de negócio selecionam e implementam serviços em nuvem sem o consentimento ou mesmo o conhecimento do departamento de TI. 

Esses serviços atuam como extensões da corporação, mas são dirigidos inteiramente por grupos que não têm conhecimento e/ou processos para garantir que sigam as diretrizes necessárias, expondo a empresa a riscos de segurança e conformidade que, muitas vezes, comprometem a imagem da marca. 

O Gartner prevê que, até 2020, um terço das falhas de segurança virão através de serviços paralelos aos implantados pela equipe de TI.

O CEO da ValiMail, Alex Garcia-Tobar, esquematizou um processo (passo-a-passo ) para que as empresas descubram os serviços de “Shadow IT” em funcionamento na empresa e recuperem o controle sobre eles.

1 - Entenda as motivações de seus usuários
Seus usuários não estão selecionando e implantando suas próprias soluções de nuvem  só para provocar o pessoal de TI, dar muitas dores de cabeça e até colocar a empresa em risco. Eles vêem esses serviços como formas seguras e confiáveis ​​de tornar as próprias equipes mais eficazes, e nem sequer ocorre a eles que haja uma boa razão para envolver o departamento de TI nessas decisões. 

Quanto mais você puder considerar a motivação e a perspectiva dos gestores das áreas de negócio, mais fácil será  estabelecer patamares de cooperação e reger o uso dessas soluções contratadas diretamente por eles.

2 - Saiba exatamente quem está enviando e-mails
A maioria dos serviços de nuvem corporativa enviará e-mails como parte de seu fluxo de trabalho, geralmente usando um de seus domínios corporativos no endereço eletrônico. Essa é uma boa notícia! A partir dessa prática você pode usar o padrão de autenticação de email aberto DMARC para ter visibilidade sobre todos os e-mails enviados usando nomes de domínio que você controla, mesmo que esse e-mail seja originário de um serviço totalmente fora de sua rede.

Serviços de nuvem legítimos enviando e-mails em nome de sua empresa, provavelmente estão sendo usados por seus funcionários. Se eles ainda não estão no seu radar, isso significa que eles são parte da Shadow IT da sua empresa.

3 - Amplie o alcance do monitoramento
Uma vez que você conheça os serviços de envio, você estará pronto para rastrear seus proprietários. Em alguns casos, será fácil criar uma lista restrita. Para outros, você pode precisar pedir ajuda para restringir o uso. Afinal, alguém está pagando por esses serviços. 

4 - Resolva problemas de conformidade para cada serviço
Agora você pode conversar com os proprietários desses serviços para identificar como são usados ​​e se apresentam risco para a corporação. Procure ter uma abordagem razoável, com as necessidades do negócio em mente. Assim você será capaz de servir bem a área de negócio e ainda satisfazer os requisitos de segurança e conformidade da empresa. O objetivo não é eliminar os bons serviços em nuvem. É garantir que todos os serviços em nuvem em uso sejam bons e seguros.

shadowIT1

5 - Descubra o que mais eles têm
Gerentes que estão gastando dinheiro em um serviço de nuvem muitas vezes não param apenas nele. Identificar esses proprietários e se aproximar deles o deixa em condições de descobrir quais outros serviços eles têm em uso que você pode não ter descoberto.

6 - Seja paciente
Alguns destes procedimentos levarão um pouco de tempo. Você precisará de tempo para transmitir a mensagem e talvez precise de algum tempo para trabalhar com fornecedores e departamentos internos para garantir que os serviços estejam OK para uso.

Lembre-se, os funcionários provavelmente não sabem que seu comportamento pode trazer risco para a empresa, então eles terão que passar por um processo de aprendizado.

A paciência é uma virtude. No entanto, você  não pode deixar que as coisas se arrastem para sempre. Isso significa que você terá que ter algum tipo de prazo, após o qual serviços não-compatíveis sejam desligados. 

Dê a seus usuários toda oportunidade de trabalhar com você primeiro e, em seguida, estar pronto para a fase de execução.

7 - Desconectar os infractores
Aqui é onde a autenticação de e-mail entra novamente. Se você já usou o DMARC para identificar as fontes de e-mail, isso significa que você também pode desligar remetentes não autorizados. Esta imposição evitará emails de remetentes não autorizados aparecendo em caixas de correio dentro e fora de suas paredes corporativas.

Forneça novos serviços online
Seus funcionários não vão parar de querer novos serviços em nuvem apenas porque você executou essas sete etapas. Avançando você pode estabelecer um processo para que eles tragam serviços para o departamento de TI primeiro, para garantir conformidade com as políticas



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui