Iluminando a Shadow IT

Temos uma propensão a representar o desconhecido como sendo escuro: apelidamos a Idade Média como Idade das Trevas, por exemplo.

Mais recentemente, em 1933, Fritz Zwicky observava o movimento das galáxias do cluster Coma e concluiu que a massa visível não geraria gravidade suficiente para mante-las agrupadas considerando a velocidade com que se moviam. Ou as galáxias se espalhariam, ou deveria haver algum material invisível que manteria o cluster coeso. Foi a primeira proposição da Matéria Escura.

No nosso universo particular de TI, como chamaríamos determinados recursos de tecnologia que são invisíveis ou desconhecidos, mas que certamente existem e são responsáveis pela coesão de empresas inteiras? Shadow IT, obviamente.

Por definição, Shadow IT se refere a quaisquer recursos de tecnologia utilizados livremente por linhas de negócio ou usuários finais sem a visibilidade, homologação, aprovação ou a supervisão do departamento de TI.

O Gartner identificou que, em 2022, 41% dos funcionários adquiriu, modificou ou criou alguma tecnologia para uso no trabalho sem que a TI da companhia soubesse. Em 2027 essa taxa deve chegar a 75%. A Inteligência Artificial Generativa já desmontou esta previsão: Shadow IT será usada por muito mais do que 75% dos funcionários e chegaremos nesse nível muito antes de 2027.

A abordagem padrão (da TI) é combater e eliminar a Shadow IT: Esta falta de supervisão e aprovação é amplamente vista como sendo sinônimo de risco ou no mínimo ameaça por mais de 80% dos profissionais de TI, com certa razão.

Mas, sendo um termo criado pela própria TI, não está livre de vieses: um recurso de tecnologia desconhecido ou invisível não significa, necessariamente, prejudicial.

Shadow IT pode causar problemas para as empresas

Pelo menos um terço dos ataques de segurança bem sucedidos e vazamentos de dados corporativos acontecem em bases de dados desconhecidos pela TI destas organizações.

Além dos ataques intencionais, o uso descuidado de recursos de TI pode causar infração a normas e regulamentações de mercado, certificações ou até a legislação:

🔴Empresas de pagamento e fintechs podem perder o PCI Compliance (Payment Card Industry Security Standards Council);

🔴Empresas de saúde podem perder o HIPAA Compliance (Health Insurance Portability and Accountability Act);

🔴Empresas de todo tipo podem perder suas certificações ISO/IEC 27001;

🔴Empresas que operam no Brasil podem ser autuadas por infrações à LGPD (Lei Geral de Proteção de Dados).

E mesmo que não tenham problemas de compliance, privacidade e segurança de dados, há um custo financeiro significativo.

No mínimo 30% dos gastos com tecnologia nas empresas estão relacionados à Shadow IT: seja para detectar e evitar, seja com aquisição de software em duplicidade, onde a TI compra o software aprovado mas a área gasta seu próprio budget com um alternativo.

Os usuários tem as suas razões para recorrer à Shadow IT

Frequentemente, a Shadow IT que é considerada uma ameaça pelo departamento de TI é vista como salvação pela área usuária.

Na maior parte das vezes, a adoção de Shadow IT não é por mal — os usuários precisaram de ferramentas para serem mais eficientes e produtivos e usaram, sem passar pela TI. Por quê?

1️⃣Causado pelo usuário: A área (ou o usuário final) não sabia que a empresa tem um catálogo de aplicações, plataformas e produtos de tecnologia, nem um roadmap de modernização tecnológica. Quando teve uma necessidade, agiu por conta própria e resolveu sozinho.

2️⃣Causado pela TI: A TI nunca aprovou ou homologou uma aplicação para atender a uma necessidade importante desta área usuária, que tomou a iniciativa e buscou uma solução.

3️⃣Sintoma de um problema organizacional maior: Uma série de fatores em conjunto, incluindo falta de uma plataforma definida ou muitos produtos obsoletos, ausência de treinamento para usuários, ciclos de compras muito demorados, e o mais grave: as necessidades de negócio não são compreendidas ou não são atendidas pela TI.

A gravidade do desafio em entender e navegar a Shadow IT depende principalmente da finalidade destes recursos.

🟠 Recursos de produtividade e apoio ao trabalho: As áreas buscaram soluções para melhorar a colaboração com clientes e fornecedores (um grupo de WhatsApp), organizar o trabalho da equipe (uma conta do departamento no Trello), ou compartilhar material de trabalho (um repositório de arquivos em cloud pública).

🔴 Recursos que viabilizam o trabalho: As áreas não conseguiriam entregar seus objetivos de negócio só com as aplicações disponibilizadas ou homologadas pela TI e buscaram soluções para o trabalho acontecer, como assinatura eletrônica de contratos, seleção e contratação de funcionários, atendimento a clientes via redes sociais ou um call center inteiro em cloud.

O segundo caso é crítico, pois demonstra um desalinhamento entre as prioridades ou capacidades da TI e as prioridades ou necessidades desta linha de negócio ou da empresa inteira.

Se a prioridade ou o foco da TI estão em simplesmente suportar o negócio da empresa ao invés de viabilizar o negócio da empresa, a principal responsável pela existência e pelo crescimento da Shadow IT é a própria TI.

E agora?

• Existe alguma possibilidade de se eliminar completamente a Shadow IT nas empresas?
• É factível a TI ser a única responsável pela aprovação ou supervisão de todos os recursos de TI usados pela empresa?
• É possível alinhar e conciliar as necessidades das linhas de negócio e áreas usuárias com as capacidades da TI?

Este é o primeiro de dois artigos sobre Shadow IT:

💡 Iluminando a Shadow IT

⚫ Convivendo com Shadow IT