book_icon

Shadow IT: risco e oportunidade

Independentemente da nomenclatura, CIOs e especialistas em tecnologia alertam para os perigos que as empresas correm com a prática
Shadow IT: risco e oportunidade

A aquisição de soluções de tecnologia da informação pelas áreas de negócio sem o conhecimento e o consentimento do CIO não é um problema recente. Mas a popularização da computação em nuvem e da compra baseada no uso e como serviço facilitou ainda mais esta prática, batizada de shadow IT, em inglês, e por aqui chamada de TI invisível ou na TI na sombra.

“A política não é impedir, porque o mundo ficou muito ágil. Mas ser ágil é uma coisa, ser inconsequente é outra”, Paulo Avellar

Independentemente da nomenclatura, CIOs e especialistas em tecnologia alertam para os perigos que as empresas correm; e é fácil de entender a preocupação deles. Imagine quantas brechas de segurança podem existir em uma grande empresa com dezenas de áreas quando algumas delas decidem comprar, sem o envolvimento da TI, sistemas de tecnologia para endereçar necessidades pontuais.

Ao comprar um software para fazer uma campanha comercial, por exemplo, corre-se o risco de deixar vulnerável o cadastro dos clientes, porque o armazenamento das informações não foi feito de maneira correta. Se houver vazamento ou roubo de dados, além dos danos materiais, a reputação da empresa pode ser afetada. Não homologados pela TI, os sistemas que ficam na sombra podem ser a porta por onde vazam informação ou entram ataques.

Paulo Avellar, do Santander

O ganho de agilidade tem sido a principal razão pelo crescimento desta prática “Há diversos produtos e tecnologias que estão prontos e podem ser usados de forma imediata. É por isto que cresce a shadow IT”, explica Claudio Neiva, vice-presidente de pesquisas do Gartner. A vasta quantidade de aplicações e serviços surgindo beneficia diretamente as áreas de negócios — e, em vez de barrar, o CIO precisa encontrar mecanismos para aliar tais soluções às suas estratégias. “As plataformas de RH na nuvem são constantemente atualizadas com a legislação local podem ser melhor que apenas contar com o suporte da TI interna e do RH”, exemplifica o VP do Gartner.

Esta nova forma de trabalhar é um problema, sentencia Paulo Avellar, líder de cibersegurança da Isban, empresa fornecedora de projetos de tecnologia da informação do Grupo Santander. “Muitas empresas têm sistemas na sombra e a maioria não tem nem noção do que está sofrendo”, diz. Diante disto, qual deve ser o papel do CIO? Para Claudio Neiva, do Gartner, se shadow IT é inevitável, a TI deve estabelecer uma abordagem para endereçá-la.

No Santander, explica Avellar, foi criada uma “política rígida para lidar com qualquer coisa hospedada fora do domínio da empresa”. Nela, constam itens como políticas de guarda de dados e de acesso e requisitos para homologação e certificação dos parceiros para ficar dentro das normas do banco. “A política não é impedir, porque o mundo ficou muito ágil. Mas ser ágil é uma coisa, ser inconsequente é outra”, reflete Avellar. No Santander, tudo que se refere à tecnologia passa pelo crivo do CIO e do comitê de TI.

O Gartner tem pregado que os diretores de tecnologia precisam atuar como brokers, ou seja, ajudando as outras áreas na busca por soluções. “O trabalho deve ser consultivo, definindo requisitos e olhando o aspecto de segurança para que possa fomentar compras de ferramentas e ter economia de dinheiro”, defende Neiva. A TI também tem de manter atualizado o inventário de tudo que tem dentro de caso e conversar constantemente com as áreas de negócios para saber suas novas necessidades e identificar se estão usando shadow IT e, em caso positivo, por que estão usando em vez de contar com sistemas providos pela TI interna.

“A TI na sombra sempre existiu. Mesmo antes da Internet, me lembro, não tinha este nome e a realidade era outra, mas era normal ver as áreas construindo soluções caseiras que a TI não fazia. Com a internet e a nuvem, facilidade aumentou muito. Hoje você contrata algo na nuvem, mas não sabe o que está por trás”, completa Paulo Avellar, do Santander. Para ele, o principal problema da shadow IT refere-se a como as informações são armazenadas, porque, normalmente, elas estão guardadas em lugares de pouca segurança, o que gera, facilmente, uma violação.

Entender o cliente interno é fundamental. A TI deve se envolver no processo de compras e encontrar meios de regularizar o uso de sistemas não providos por ela. “A questão do tratamento de shadow TI não é lutar contra, mas ter o entendimento de quais são os limites disto. Nem todos devem abraçar de forma cega, mas entender e balizar os limites. Fazer com consciência e, assim, a TI passa a ter papel consultivo e pode ajudar na administração da ferramenta”, destaca Claudio Neiva, do Gartner.

Além da política que estabelece como os processos devem acontecer, o Santander instituiu que a verba para tudo que estiver relacionado à tecnologia deve sair de um único orçamento, do centro de custos do CIO. Desta forma, as áreas não conseguem pagar de outra forma. “Se tem tecnologia envolvida, deve ter o aval do CIO.”

Novas atividades

Adaptar-se a novas realidades para não perder sua importância e seu papel dentro das organizações foi justamente o que o departamento de tecnologia da informação da Michelin América do Sul fez, quando estava sob a liderança de Marcelo Ramires — hoje o diretor está estruturando uma unidade global de serviços de negócios para atender à empresa em diversas áreas como contabilidade, RH, compras, revendas e logística.

Marcelo Ramires, da Michelin

“Para mim, a discussão está totalmente ligada com carreira do CIO. Cada vez mais, o CIO passa a ser “commoditizado”, porque o mundo de TI está virando commodity, com empresas sendo contratadas para oferecer serviços e função do CIO vem perdendo importância nos últimos anos”, diz. “Por que as áreas estão indo ao mercado e os vendors estão fazendo approach direto e oferecendo soluções que não precisam passar por TI?”.

Ao fazer esta reflexão, Ramires concluiu que o departamento de TI perdia espaço para as áreas de negócios, ficando a TI com o dia a dia e apagando incêndios, e a parte mais inovadora estava indo para as áreas de negócio e saindo das mãos do CIO. Entendendo que não poderia bloquear a shadow IT, Ramires começou, há três anos, uma mudança no posicionamento da TI. Primeiramente, ofereceu serviços que as áreas buscavam fora da empresa de forma gratuita para elas, como computação em nuvem. Depois, transformou o departamento para atuar de forma bimodal, ou seja, além da TI tradicional atendendo ao dia a dia com ERP, rede, infraestrutura etc., entregava novas tecnologias.

 “Pessoas de TI com habilidades em digital, nuvem e mobilidade passaram a oferecer para outras áreas conultoria”, Marcelo Ramires 

Ramires destacou pessoas de TI com habilidades em digital, nuvem e mobilidade para oferecer para as outras áreas serviços de consultoria a fim de ajuda-las a contratar empresas. A cartada final foi montar internamente na TI uma equipe que montava, junto com parceiros, a solução buscada pelo negócio. “Com isto, eu tinha solução completa e fechei o ciclo. As áreas, em vez de buscar externamente, começaram a reverter para nós”, conta.

Mauricio Chede, analista de indústria de transformação digital da Frost, concorda que a shadow IT pode representar uma oportunidade de mudança de comportamento para o CIO. “O fato de as áreas pedirem mais agilidade de tecnologia pode estimular o CIO a desenvolver um papel mais estratégico nas organizações e não ficar cuidando somente de infraestrutura. Ele precisa alinhar-se ao CEO e CFO” explica Chede. Ele reconhece que as áreas de negócios já estão passando por cima da TI ao buscar por soluções de tecnologia justamente devido ao tempo de resposta.

Chede defende que as empresas e o próprio CIO terão de encontrar um meio-termo para lidar com a shadow IT, de um lado com a TI sendo mais estratégica e do outro com as áreas de negócio reconhecendo que não possuem capacidade técnica para escolher e homologar tecnologia.

A chave para o sucesso da estratégia, conta o executivo, está na criação de uma relação de confiança. “Tem de ter mais agilidade e nunca dizer não para as áreas, porque, se falar não, vão fazer por conta própria”, explica Marcelo Ramires, da Michelin.

As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.