Shadow IT em épocas de nuvem

O conceito de Shadow IT tem sido amplamente discutido em eventos e seminários como um novo problema a ser tratados pelas áreas de tecnologia e segurança. É fato que trata-se de uma preocupação relevante, mas não podemos considerar que seja algo novo.

Por definição, ShadowIT refere-se a dispositivos, softwares e serviços em uso, porém fora do controle do departamento de TI, portanto não possuem aprovação corporativa oficial. No era cloud, a Shadow IT também passou a abranger o uso de um serviço em Nuvem sem o conhecimento da empresa.

Numa era distante em que disquetes, hubs e winchester eram termos modernos entre os profissionais da computação, em meio a planilhas Lotus 123 e textos em Wordstar, um sério problema com arquivos maiores do que os armazenadores externos suportavam começava a incomodar. Nesta época, os usuários mais espertos, “os fuçadores”, sabiam como: bastava uma linha de comando nos compactadores ZIP, e pronto. Todo mundo usava ZIP, ninguém tinha autorização da TI. Há quem diga que era por conta do alto preço por usuário corporativo, mas por ser gratuito para uso pessoal, rapidamente se proliferavam cópias piratas de tal solução.

Novo ou antigo, não podemos desprezar que trata-se de uma falha grave para segurança, compliance e jurídico. Sob a ótica da habilitação de negócios, o usuários de Dropbox ou Onedrive vistos como vilões, na verdade buscam apenas uma forma de armazenamento acessível de qualquer lugar e de qualquer dispositivo, já que o file server da empresa não dispõe deste recurso.

A boa intenção da disponibilidade e mobilidade traz consigo um sério risco de roubo e vazamento de dados, além do armazenamento e proliferação de malwares in cloud. Então, considerando tudo isso, a decisão de TI novamente é proibir o uso da nuvem, desabilitando negócios.

Enquanto essa questão remete à uma rebeldia dos usuário, a TI consegue manter o controle através de regras e proibições, mas quando trata-se de uma decisão corporativa, como aquisição de Office365, GSuite, AWS, Azure ou SalesForce, o que se pode fazer?

O mercado absorve rapidamente as ferramentas corporativas em nuvem e a segurança nem sempre tem feito parte desse planejamento. Algumas soluções de Secure Cloud Application, filtros de camada 7 e controles de aplicações em nuvem até cobrem parte da segurança, porém hoje o conceito de Cloud Access Security Broker (CASB) é a única forma de proteger a nuvem mantendo a capacidade de habilitação de negócios.

As soluções de CASB estão num excelente momento, já vivido pelos firewalls e gateways seguros.Todos naturalmente precisam da solução, pois é praticamente impossível não ter ao menos uma aplicação corporativa em nuvem. É importante dizer que CASB light não existe, por isso alguns institutos independentes publicamde forma sistemática documentos sobre o que esperar de boas soluções CASB.

Achou complexo? Imagina ShadowData, mas isso fica para um próximo ensaio.

Aproveitem a nuvem, mas com segurança.

* Wellington Lobo é especialista em Segurança da Informação e Gestão de Canais, professor universitário graduado em Administração de Redes e pós-graduado em docência para o Ensino Superior e Cybersecurity