O problema não estava no ransomware, mas no aplicativo de conversão de PDF que o funcionário baixou de graça seis meses antes.
Esse cenário acontece mais do que qualquer relatório consegue documentar. Um colaborador precisa de uma ferramenta que o time de TI ainda não forneceu, ou que demorou demais para aprovar, então resolve o problema sozinho. Baixa um app gratuito, instala, usa, esquece.
A TI nunca fica sabendo. E o aplicativo passa a ter acesso irrestrito ao sistema e à rede corporativa.
Isso tem nome: Shadow IT. E os números mostram que é um dos maiores pontos cegos da segurança corporativa hoje, continue lendo o artigo e descubra.
O tamanho do problema que a maioria ainda não vê
A empresa média tem 975 serviços de nuvem desconhecidos rodando na rede, enquanto o time de TI conhece apenas 108. Esses dados vêm de estudos sobre o uso de SaaS nas empresas e são consistentes em múltiplas pesquisas do setor.
Pensa no que isso significa na prática.
Para cada aplicação que o gestor de TI conhece e monitora, existem aproximadamente nove outras operando fora do radar, acessando dados corporativos, sincronizando arquivos, enviando informações para servidores externos.
O número de funcionários envolvidos não é pequeno. Pesquisa de 2023 mostrou que 41% dos colaboradores de grandes empresas usavam tecnologia fora do controle da TI. O Gartner projeta que esse número vai chegar a 75% até 2027.
Em empresas menores, onde a supervisão de TI é ainda mais limitada, a proporção tende a ser maior.
Mais da metade das empresas pesquisadas em um estudo da Capterra de 2023 classifica o Shadow IT como um risco de cibersegurança de moderado a grave. Mas apenas 1 em cada 4 gestores de TI, segundo o relatório de tendências da Auvik, listou visibilidade de Shadow IT como prioridade alta para o ano.
Essa é a lacuna: o risco é reconhecido, mas não está recebendo atenção proporcional.
Por que o funcionário instala sem pedir permissão?
Antes de falar em solução, é importante entender o comportamento.
O funcionário que instala um aplicativo sem autorização raramente está tentando criar problemas. Ele está tentando trabalhar.
61% dos funcionários não estão completamente satisfeitos com as ferramentas que a empresa fornece, e 38% recorrem a Shadow IT especificamente porque os processos de aprovação de TI são lentos demais.
Um desenvolvedor que precisa de uma ferramenta para testar APIs durante um projeto, um designer que encontrou um app de compressão de imagens gratuito, um analista financeiro que descobriu uma planilha online colaborativa mais ágil que o sistema aprovado.
Cada um desses casos começa com uma necessidade real e uma solução imediata.
O problema não é a intenção, mas a consequência.
Quando o funcionário instala uma ferramenta não aprovada, a TI perde visibilidade sobre o que esse software faz, quais permissões ele solicita, para quais servidores ele se conecta, e se ele foi criado com os padrões mínimos de segurança que a empresa exige de seus sistemas oficiais.
Segundo o Gartner, funcionários que criam e trazem novas tecnologias têm quase o dobro de probabilidade de executar ações inseguras em todas as suas atividades profissionais. Não é negligência. É um padrão comportamental.
Quem está acostumado a resolver problemas de forma autônoma na área de tecnologia tende a tomar atalhos em segurança também.
O que acontece quando o app gratuito não é realmente gratuito?
Aplicativos gratuitos têm um modelo de negócio.
Quando o produto não tem preço, alguma coisa está sendo monetizada. Em muitos casos, é a coleta e venda de dados. Em casos mais graves, o aplicativo é deliberadamente projetado para se parecer com uma ferramenta legítima enquanto realiza coleta de credenciais, instalação de malware ou criação de backdoor.
O Shadow IT expande a superfície de ataque da empresa de forma desproporcional ao número de aplicativos instalados. Cada app não autorizado é um ponto de entrada potencial que a TI não monitora. Apps não autorizados multiplicam endpoints não monitorados e conexões não seguras, criando mais oportunidades para que atacantes explorem vulnerabilidades.
Existem casos documentados de aplicativos aparentemente legítimos que pediam permissões excessivas durante a instalação, como acesso à câmera, microfone, localização e lista de contatos, sem justificativa clara para a funcionalidade oferecida.
Uma ferramenta de edição de texto que pede acesso à câmera não está sendo honesta sobre o que faz.
O relatório da IBM de 2024 registrou que 1 em cada 3 violações de dados envolveu Shadow IT, com custo médio de US$ 4,88 milhões por incidente, o mais alto já registrado. 15,8% dos arquivos em serviços de nuvem contêm dados sensíveis. Quando esses serviços são não autorizados, a empresa não tem como saber onde seus dados estão, quem pode acessá-los ou qual proteção está sendo aplicada sobre eles.
O risco de conformidade que ninguém quer discutir
Para empresas que operam em setores regulados, o Shadow IT cria um problema que vai além da segurança operacional.
LGPD, GDPR, PCI DSS, HIPAA. Cada uma dessas regulamentações estabelece que a empresa é responsável por saber onde seus dados estão, quem pode acessá-los e quais controles de proteção estão em vigor. Quando um funcionário copia dados de clientes para uma planilha online não aprovada para trabalhar em casa, a empresa viola essas obrigações sem perceber.
Em 2022, empresas de Wall Street foram multadas em US$ 1,1 bilhão por uso de ferramentas de comunicação não autorizadas, o exemplo mais público de como Shadow IT pode ter consequências regulatórias diretas. Não foi um ataque. Foi Shadow IT com consequência jurídica e financeira severa.
Para uma PME brasileira que processa dados de clientes e fornecedores, o risco de conformidade com a LGPD é concreto. Uma aplicação não autorizada que coleta dados de clientes e os envia para servidores externos pode configurar violação de dados com notificação obrigatória à ANPD e potencial de multa.
A questão não é se a empresa tem intenção de violar a lei.
É que a falta de visibilidade sobre quais aplicações estão em uso torna impossível garantir conformidade.
O que o gestor de TI enfrenta sem visibilidade de aplicações?
Aqui está o ponto de dor real.
O gestor de TI de uma PME não tem como proteger o que não consegue ver. Quando um incidente acontece, seja uma lentidão inexplicável na rede, um alerta de antivírus em um endpoint, ou no pior caso, um ransomware ativado, a investigação começa do zero se não houver mapeamento de quais aplicações estão ativas na rede.
O processo de Root Cause Analysis (análise de causa raiz) é fundamental para entender como um ataque aconteceu e evitar recorrência. Sem visibilidade de aplicações, esse processo pode demorar semanas e frequentemente não chega a uma conclusão definitiva. O app que abriu a brecha já foi desinstalado. O histórico de conexões não foi registrado.
A janela de investigação fecha sem resposta.
Segundo dados da Auvik, apenas 1 em 4 gestores de TI lista Shadow IT como prioridade alta, enquanto 85% das empresas globais relatam ter sofrido incidentes cibernéticos nos últimos dois anos, com 11% diretamente causados por uso de Shadow IT não autorizado.
Há outro custo que vai além do incidente.
O Gartner estima que Shadow IT representa 30 a 40% dos gastos de TI em grandes empresas. Isso inclui duplicidade de assinaturas, licenças pagas pela empresa que os funcionários ignoram porque preferem a alternativa gratuita que descobriram, e custos de remediação de incidentes causados por software não gerenciado.
O gestor de TI está pagando por ferramentas que ninguém usa e investigando incidentes causados por ferramentas que ninguém sabe que existem.
Como o controle de aplicações muda esse quadro?
A resposta não é proibir tudo e criar uma TI que funciona como obstáculo.
Essa abordagem já provou que não funciona: quando a TI é lenta ou inacessível, os funcionários contornam os processos.
A resposta é visibilidade total sobre o que está rodando na rede, combinada com capacidade de agir quando uma aplicação representa risco.
O controle de aplicações via Next-Generation Firewall (NGFW) oferece exatamente isso. Em vez de tentar criar listas de tudo que é proibido, o NGFW mapeia o que está em uso, classifica por risco, e permite que o gestor tome decisões informadas:
- Bloquear aplicações claramente perigosas;
- Liberar com controle aquelas que têm uso legítimo;
- Investigar as que apresentam comportamento suspeito.
Essa visibilidade muda a capacidade de resposta a incidentes de forma concreta. Quando um alerta aparece, o gestor consegue ver quais aplicações o endpoint em questão usa, quais conexões externas estão ativas, e onde os dados podem ter sido enviados.
A investigação que antes levava semanas pode ser conduzida em horas.
Para MSPs que gerenciam múltiplos clientes, a visibilidade centralizada de aplicações é o que separa um serviço gerenciado reativo de um serviço proativo.
Identificar que 40% dos funcionários de um cliente estão usando um app de armazenamento em nuvem não aprovado antes de um incidente é infinitamente melhor do que descobrir isso durante a resposta a um vazamento de dados.
A conversa que o gestor de TI precisa ter com a diretoria
Aqui está onde o problema fica político.
A diretoria frequentemente enxerga Shadow IT como produtividade dos funcionários. "Eles estão resolvendo problemas, isso é bom." O gestor de TI precisa traduzir o risco para linguagem de negócio.
Uma aplicação não autorizada acessando dados de clientes não é um funcionário sendo produtivo. É a empresa assumindo um passivo regulatório sem saber. Um app gratuito com permissões excessivas não é uma economia.
É um vetor de ataque sem custo de entrada para quem quer comprometer a rede.
O custo de implementar visibilidade e controle de aplicações é mensurável e previsível. O custo de um incidente causado por Shadow IT, entre remediação técnica, paralisação operacional, notificação de clientes e risco regulatório, raramente é.
Segundo dados de pesquisas recentes, 91% dos times se sentem pressionados a priorizar operações de negócio sobre segurança. Esse número revela o ambiente onde o Shadow IT cresce: uma cultura onde velocidade de entrega supera preocupação com segurança, até o dia em que não supera mais.
Fique de olho no que roda na sua rede, o que você não vê é o que vai te surpreender.
Edge DNS: a camada que age antes que o dano aconteça
Controle de aplicações resolve o que já está dentro da rede. O Edge DNS fecha a porta antes da entrada.
Boa parte dos apps de Shadow IT se comunica com servidores externos, sincroniza dados em nuvem não autorizada, e estabelece conexões que o time de TI nunca aprovou. Cada uma dessas conexões começa com uma requisição DNS. É exatamente aí que o Edge DNS age.
Ele funciona como uma camada de inteligência automatizada que avalia cada requisição antes que a conexão seja estabelecida, antes do clique, antes da conexão, antes do dano. Um app instalado sem aval da TI que tenta se comunicar com um servidor externo suspeito não chega a completar essa comunicação.
O cadeado verde no navegador não diz nada sobre o destino. O Edge DNS vê o cadeado e pergunta: para onde exatamente você está indo?
Para o gestor de TI que precisa mostrar resultado para a diretoria, essa camada tem um argumento concreto: ela age de forma autônoma, sem depender de intervenção manual, e entrega visibilidade sobre conexões que de outra forma passariam completamente despercebidas.
Eleve a segurança na navegação e proteja a superfície digital da sua empresa com o Edge DNS:
