Shadow IT: o risco que a empresa não consegue ver

O crime cibernético no Brasil já virou indústria. Em 2025, o custo médio de um incidente de segurança da informação no país chegou a US$ 1,3 milhão por ocorrência — e, globalmente, essa média sobe para US$ 4,88 milhões, segundo o relatório “Cost of a Data Breach” da IBM. Mas o prejuízo vai além do financeiro: 48% dos consumidores brasileiros já desistiram de fechar negócio com uma empresa por falta de confiança digital, de acordo com a Serasa Experian. Num ambiente em que a reputação é tão valiosa quanto o balanço, perder a confiança do cliente pode ser o golpe mais duradouro de todos.

Dentro desse cenário, uma das ameaças que mais cresce nas organizações tem nome — e um paradoxo embutido. A Shadow IT, ou TI Invisível, é o conjunto de softwares, aplicativos, serviços em nuvem e dispositivos usados por funcionários sem o conhecimento ou a aprovação do departamento de Tecnologia da Informação. Não se trata, na maioria dos casos, de má-fé: o colaborador quer resolver um problema, otimizar um processo ou simplesmente fazer o trabalho funcionar. O problema é que, ao fazer isso fora do radar da TI, ele abre brechas que a empresa sequer sabe que existem.

Os números confirmam a escala do problema. De acordo com a Trend Micro, 73% dos líderes de segurança relataram ter sofrido incidentes causados por ativos que estavam fora do radar de proteção em 2025. A Kaspersky aponta que 16% dos incidentes cibernéticos têm como origem o uso não autorizado de ferramentas, softwares ou serviços em nuvem por funcionários. E a Gartner projeta um número que deveria acender o alerta nas boardrooms: até 2027, 75% dos funcionários de grandes empresas usarão tecnologia sem o conhecimento ou aprovação da TI. O problema não está diminuindo — está se acelerando.

CADASTRE-SE GRÁTIS PARA ACESSAR 5 CONTEÚDOS MENSAIS

Já recebe a newsletter? Ative seu acesso

Ao cadastrar-se você declara que está de acordo
com nossos Termos de Uso e Privacidade.

Cadastrar

A proliferação de ferramentas de inteligência artificial gratuitas e acessíveis está criando uma nova geração de Shadow IT, mais sofisticada e potencialmente mais perigosa. Modelos de IA, extensões de navegador, assistentes de escrita e ferramentas de análise de dados chegam ao ambiente corporativo no bolso do funcionário, sem contratos, sem avaliação de risco e sem visibilidade da TI. O risco não é apenas técnico: inclui vazamento de propriedade intelectual, exposição de dados pessoais de clientes — com impactos diretos sobre a conformidade com a LGPD — e até tomada de decisão baseada em algoritmos não auditados.

Há soluções para o problema, que não passam necessariamente pela proibição. Raissa Ramos, analista de segurança da informação, e Lorenna Agra, coordenadora de TI, ambas do CESAR, explicam como as empresas podem mudar a percepção sobre a segurança corporativa de obstáculo para habilitadora real de negócios — combinando gestão de risco, processo ágil de homologação e cultura organizacional. O tema Shadow IT figura como uma das linhas de pesquisa constante no CISSA, Centro de Competência Embrapii em Segurança Cibernética, operado pelo CESAR, dada a velocidade com que o fenômeno evolui nas organizações. Confira abaixo os principais pontos da conversa.

Como as organizações podem construir uma cultura de segurança que não seja percebida como obstáculo, mas como proteção? Qual é o papel do time de segurança da informação nessa equação?

“A frase clichê dos profissionais de cibersegurança ainda precisa ser repetida: não se trata mais de ‘se’ a empresa for atacada, mas ‘quando’. As organizações que se mantêm despreparadas estão contando com uma sorte que fatalmente falhará. Por mais que a segurança da informação seja vista por algumas empresas como burocracia, é fundamental reposicioná-la como habilitadora de negócios — não como mecanismo de bloqueio.

Uma cultura madura de segurança não deve ser baseada no medo, mas na compreensão dos riscos. O medo gera obediência momentânea; a clareza sobre os riscos cria autonomia e decisões mais seguras no dia a dia.

O time de segurança precisa atuar não só como fiscal de normas, mas como consultor acessível. Segurança que apenas bloqueia tende a ser contornada; segurança que orienta tende a ser incorporada. Se o time de marketing quer usar uma ferramenta de IA generativa, a resposta não deve ser ‘não’, mas sim: ‘Essa ferramenta específica vaza dados para o treinamento do modelo. Aqui está a versão Enterprise ou essa alternativa segura que podemos contratar hoje’. Ter didática para explicar os riscos é o que transforma funcionários em parceiros da cultura de segurança”.

A Shadow IT costuma ser vista como efeito colateral de processos lentos da TI. Mas ela revela algo mais profundo sobre a organização. Como vocês enxergam essa tensão entre agilidade operacional e controle de segurança?

“A Shadow IT não nasce apenas como efeito colateral de processos burocráticos — ela nasce, antes de tudo, na falta de escuta do colaborador. Em geral, quem faz Shadow IT tem perfil inovador e está tentando resolver um problema do seu dia a dia ou otimizar um processo para benefício da própria empresa. Punir esse comportamento sem entender a causa raiz apenas reforça o problema.

O segundo fator é, sim, a TI e a área de compras — acionadas no momento em que o funcionário precisa de uma ferramenta nova e não encontra alternativa já homologada. Quando a solicitação demora muito para ser atendida, sem justificativa ou contexto, a Shadow IT surge para burlar um processo que não faz sentido para quem está na ponta.

A primeira resposta da organização deve ser orientar e viabilizar, não bloquear. Em vez de barrar um software novo, o time de TI pode dizer: ‘Essa ferramenta não é segura, mas entendemos sua dor. Vamos encontrar uma alternativa.’ Agilidade é importante, mas em algumas ocasiões um processo precisa ser desacelerado para ser bem construído — e esse cuidado é o que separa uma empresa que sofre incidentes de uma com alta resiliência e maturidade.”

Vocês mencionam um modelo de “Homologação Ágil” baseado em níveis de criticidade. Como esse processo funciona na prática? Quais são os critérios que definem o nível de risco de uma ferramenta?

“O modelo mais indicado começa com um Catálogo de Pré-Aprovados — uma whitelist acessível com as ferramentas já homologadas e suas funcionalidades. Antes de solicitar qualquer nova ferramenta, o colaborador verifica se já existe uma solução disponível na empresa. Isso resolve boa parte dos casos sem qualquer burocracia.

Para as solicitações novas, o processo segue três critérios de risco. No Critério 1 (Baixo Risco), estão ferramentas que não acessam a rede interna, não usam login corporativo, não armazenam dados pessoais e não tratam informações financeiras sensíveis. A aprovação é automática ou em até 48 horas. No Critério 2 (Médio Risco), enquadram-se ferramentas que processam dados pessoais operacionais ou exigem integração simples — como um CRM de marketing. O processo inclui questionário de segurança, verificação de certificações como ISO 27001 ou SOC 2, e análise de termos de uso, com SLA de três a cinco dias úteis.

O Critério 3 (Alto Risco) é acionado para ferramentas com integração profunda a sistemas críticos, acesso a dados sensíveis conforme a LGPD — saúde, biometria, dados financeiros em grande volume —, uso de IA para decisão automatizada ou transferência internacional de dados. Nesses casos, o processo envolve questionário completo, análise jurídica contratual e avaliação de continuidade, com SLA de 10 a 20 dias úteis. Ferramentas de GRC (Governança, Risco e Compliance) automatizam boa parte desse fluxo: quando um fornecedor apresenta um certificado ISO 27001 válido, por exemplo, o sistema já abona automaticamente uma parcela significativa das perguntas, tornando a análise muito mais ágil.”

Por que a criação de um “Catálogo de Serviços Aprovados” pode prevenir a Shadow IT?  Como implementar isso de forma que não vire apenas uma lista esquecida na intranet?

“Fazer com que um catálogo de ferramentas homologadas não vire um PDF esquecido depende muito da experiência do usuário. Uma interface amigável que aparece no cotidiano do colaborador tem um apelo psicológico muito maior do que um normativo com tom de regra — e será adotada naturalmente.

A ideia é que a whitelist funcione como uma App Store corporativa: um portal interativo onde o usuário busca por nome de ferramenta ou por funcionalidade — ‘ferramentas de transcrição de reunião’, ‘ferramentas de design’ — e consegue ver opções de maneira visual e simplificada, com casos de uso e botão de ‘solicitar acesso’ integrado ao fluxo de aprovação da TI. Para quem prefere não acessar o portal, um comando simples no Slack ou Teams — /ferramentas pdf, por exemplo — retorna as opções aprovadas diretamente no chat.

O elemento mais importante, porém, é mostrar ao colaborador o valor concreto de usar uma ferramenta do catálogo: suporte técnico garantido, continuidade dos dados quando ele sair de férias ou da empresa, e proteção jurídica — ele não arrisca ser responsabilizado por um vazamento causado por um termo de uso que aceitou sem ler. Quando o colaborador percebe benefício direto, ele prefere naturalmente o caminho seguro.”

A proliferação de ferramentas de IA está criando uma nova geração de Shadow IT. Como vocês enxergam esse cenário e quais vetores de risco emergentes ainda não estão sendo endereçados adequadamente?

“Muitas empresas estão na corrida pela IA buscando competitividade, mas a adoção dessa tecnologia está mais rápida do que a implementação de governança e controles. Segundo o relatório da IBM de 2025, 41% das organizações que usam IA afirmaram não ter políticas de governança, e 22% ainda estão em fase de desenvolvimento.

Nos próximos anos, veremos o Shadow IT evoluir de softwares isolados para agentes de IA invisíveis operando dentro dos fluxos de trabalho sem supervisão humana. Alguns vetores de risco emergentes são: uso de IA não homologada para análise de dados; desenvolvedores usando APIs de modelos de IA sem crivo de segurança, expondo tokens e segredos do ambiente; e extensões de navegador que “leem” tudo que o usuário faz e enviam metadados sensíveis para servidores de terceiros.

Isso exige uma mudança estrutural: segurança precisa ser integrada desde o início da estratégia de IA, não adicionada depois. O papel do time de SI é entender as necessidades dos usuários e criar estratégias para que a inovação venha acompanhada de responsabilidade — como elaborar um ‘Guia de Uso Ético e Seguro de IA’ e disseminar boas práticas. A IA pode ampliar muito a superfície de ataque, mas também pode ser usada como aliada do profissional de segurança: avaliações de risco mais rápidas, resposta a incidentes mais ágil e mais tempo para trabalho estratégico de alto valor.”