Artigos > Shadow IT na Supply Chain: o risco silencioso que pode comprometer toda a segurança

Descubra como o Shadow IT pode comprometer a segurança da Supply Chain e expor empresas a riscos invisíveis. Entenda o que é Shadow IT, como ele se infiltra em integrações e veja dicas práticas de governança e segurança para eliminar vulnerabilidades na cadeia de suprimentos digital.

2025/10/08
262 Views
Tempo de Leitura: 6.6 minutos

Contexto

Imerso em sua rotina, o colaborador trabalhava “a 1.000 por hora”, ávido por concluir a sua atividade e entregar resultados. Sem saber, expôs a segurança da empresa. Quinze dias depois, a empresa foi invadida. Os dados dos clientes foram externalizados e alguns parceiros foram hackeados. Foi um ataque de Supply Chain. A empresa foi obrigada a interromper as atividades até identificar a origem do problema e regularizar o seu ambiente. Uma multa será aplicada por infringir a lei de tratamento de dados e alguns processos contra a empresa serão abertos por seus parceiros.

Artigo postado originalmente na minha Newsletter Bits de Segurança no Linkedin.

À primeira vista, Shadow IT e Supply Chain soam como temas separados, mas na prática, quando eles se encontram, formam um Megazord do Mal que representa riscos invisíveis para a segurança das empresas.

A seguir pretendo demonstrar como podemos eliminar Shadow IT em Supply Chain com pequenas mudanças de abordagem. Antes, uma breve contextualização para ficarmos na mesma página:

Definições

  • Shadow IT: termo utilizado para todo recurso tecnológico em uso nas empresas, mas que as próprias empresas desconhecem utilizar. Por serem desconhecidos, ficam fora dos controles de segurança. Prato cheio para hackers.
  • Supply Chain: consiste na utilização de códigos de terceiros no desenvolvimento de aplicações. Isso vai desde o framework utilizado até APIs, SSOs, WebHooks, entre outros. Tudo o que provém de terceiros é Supply Chain. Já os ataques de Supply Chain consistem na exploração desses elos.

Na prática, quando esses dois mundos se cruzam, surgem situações desafiadoras como as que veremos a seguir. Cabe ressaltar também que esse tema não afeta apenas as áreas de TI, mas todos os departamentos digitais das empresas.

Quando Supply Chain encontra Shadow IT

Listo a seguir 3 cenários de Shadow IT na Supply Chain que criariam vulnerabilidades críticas para as empresas. São cenários hipotéticos, mas sabemos que acontecem por aí.

  • A equipe comercial adota uma ferramenta SaaS não validada para qualificar leads. A ferramenta é integrada ao ERP da empresa e, por isso, acessa dados de clientes e de outras integrações existentes. Ao mesmo tempo que violou a LGPD, criou graves riscos para a segurança da empresa.
  • Um desenvolvedor decide utilizar bibliotecas de fontes não oficiais, sem os devidos alinhamentos internos, aprovações ou documentação. Ao mesmo tempo, abre portas para vulnerabilidades silenciosas para ataques de Supply Chain.
  • Outro desenvolvedor clona repositórios, pipelines e bancos de dados da empresa e os replica em uma conta pessoal no Github. Esse ambiente se torna uma infraestrutura paralela não gerenciada pela empresa, o que amplia a superfície de ataque.

Tudo se resume à falta de visibilidade, o que é um mal para a segurança. Causa desequilíbrio de governança e implica riscos graves.

Observação: uma simples documentação interna armazenada em texto puro e em locais inapropriados como drives, Notion, Obsidian, etc., já pode servir como insumo para ataques de Supply Chain. Senhas, chaves de API, credenciais, tokens, entre outras informações sigilosas, devem ser armazenadas em locais seguros como vaults.

Entre a Agilidade e o Caos

A linha é realmente tênue. Ser ágil em nossas entregas não significa agir sem planejamento. A verdadeira agilidade está em equilibrar a velocidade das entregas com a segurança e a conformidade. Para isso é importante seguir dentro de um fluxo oficial, seguro e validado pela empresa. Inclusive em casos de homologação de novas ferramentas, é importante que a empresa possua também um processo ágil para validar e oficializar novas soluções.

Como eliminar Shadow IT da Supply Chain:

A fim de evitar problemas graves de segurança ao adotar novas integrações, podemos conduzir nossas atividades adotando alguns cuidados básicos. A seguir apresento 3 dicas fundamentais que costumam funcionar bem sempre que aplicadas, embora as boas práticas não se limitem a elas:

  • É importante conhecer os aspectos de segurança do novo fornecedor. Geralmente esse tipo de informação consta no site do produto/serviço. Fuja de plataformas que não possuam segurança. Alguns fornecedores vendem segurança como feature. A segurança tem um preço mesmo, mas tome cuidado com esses players.
  • Leia os Termos de Produtos e Serviços e a Política de Privacidade. Evite ao máximo plataformas com tratamento abusivo de dados. Considere recorrer à ajuda do(a) DPO da empresa.
  • Faça alinhamentos internos com pessoas pertinentes demonstrando a intenção de consumir produtos ou serviços desse potencial novo fornecedor. Somente então, após todos os alinhamentos, comece a implementar integrações.

Com isso podemos eliminar todo Shadow IT da nova integração e criar condições para mapear aspectos técnicos, jurídicos e de segurança, que são necessários para minimizar riscos na Supply Chain.

Agora, do lado das empresas, é importante contar com ferramentas de segurança que auditem softwares e serviços em uso, automações que compreendam a segurança desde o pipeline com validação de código e de dependências até o pós-deploy com detecção e resposta de incidentes, monitorações apropriadas e realização de testes de penetração, entre outros. Não vou entrar nesse aspecto hoje, pois depende do bolso de cada empresa e do quanto cada um investe em segurança.

De toda forma, independentemente do orçamento de cada um, o mínimo que toda empresa deve possuir é uma boa governança que compreenda os escopos dos times, incluindo:

  • Política de Segurança da Informação (PSI) devidamente alinhada com stakeholders;
  • Política de Tratamento de Dados (LGPD);
  • Política de conformidade regulatória (ISO 27001, PCI DSS, NIST, etc);
  • Processos práticos de homolocação de soluções para times de alta performance;
  • Onboarding de qualidade com treinamentos periódicos.

Os treinamentos são importantes para evitar um problema chamado de incultura, o que ocorre quando o colaborador age de forma indevida por desconhecer os padrões de segurança adotados pela empresa.

Resumo

A segurança é um jogo silencioso de caça ao rato. O que define quem é quem são os insumos que cada um possui. Por um lado, estão as empresas que buscam controles para garantir a segurança, mas o Shadow IT perturba e cria gaps. Por outro lado, estão os hackers que buscam gaps na segurança para explorar brechas.

No final das contas, gaps são insumos mal geridos que proveem informações a terceiros, e informação é munição. Por isso que Shadow IT é tão grave: é informação sem controle, desprotegida e que pode ser usada contra as empresas. É um problema silencioso que, quando presente na Supply Chain, cria um cenário potencialmente perigoso no Core Business da empresa.

E se você chegou até aqui, parabéns, viu?! De verdade. Você faz parte do tal 1%.

Quando adotamos boas práticas de segurança em nossas rotinas e atuamos alinhando entregas com a segurança, criamos um ecossistema à nossa volta que inspira indivíduos e minimiza o surgimento de novos riscos, além de refletir senioridade. As chances de continuidade dos projetos são maiores e os retrabalhos menores. Isso se chama fazer dinheiro.

0 - 0

Thank You For Your Vote!

Sorry You have Already Voted!

Rolar para cima