Como mitigar os riscos provenientes de práticas de “Shadow IT”? Concluindo os cenários já exemplificados nos artigos anteriores (Identificação de cenários do shadow it e Riscos inerentes na prática de Shadow IT), avaliemos possíveis medidas de redução em seus respectivos riscos residuais, sem a pretensão de cobrir todas as possibilidades. Não custa lembrar antes, conforme a numeração da ilustração, que as ações de mitigação podem: 1-eliminar o risco (completa substituição por uma alternativa de processo ou ferramental, por exemplo), 2-reduzir os efeitos da materialização do risco (contratação de seguro, por exemplo) e 3-reduzir a probabilidade de ocorrência do evento que provoca o risco (implementação de um controle, por exemplo).
Software gratuito: o validador do esquema JSON dos Dados Abertos
Uma sugestão é avaliar as condições para utilização e o modelo de negócios da organização que oferece a ferramenta gratuita, pois a ferramenta gratuita necessita ser custeada por uma fonte de receita. Dentro dos motivos nos quadrantes lícitos e de boa fé:
– Divulgação e promoção da marca: estímulo para divulgação da marca e demais serviços ou produtos de quem a disponibiliza. Podemos responder ser esse o motivo de nossas ferramentas gratuitas disponibilizadas em https://www.b3bee.com.br/site/. No nosso caso, nossas ferramentas não armazenam nenhum dado transitado em seu uso e nem exigem dados de contato, por exemplo.
– Coleta de contatos: ferramentas cuja utilização exige obrigatoriamente a criação de um login e senha geralmente associada ao fornecimento de dados de contato, cuja boa prática deveria se restringir ao essencial contato profissional, pois terá provável finalidade de vendas futuras.
– Avaliação ou criação de afinidade com aquela ferramenta: o uso de uma versão gratuita de funcionalidades limitadas estimula a contratação de algum tipo de plano de cobrança financeira para o uso de versões mais completas.
– Apresentação de propaganda: a monetização é feita pelo pagamento dos anunciantes a quem fornece a ferramenta gratuita, uma vez que seus anúncios são apresentados aos usuários finais que a utilizam sem custo algum, semelhante ao modelo de ‘TV aberta’.
Essas motivações levam a crer não haver restrição no uso da ferramenta, pois possuem algum nível de lógica em ‘pagar o almoço’. Aqueles sem aparente motivo lógico de ‘fechar essa conta’ poderiam ser levados num nível de atenção maior para avaliação.
A observação final é de que, não havendo custo ao usuário final, o fornecedor dessa gratuidade também não possui obrigação contratual alguma em deixar de oferecê-la no momento que deixar de lhe ser conveniente, abrindo um alerta para elaboração de um plano de contingência e um plano de continuidade quando e se esse momento vier a chegar.
Contratações departamentais isoladas: efeito no fluxo de informações corporativo
A única alternativa é alinhamento com a TI para essa avaliação interdepartamental de dependência de informações. São muitas variáveis envolvidas, tanto técnicas como de processos, podendo incluir outras áreas e fornecedores de software com seus respectivos orçamentos, prioridades e prazos de implementação, sendo necessário sincronizar todos esses diferentes interesses num só projeto.
Soluções departamentais: desenvolvimento interno de sofisticadas planilhas Excel
Planilhas com recursos básicos sem acesso avançado de outras bases de dados solucionam as clássicas necessidades departamentais. Exceto a avaliação do impacto de suas alterações para outras áreas que consomem essas planilhas, os riscos inerentes restantes são gerenciáveis com atuação local pela própria área.
Já as planilhas com acessos por ODBC a bancos de dados por exemplo, necessitam ter sua existência notificada à área de TI para catalogação, a fim de ser considerada numa eventual implementação de nova política de restrição de acessos, bem como nos projetos de mudança da estrutura da base de dados. Essa mudança pode ser tanto na conexão como pela organização lógica das informações (modelagem de dados), influindo na forma de extração que as planilhas estavam acostumadas anteriormente. Nesse aspecto, planilhas com acesso ODBC indiretamente passam a compor o projeto de sistema da instituição financeira tanto quanto como se fosse mais um programa da ferramenta corporativa. Em efeito cascata, significa que essa planilha deveria adotar práticas típicas de TI tais como versionamento, documentação da gestão de mudanças, ambiente de homologação segregado da produção e feito/conferido por diferentes colaboradores.
Após a identificação de cenários de ‘Shadow IT” no primeiro artigo e seus respectivos riscos inerentes no segundo, nesse terceiro e último da série, citamos algumas medidas de mitigação desses mesmos riscos. Mais do que esgotar essa lista, a intenção é exemplificar e exercitar a importância desse tema no mapeamento de riscos da instituição.
Esse e outros temas relacionados ao regulatório BC, melhoria contínua e controles em https://www.b3bee.com.br/site/list/publicacoes/
#instituicaofinanceira #cadoc #bc #dadosabertos #etl #controlesinternos #pdca #calendario #shadowit #gir #riscodeti #riscoinerente #mitigaçãoderisco
Yoshio Hada: sócio administrador da B3Bee Consultoria e Sistemas, licenciando sistemas às instituições financeiras nos temas de Régua de Sensibilidade ao RSAC, Dados Abertos (Demonstrações Financeiras, Relatório do Pilar 3, Relatório do GRSAC e Canais de Atendimento), CADOC’s (DLI 2062, COS 40XX, Saldos Diários 4111, 5011, ETF 80XX, DF 9011/9061, SVR 9800, DRSAC 2030, RCP 4076, Pagamentos do Varejo e Canais de Atendimento 6209), FGC405, Conversão de layouts (ETL), Calendário de Obrigações Acessórias ou Fluxos de Execução, Validação e Envio de CADOC’s.