{"id":2061,"date":"2023-11-13T19:27:26","date_gmt":"2023-11-13T22:27:26","guid":{"rendered":"https:\/\/www.b3bee.com.br\/site\/?p=2061"},"modified":"2023-11-13T19:27:27","modified_gmt":"2023-11-13T22:27:27","slug":"o-que-e-shadow-it-em-instituicoes-financeiras-parte-2-riscos","status":"publish","type":"post","link":"https:\/\/www.b3bee.com.br\/site\/2023\/11\/13\/o-que-e-shadow-it-em-instituicoes-financeiras-parte-2-riscos\/","title":{"rendered":"O que \u00e9 Shadow IT em institui\u00e7\u00f5es financeiras \u2013 Parte 2 – Riscos"},"content":{"rendered":"\n
\"\"<\/figure>\n\n\n\n

Por que monitorar a exist\u00eancia do \u201cShadow IT\u201d? Quais riscos inerentes sobre essa pr\u00e1tica? Levantar riscos \u00e9 um papel de antecipar efeitos danosos ou oportunidades, sendo muitas vezes necess\u00e1rio conhecimento multidisciplinar ou al\u00e9m da especialidade departamental. Exemplificando os cen\u00e1rios j\u00e1 identificados no artigo anterior (Identifica\u00e7\u00e3o de cen\u00e1rios do shadow it<\/a>), avaliemos seus poss\u00edveis efeitos danosos no popular \u2018deu ruim\u2019, sem a pretens\u00e3o de cobrir todas as possibilidades:<\/p>\n\n\n\n

Software gratuito: o validador do esquema JSON dos Dados Abertos<\/strong><\/strong><\/p>\n\n\n\n

No tamb\u00e9m popular \u201cN\u00e3o existe almo\u00e7o gr\u00e1tis\u2019, uma ferramenta sem custo algum para o usu\u00e1rio final tem sua exist\u00eancia justificada por alguma finalidade l\u00f3gica, pois certamente h\u00e1 investimentos de implementa\u00e7\u00e3o e disponibiliza\u00e7\u00e3o embutidos a serem custeados por algu\u00e9m. Os motivos nos quadrantes l\u00edcitos e de boa f\u00e9 n\u00e3o s\u00e3o o problema, podendo ser estrat\u00e9gias de marketing ou est\u00edmulo transparente ao consumo, cuja conta pode ser debitada dos investimentos e esfor\u00e7os de vendas.<\/p>\n\n\n\n

J\u00e1 aqueles com motiva\u00e7\u00f5es incompat\u00edveis com a pol\u00edtica interna da institui\u00e7\u00e3o financeira ou at\u00e9 il\u00edcitos nessa gratuidade,<\/strong> tais como coleta excessiva de dados para comercializa\u00e7\u00e3o, instala\u00e7\u00e3o de v\u00edrus, captura de dados do equipamento e rede, entre outros, apenas a TI ter\u00e1 melhores condi\u00e7\u00f5es de avaliar a estrutura t\u00e9cnica de funcionamento da ferramenta.<\/strong><\/p>\n\n\n\n

Contrata\u00e7\u00f5es departamentais isoladas: efeito no fluxo de informa\u00e7\u00f5es corporativo<\/strong><\/strong><\/p>\n\n\n\n

Considerando o uso de solu\u00e7\u00f5es baseadas em software disseminado por toda institui\u00e7\u00e3o financeira, a TI possui vis\u00e3o interdepartamental do efeito multiplicador de uma mudan\u00e7a no fluxo de informa\u00e7\u00f5es de uma \u00e1rea sobre as outras. Alguns exemplos:<\/p>\n\n\n\n

Softwares diferentes entre as \u00e1reas compartilhando seus dados numa esteira sequencial: exist\u00eancia de diferentes cronogramas e prioridades entre as \u00e1reas, incompatibilidades para integra\u00e7\u00e3o, aus\u00eancia de dados necess\u00e1rios para a ferramenta da \u00e1rea seguinte do fluxo na ferramenta da \u00e1rea anterior<\/strong>. Uma ferramenta ERP at\u00e9 reduziria essa \u00faltima incompatibilidade, mas restri\u00e7\u00f5es de or\u00e7amento ou uma m\u00faltipla e ass\u00edncrona gama de rela\u00e7\u00f5es custo x benef\u00edcio oferecidas pelos diferentes fornecedores pode inviabilizar essa unifica\u00e7\u00e3o de solu\u00e7\u00e3o ERP<\/strong>.<\/p>\n\n\n\n

– \u00c1rea fornecedora dos dados com automatiza\u00e7\u00e3o para uma \u00e1rea receptora com processo manual: pode exigir a inclus\u00e3o de usu\u00e1rios adicionais da \u00e1rea receptora, devendo ser considerado se houver custo por quantidade de conex\u00f5es. Tamb\u00e9m a nova extra\u00e7\u00e3o de dados da solu\u00e7\u00e3o automatizada pode ser insuficiente para as demais \u00e1reas.<\/p>\n\n\n\n

– \u00c1rea fornecedora dos dados com processo manual e a \u00e1rea receptora com automatiza\u00e7\u00e3o: no esfor\u00e7o genu\u00edno de automatizar o m\u00e1ximo poss\u00edvel, ser\u00e1 estimulado que a entrada passe a ser por meio de integra\u00e7\u00e3o ou que os usu\u00e1rios da \u00e1rea geradora dos dados digitem diretamente no software adquirido pela \u00e1rea receptora. No primeiro caso, pode exigir necessidade de adapta\u00e7\u00e3o no layout de importa\u00e7\u00e3o ou no segundo caso, cadastrar usu\u00e1rios adicionais da outra \u00e1rea.<\/p>\n\n\n\n

Solu\u00e7\u00f5es departamentais: desenvolvimento interno de sofisticadas planilhas Excel<\/strong><\/strong><\/p>\n\n\n\n

Planilhas com recursos excessivamente sofisticados j\u00e1 possuem seus riscos inerentes sem necessidade de envolver conhecimento da TI por si s\u00f3, tais como exigir um perfil de \u2018quase programador\u2019 al\u00e9m das habilidades espec\u00edficas de sua \u00e1rea, em efeito cascata restringindo candidatos \u00e0s suas vagas, al\u00e9m de dificuldades na manuten\u00e7\u00e3o dessas planilhas, numa lista que vale a pena tratar em artigo separado.<\/p>\n\n\n\n

Para esse escopo de n\u00e3o conhecimento pela TI, exemplificamos o risco de planilhas com uso de recursos avan\u00e7ados tais como acesso \u00e0 base de dados por ODBC: num primeiro momento de implementa\u00e7\u00e3o, seu acesso pode estar irrestrito, funcionando corretamente e a \u00e1rea adotando-a em grande escala.<\/p>\n\n\n\n

Com a natural evolu\u00e7\u00e3o na governan\u00e7a de TI, podem ser criados mecanismos de seguran\u00e7a cibern\u00e9tica e pol\u00edtica de restri\u00e7\u00e3o aos bancos de dados. Uma vez sem conhecimento de tais acessos feitos pela \u00e1rea para consider\u00e1-la em sua parametriza\u00e7\u00e3o de autoriza\u00e7\u00f5es, ao aplicar uma camada de seguran\u00e7a cibern\u00e9tica, a planilha pode deixar de funcionar no momento mais cr\u00edtico<\/strong>. Se tais procedimentos forem, por exemplo, adotados pela matriz em escala mundial, a libera\u00e7\u00e3o desse acesso pode n\u00e3o ser solucionado de forma t\u00e3o imediata, muitas vezes n\u00e3o por restri\u00e7\u00e3o t\u00e9cnica, mas por pol\u00edtica institucional. Estar\u00e1 materializado mais um risco do \u2018Shadow IT\u2019.<\/strong><\/p>\n\n\n\n

Ap\u00f3s a identifica\u00e7\u00e3o no primeiro artigo, nesse citamos alguns riscos inerentes a esses cen\u00e1rios exemplificados da pr\u00e1tica de \u2018Shadow IT\u2019, cujas poss\u00edveis a\u00e7\u00f5es de mitiga\u00e7\u00e3o trataremos numa pr\u00f3xima oportunidade.<\/p>\n\n\n\n

Esse e outros temas relacionados ao regulat\u00f3rio BC, melhoria cont\u00ednua e controles em https:\/\/www.b3bee.com.br\/site\/list\/publicacoes\/<\/a><\/p>\n\n\n\n

#instituicaofinanceira #cadoc #bc #dadosabertos #etl #controlesinternos #pdca #calendario #shadowit #gir #riscodeti #riscoinerente Yoshio Hada: s\u00f3cio administrador da B3Bee Consultoria e Sistemas, licenciando sistemas \u00e0s institui\u00e7\u00f5es financeiras nos temas de R\u00e9gua de Sensibilidade ao RSAC, Dados Abertos (Demonstra\u00e7\u00f5es Financeiras, Relat\u00f3rio do Pilar 3, Relat\u00f3rio do GRSAC e Canais de Atendimento), CADOC\u2019s (DLI 2062, COS 40XX, Saldos Di\u00e1rios 4111, 5011, ETF 80XX, DF 9011\/9061, SVR 9800, DRSAC 2030, RCP 4076, Pagamentos do Varejo e Canais de Atendimento 6209), FGC405, Convers\u00e3o de layouts (ETL), Calend\u00e1rio de Obriga\u00e7\u00f5es Acess\u00f3rias ou Fluxos de Execu\u00e7\u00e3o, Valida\u00e7\u00e3o e Envio de CADOC\u2019s<\/p>\n","protected":false},"excerpt":{"rendered":"

Por que monitorar a exist\u00eancia do \u201cShadow IT\u201d? Quais riscos inerentes sobre essa pr\u00e1tica? Levantar riscos \u00e9 um papel de antecipar efeitos danosos ou oportunidades, sendo muitas vezes necess\u00e1rio conhecimento multidisciplinar ou al\u00e9m da especialidade departamental.<\/p>\n","protected":false},"author":2,"featured_media":2062,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[222],"tags":[18,331,7,25,353,304,82,390,393,391,388],"class_list":["post-2061","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-gps-guia-de-praticas-de-supervisao-do-bc","tag-bc","tag-controlesinternos","tag-gir","tag-gps","tag-instituicaofinanceira","tag-melhoriacontinua","tag-pdca","tag-riscodeti","tag-riscoinerente","tag-riscoti","tag-shadowit"],"_links":{"self":[{"href":"https:\/\/www.b3bee.com.br\/site\/wp-json\/wp\/v2\/posts\/2061","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.b3bee.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.b3bee.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.b3bee.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.b3bee.com.br\/site\/wp-json\/wp\/v2\/comments?post=2061"}],"version-history":[{"count":1,"href":"https:\/\/www.b3bee.com.br\/site\/wp-json\/wp\/v2\/posts\/2061\/revisions"}],"predecessor-version":[{"id":2063,"href":"https:\/\/www.b3bee.com.br\/site\/wp-json\/wp\/v2\/posts\/2061\/revisions\/2063"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.b3bee.com.br\/site\/wp-json\/wp\/v2\/media\/2062"}],"wp:attachment":[{"href":"https:\/\/www.b3bee.com.br\/site\/wp-json\/wp\/v2\/media?parent=2061"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.b3bee.com.br\/site\/wp-json\/wp\/v2\/categories?post=2061"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.b3bee.com.br\/site\/wp-json\/wp\/v2\/tags?post=2061"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}