Shadow IT e TI gerenciada pelo negócio: uma análise das percepções sobre os riscos e benefícios em uma organização pública brasileira do setor financeiro

Aragão, Renato da Silva; Streit, Rosalvo Ermes; Aragão, Renato da Silva; Streit, Rosalvo Ermes

doi:10.17013/risti.21-36

Services on Demand

Journal

Article

Indicators

Cited by SciELO
Access statistics

RISTI - Revista Ibérica de Sistemas e Tecnologias de Informação

Print version ISSN 1646-9895

RISTI no.51 Porto Sept. 2023 Epub Sep 30, 2023

https://doi.org/10.17013/risti.21-36

Artigos

Shadow IT e TI gerenciada pelo negócio: uma análise das percepções sobre os riscos e benefícios em uma organização pública brasileira do setor financeiro

Shadow IT and business managed IT: an analysis of perceptions about risks and benefits in a Brazilian public organization of the financial sector

Renato da Silva Aragão¹

Rosalvo Ermes Streit¹

^¹Universidade Católica de Brasília, Câmpus Taguatinga QS 07 - Lote 01 - EPCT - Taguatinga, CEP 71966-700, Brasília, Brasil; renatosaragao@gmail.com, rosalvo.streit@gmail.com

Resumo

O advento da computação pessoal transformou a forma como trabalhamos, com a tecnologia da informação (TI) desempenhando um papel fundamental nos negócios. No entanto, o aumento no uso de recursos tecnológicos levou ao fenômeno conhecido como Shadow IT, onde os recursos são usados sem o conhecimento do departamento de TI, o que gera preocupações de segurança. Pesquisas recentes destacam benefícios e riscos associados a esse fenômeno. Esta pesquisa examinou as percepções dos gestores de uma organização pública brasileira do setor financeiro em relação às práticas que podem promover a TI gerenciada pelo negócio.

Palavras-chave: Shadow IT; TI gerenciada pelo negócio; governança de TI

Abstract

The advent of personal computing has transformed the way we work, with information technology (IT) playing a pivotal role in businesses. However, the increase in the use of technological resources has led to the phenomenon known as Shadow IT, where resources are used without the knowledge of the IT department, raising security concerns. Recent research highlights the benefits and risks associated with this phenomenon. This study examined the perceptions of managers in a Brazilian public organization of the financial sector regarding practices that can promote business-managed IT.

Keywords: Shadow IT; Business-managed IT; IT governance

1. Introdução

A tecnologia da informação (TI) percorreu um longo caminho desde seu uso inicial em ambientes de negócios. Em cada etapa dessa jornada, direcionadores tecnológicos, organizacionais e de mercado mudaram a forma como a TI é gerenciada. Por exemplo, o advento da computação pessoal mudou drasticamente a forma como os especialistas de TI interagiam com os usuários de negócios. Ainda, a computação cliente-servidor permitiu novas formas de aplicativos de negócios e teve grandes efeitos no gerenciamento de sistemas de informação (^{Urbach et al., 2019}). Para (^{Alt et al., 2020}), a TI entrou em um mundo analógico e foi integrada pouco a pouco, mais lateralmente como suporte técnico, em vez de ser introduzida de baixo para cima, pelo negócio, ou priorizada de cima para baixo, pela gerência.

No passado, vários modelos de governança de TI foram desenvolvidos e implementados, com modos de estruturação centralizados, descentralizados e federais. A governança de TI eficaz é determinada pela forma como a função de TI é organizada e onde a autoridade de tomada de decisão de TI está localizada dentro da organização (^{De Haes & Van Grembergen, 2004}). Segundo (^{Andriole, 2015}), os novos modelos de entrega de tecnologia baseados em nuvem e a proliferação de dispositivos de consumo, mudaram completamente a equação da governança. Novos aplicativos são projetados e desenvolvidos por profissionais internos e, cada vez mais, por desenvolvedores externos responsáveis pelas unidades de negócios, não necessariamente pela TI corporativa.

Além disso, a transformação digital é apontada como um dos principais temas da agenda do líder empresarial e está relacionada às novas formas de trabalhar e gerar fluxos de receita. A velocidade tem sido vista como o principal tópico em muitas áreas, como expectativas de entrega rápida de serviços e produtos de TI (^{Wasiuk & Lim, 2021}). E as habilidades em TI, por sua vez, se espalham por toda a população, em especial, entre as forças atuais de trabalho. Com isso, sistemas de baixa e média complexidade não exigem mais um treinamento extensivo. Assim, os usuários avançados podem criar soluções inovadoras, configurar e operar programas de computadores por conta própria (^{Urbach et al., 2019}).

O elemento-chave na governança de TI é o alinhamento do negócio e da TI para levar à obtenção do valor do negócio. Esse objetivo de alto nível pode ser alcançado reconhecendo a governança de TI como parte da governança corporativa e configurando uma estrutura de governança de TI com as melhores práticas (^{De Haes & Van Grembergen, 2004}). Nesse ambiente, observa-se que a governança tem envolvido um número cada vez maior de partes interessadas, sendo que muitas estão além da barreira corporativa (^{Andriole, 2015}).

Segundo (^{Alt et al., 2020}), o departamento de TI não é mais o único ponto de solução para todos os processos que precisam ser automatizados. Para (^{Andriole, 2015}), as unidades de negócios estão se envolvendo na gestão e adoção de novas tecnologias. Elas utilizam ferramentas de TI e se tornam protagonistas na resolução dos seus próprios problemas.

A autonomia das unidades de negócio é fortalecida pela própria evolução tecnológica (por exemplo, computação em nuvem e dispositivos móveis), com isso, novos aplicativos são desenvolvidos por profissionais internos e externos, e implantados quase instantaneamente (^{Andriole, 2015}). Além disso, a lentidão do departamento de TI na entrega de soluções, as deficiências dos sistemas corporativos e as incertezas no ambiente de negócio são motivadores para a utilização de Shadow IT (^{Kopper et al., 2019}). Como resultado, atualmente as instâncias de TI não são implantadas e mantidas apenas pelo departamento de TI, mas também por unidades de negócio (^{Klotz et al., 2020}).

No entanto, surge a necessidade de governar adequadamente esse ambiente, onde as soluções digitais são criadas a qualquer momento dentro da empresa (^{Alt et al., 2020}). É nesse contexto que a Shadow IT adquire importância. Também chamada de TI Invisível ou TI das Sombras, em português (^{Mallmann, 2016}), esse conceito se refere às instâncias de TI (isto é, software, hardware ou serviços) que são criadas ou utilizadas pelas áreas de negócios sem alinhamento ou conhecimento pelo departamento de TI (^{Kopper et al., 2018}). Para (Mallmann et al., 2018) a Shadow IT é usada nas organizações da seguinte forma: (i) utilização de serviços de nuvem - por exemplo, WhatsApp e Google Apps; (ii) uso de soluções desenvolvidas pelo usuário - por exemplo, uma planilha do Excel ou aplicativo desenvolvido pelo funcionário; (iii) uso de softwares instalados pelo funcionário - por exemplo, baixar e instalar software gratuito disponível na internet; e (iv) dispositivos adquiridos pelo usuário - por exemplo, uso de dispositivos (smartphones, tablets, notebooks etc.) pessoais do colaborador no local de trabalho.

A Shadow IT ganhou destaque em grande parte como resultado da introdução da computação pessoal e, cada vez mais, a TI está se tornando onipresente. Embora a crescente presença da TI na organização crie desafios de gestão para o departamento de TI, há uma crescente relevância dos especialistas em TI. Esses especialistas estão presentes não apenas no departamento de TI, mas, também, nos departamentos de negócio, sendo que, neste caso, a sua atuação difere significativamente do papel dos funcionários da área de TI (^{Chua et al., 2014}).

De acordo com (Fürstenau et al., 2021), a Shadow IT representa muitos desafios e oportunidades para as organizações, pois pode oferecer resultados positivos e negativos (^{Behrens & Sedera, 2004}). Os gerentes de TI enfrentam o desafio de equilibrar controle e autonomia em seu modelo de governança de TI (^{Kopper et al., 2020}) para minimizar as desvantagens e promover as suas vantagens (^{Raković et al., 2020}). Cabe destacar o alerta de (^{Haag & Eckhardt, 2017}) que advertem que a Shadow IT pode representar uma ameaça ainda maior para a segurança das informações e dados, algo que as organizações dificilmente podem controlar se essa utilização ocorrer de forma desconhecida e/ou invisível. Por outro lado, o modelo da TI gerenciada pelo negócio - definida como soluções de TI conhecidas dentro da área de responsabilidade das unidades de negócio - permite obter vantagens e evitar algumas das desvantagens da Shadow IT (Kopper et al., 2018).

Diante do exposto, o objetivo deste trabalho foi analisar as percepções dos gestores de negócio sobre as práticas de gestão que podem promover a TI gerenciada pelo negócio, levando em consideração os benefícios e riscos associados à Shadow IT. Para alcançar esse objetivo, realizou-se uma revisão de literatura, com base no protocolo de pesquisa de (^{Kitchenham, 2004}), por meio da busca de artigos na Scopus (Elsevier) e teses e dissertações na Biblioteca Digital Brasileira de Teses e Dissertações (BDTD), e iniciou com a utilização das palavras-chave “Shadow IT”, “Feral systems” e “IT workaround”.

2. Revisão de literatura

2.1. Trabalhos correlatos

A revisão de literatura mostrou que os principais autores tratam dos temas relacionados aos fatores motivadores e causadores de Shadow IT e de TI gerenciada pelo negócio. Segue breve resumo dos trabalhos identificados como relevantes para este estudo.

Os autores (^{Kopper et al., 2018}) introduziram o conceito da “TI gerenciada pelo negócio” com a finalidade de distinguir as instâncias de Shadow IT que não estão mais nas “sombras” e que fazem parte do gerenciamento organizacional de TI. Essas soluções de TI desenvolvidas abertamente pelas unidades de negócio possibilitam controles mais específicos e melhor equilíbrio entre seus riscos e benefícios. A conceituação também tem o objetivo de evitar o estigma do termo “Shadow IT” e dar mais visibilidade positiva dessas soluções.

A estrutura conceitual desenvolvida por (^{Klotz et al., 2019}) possibilitou identificar os principais temas abordados nos estudos sobre Shadow IT (instâncias secretas) e TI gerenciada pelo negócio (instâncias abertas), e forneceu uma alocação de temas de pesquisa relevantes para os dois conceitos. Essa estrutura foi aperfeiçoada por (^{Kopper et al., 2019}), que avaliaram as percepções de gestores (TI e negócio) em relação a esses conceitos e compararam com diversos achados da literatura.

A partir desses estudos, verificou-se que o tema da TI gerenciada pelo negócio tem recebido atenção significativa desde 2016. Apesar disso, segundo (^{Klotz et al., 2019}), outras pesquisas devem ser desenvolvidas para aprimorar temas de estudos específicos.

2.2. Shadow IT e TI gerenciada pelo negócio

Conforme apresentado, para os autores (^{Kopper et al., 2018}) Shadow IT refere-se às instâncias de TI que não são conhecidas nem envolvidas no gerenciamento organizacional de TI. Essas instâncias são frequentemente encontradas nas unidades de negócio, mas também podem existir no próprio departamento de TI. De acordo com (^{Klotz et al., 2022}), é fundamental que as instâncias de TI sejam identificadas e não sejam consideradas como "Shadow IT" (desconhecidas) a fim de possibilitar um gerenciamento adequado.

Quando as instâncias de TI estão visíveis e são gerenciadas abertamente pelas unidades de negócio, torna-se possível implementar medidas mais específicas de controle e monitoramento, conservando benefícios semelhantes aos da Shadow IT (por exemplo, agilidade, menor carga na TI oficial, autonomia nos departamentos) e evitando alguns dos seus riscos (por exemplo, falta de transparência, riscos de proteção de dados, segurança de TI e riscos de conformidade regulatória, perda de controle e aumento de custos) (^{Kopper et al., 2018}).

Além disso, essa transparência permite um maior envolvimento na gestão corporativa de TI, pois sua natureza é conhecida. Isso pode incluir um alinhamento com o departamento de TI ou a adoção de um modelo de responsabilidade compartilhada. Nesse contexto se insere o modelo TI gerenciada pelo negócio, ou seja, uma abordagem que se refere às soluções de TI adotadas e mantidas dentro da área de responsabilidade das unidades de negócio em alinhamento com o departamento de TI (^{Kopper et al., 2018}).

3. Procedimentos metodológicos

Esta pesquisa investigou as práticas que podem ser adotadas para promover a TI gerenciada pelo negócio a fim de obter os benefícios da Shadow IT, reduzindo seus riscos. Portanto, baseia-se em uma abordagem de pesquisa qualitativa (^{Creswell, 2021}). Para avaliar as percepções dos gestores de negócio, utilizou-se o instrumento de entrevistas semiestruturadas para coleta de dados. Dessa forma, este estudo caracteriza-se como uma pesquisa qualitativa que utiliza entrevistas semiestruturadas.

A pesquisa foi realizada em uma instituição pública brasileira do setor financeiro que possui mais de 50 mil funcionários e está entre as cinco maiores instituições do país em número de clientes. Seu foco principal de atuação está na operacionalização de políticas públicas e ações para promoção do desenvolvimento social em nível nacional. É importante mencionar que ela opera em um setor altamente regulamentado, regido por legislações internacionais e nacionais como, por exemplo, resoluções do Banco Central do Brasil (BACEN). Algumas dessas resoluções incluem a Resolução nº 4.557, de 23 de fevereiro de 2017, que dispõe sobre a estrutura de gerenciamento de risco operacional (BACEN, 2017) e Resolução nº 4.893, de 26 fevereiro de 2021, que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem (BACEN, 2021).

Recentemente, resultados de trabalhos de auditorias internas e externas na instituição, elencaram recomendações e apontamentos sobre a gestão das soluções de TI criadas no contexto de Shadow IT. Nesse sentido, a instituição criou grupos de trabalho para discussão do tema, visando o estabelecimento de uma estratégia organizacional no sentido de possibilitar maior controle do uso dessas soluções de TI e mitigação de riscos associados. Assim, a instituição enfrenta o desafio de lidar adequadamente com as soluções desenvolvidas no âmbito da Shadow IT de modo a usufruir dos seus benefícios e ao mesmo tempo reduzir os seus riscos.

Foram entrevistados quatro gestores de negócio, cada um atuando em unidades distintas. Essas unidades de negócio têm um escopo que abrange, entre outras funções, gerenciar canais de relacionamento com o cliente, executar atividades de suporte ao negócio (por exemplo, demandas relacionadas aos produtos e serviços comercializados), realizar a gestã0 contábil e atuar no gerenciamento de risco de mercado. Os gestores são responsáveis por desenvolver e manter soluções Shadow IT (ferramentas e aplicativos de TI) e foram selecionados mediante amostragem intencional (^{Creswell, 2021}), com base em indicações de funcionários das áreas de negócio e de TI. Foi elaborado um protocolo de entrevista contendo informações básicas, perguntas sobre o conteúdo e um roteiro de entrevista com 14 questões. As entrevistas foram realizadas individualmente de forma virtual, gravadas e tiveram duração média de 45 minutos.

Os dados provenientes das entrevistas semiestruturadas foram transcritos e tratados utilizando um software qualitativo de análise de texto, o IRAMUTEQ (Interface de R pour lês Analyses Multidimensionnelles de Textes et de Questionnaires), desenvolvido por (Ratinaud, 2009). Essa abordagem visa melhor representar os resultados e aumentar a possibilidade de identificação de padrões e temas conforme recomendado por (^{Creswell, 2021}). Utilizou-se a ferramenta de análise textual, denominada Classificação Hierárquica Descendente (CHD) - baseada na técnica de Reinert - para processamento do corpus textual (conjunto de textos). Assim, o software gerou segmentos de texto que foram classificados de acordo com seus respectivos vocabulários e particionados conforme a frequência das raízes das palavras. Através das classes de vocabulário resultantes, foi possível realizar inferências sobre as ideias que o corpus textual transmitia e, com isso, chegar na definição dos temas (Salviati, 2018). Nas análises, foram consideradas as palavras com uma porcentagem de frequência média quiquadrado (χ2) superior a 3.84 (^{Souza et al., 2018}). Essas palavras são consideradas mais significativas em relação à classe a que pertencem, conforme indicado por (Salviati, 2018).

4. Resultados e discussões

Após o processamento do corpus textual, foram identificadas 13.139 ocorrências (palavras), 1.924 formas (palavras distintas) e 377 segmentos de texto. O tratamento de dados, realizado por meio da técnica de classificação (CHD), resultou no aproveitamento total de 81,7% dos segmentos de textos (308 de 377) e gerou seis classes de palavras. A análise dessas classes de palavras permitiu a definição de temas, os quais foram classificados com base na maior significância dos discursos dos sujeitos. Os temas identificados são: (i) “lentidão do departamento de TI” (Classe 5 - 22,4%); (ii) “competências da equipe” (classe 2 - 19,1%); (iii) “ameaças e oportunidades” (Classe 6 - 16,2%); (iv) “motivadores da utilização” (Classe 4 - 14,9%); (v) “resolução de lacunas” (Classe 1 - 14,6%); e (vi) “deficiências dos sistemas corporativos” (Classe 3 - 12,6%), conforme mostrado na Tabela 1.

Tabela 1 Dendrograma da CHD e classificação do conteúdo do corpus

Repartição	Classes	Análise lexicográfica
Repartição	Classes	Palavra	χ2	%
Percepções dos gestores negócio	Classe 5 - 22,4% (Lentidão do departamento de TI)	Demanda Manutenção Abrir Atendimento Demorar Correção Ajuste Atrasar	23,21 20,02 19,87 16,52 16,52 14,04 14,04 10,49	76,92 87,5 75,00 85,71 85,71 100,00 100,00 100,00
	Classe 2 - 19,1% (Competências da equipe)	Funcionário Entender Tecnologia Programação Negócio Equipe Conhecer	37,92 28,92 21,98 21,98 17,72 16,06 15,00	90,91 81,82 69,23 69,23 46,88 52,38 56,25
	Classe 6 - 16,2% (Ameaças e oportunidades)	Concordar TI gerenciada pelo negócio Benefício Aumento Risco Produtividade	224,97 101,37 99,38 57,76 55,71 30,90	89,58 71,79 80,00 92,31 53,19 80,00
	Classe 4 - 14,9% (Motivadores da utilização)	Solução de TI Usar Unidade de negócio Uso Departamento de TI Interação Construir Utilizar Conhecimento	85,18 57,87 47,47 34,85 34,68 34,04 22,53 18,30 18,30	70,97 91,67 66,67 100,00 43,48 87,50 83,33 53,33 53,33
	Classe 1 - 14,6% (Resolução de lacunas)	Conseguir Atender Melhor Eficiente Evoluir Forma Processo Melhoria Sistema	39,05 29,65 21,98 17,71 17,42 16,20 13,29 8,70 8,39	48,65 77,78 63,64 100,00 80,00 40,74 66,67 45,45 22,32
	Classe 3 - 12,6% (Deficiências dos sistemas corporativos)	Tratamento Ferramenta Consolidar Informação Tratar API (Application Programming Interface) Lote Limitação	45,80 41,10 35,06 34,75 27,95 27,95 - 27,95 27,64	71,43 51,85 100,00 46,67 100,00 100,00 - 100,00 83,33

A análise dos discursos dos participantes derivou descobertas que foram resumidas e organizadas com base na estrutura proposta por (^{Klotz et. al, 2019}a), nas seguintes categorias e respectivas subcategorias: (i) Fatores Motivadores, com as subcategorias “motivadores” (M) e “facilitadores” (F); (ii) Governança, com a subcategoria “governança geral” (GG); (iii) Resultados, com as subcategorias “riscos” (R) e “benefícios” (B). Os achados da pesquisa estão descritos da Tabela 2:

Tabela 2 Achados da pesquisa

Categoria	Achados
Lentidão do departamento de TI	(M1) Lentidão para correção de falhas: três (dos quatro) gestores mencionaram que o departamento de TI leva muito tempo para corrigir as falhas dos sistemas corporativos; (M2) Demora no desenvolvimento de soluções: a maioria dos participantes também comentou que a construção de soluções corporativas é lenta, em comparação com a velocidade exigida pelo negócio.
Motivadores da utilização	(M3) Limitação dos sistemas corporativos: a maioria dos gestores entende que é comum a ausência de funcionalidades específicas nos sistemas corporativos e isso impacta a realização de determinadas atividades de negócio; (M4) Contingência do sistema corporativo: um gestor comentou que a ferramenta Shadow IT é utilizada em complemento ou em substituição ao sistema corporativo; (M5) Incertezas do ambiente de negócio: foi comentado que as soluções Shadow IT são usadas em cenários que exigem rápida adaptação organizacional, principalmente em razão de mudanças no cenário de negócio.
Deficiências dos sistemas corporativos	(M6) Ausência/Falha de integração entre sistemas: comentou-se que os sistemas corporativos não têm cobertura para algumas atividades de negócio, resultando no desenvolvimento de soluções de TI paralelas (Shadow IT).
Competências da equipe	(F1) Conhecimento do negócio: três gestores comentaram que um maior conhecimento do negócio (normas, processos, atividades etc.) permite o desenvolvimento de soluções Shadow IT mais alinhadas às necessidades da empresa; (F2) Colaboração entre equipes: ao menos dois gestores comentaram que a existência de perfis multidisciplinares nas unidades de negócio, gera maior colaboração e troca de conhecimento entre as equipes no desenvolvimento de soluções Shadow IT.
Resolução de lacunas	(GG1) Melhoria no processo de desenvolvimento de soluções corporativas: todos os gestores comentaram a necessidade de revisão do modelo de atuação do departamento de TI em razão, por exemplo, da demora no desenvolvimento de produtos/serviços de TI e entrada em produção; (GG2) Melhoria dos sistemas corporativos: os gestores mencionaram limitações/deficiências dos sistemas de TI, por exemplo, ausência de funcionalidades e falha na integração entre os sistemas corporativos; (GG3) Definição sobre uso de Shadow IT: três gestores destacaram a necessidade de uma definição formal em relação ao uso de soluções desenvolvidas no contexto do negócio, bem como a possibilidade de uma liberação formal.
Ameaças	(R1) Falha na proteção de dados: três gestores mencionaram que a ausência de controles específicos (nas soluções Shadow IT) pode afetar a proteção de dados; (R2) Recursos tecnológicos limitados: foi comentado que a limitação de recursos computacionais implica em lentidão dos aplicativos/ferramentas e pode impactar a disponibilidade das soluções Shadow IT; (R3) Perda de conhecimento: um gestor comentou que a rotatividade de funcionários culmina em perda de conhecimento das soluções Shadow IT, dificultando sua continuidade; (R4) Documentação escassa: foi mencionado que a falta de documentação das soluções, coloca em risco a continuidade dos sistemas Shadow IT; (R5) Falta de integração: dois gestores comentaram que os sistemas Shadow IT não possuem integração apropriada com as soluções corporativas, mesmo nos casos de dependência de dados entre eles; (R6) Conhecimento limitado em desenvolvimento de software pela equipe de negócio: dois gestores comentaram que o conhecimento dos funcionários das unidades de negócio em programação de sistemas não se equipara ao dos funcionários do departamento de TI; (R7) Equipe de TI limitada: todos os gestores mencionaram que a quantidade de funcionários dedicados ao desenvolvimento de soluções Shadow IT é pequena, o que representa risco para a continuidade dos projetos; (R8) Risco cibernético: três gestores reconhecem que os sistemas Shadow IT não possuem a mesma estrutura que os sistemas corporativos, assim, estão mais suscetíveis a esse tipo de risco.
Oportunidades	(B1) Agilidade operacional: todos os gestores apontaram que as soluções Shadow IT contribuem para o atendimento de demandas de negócio de forma rápida e no tempo esperado pelos usuários de negócio; (B2) Rapidez na resolução de problemas: foi comentado por três gestores a rapidez em resolver problemas sistêmicos de suas soluções Shadow IT nas próprias unidades de negócio; (B3) Flexibilidade no desenvolvimento de aplicativos: os gestores entendem que existe mais autonomia e flexibilidade no desenvolvimento de aplicativos quando estes estão sob gestão das unidades de negócio; (B4) Aumento de inovação: três gestores comentaram que os processos de criação e inovação ocorrem com mais intensidade quando as unidades de negócios desenvolvem seus próprios aplicativos; (B5) Melhoria da satisfação do usuário: segundo os gestores, por se tratarem de soluções criadas para determinados públicos, existe maior possibilidade de customização e melhor usabilidade; (B6) Melhor colaboração: três gestores argumentaram que o desenvolvimento de soluções nas unidades de negócio permite interação com vários atores do negócio, resultando em uma rede de colaboração entre as equipes, permitindo a troca de informação e conhecimento.

4.1. Análise das práticas

De acordo com (^{Kostova, 1999}), práticas organizacionais são formas particulares de conduzir funções organizacionais que evoluíram ao longo do tempo sob a influência da história, pessoas, interesses e ações de uma organização. Para a autora, as práticas tendem a ser aceitas e aprovadas pelos funcionários da organização e serem vistas como a maneira natural de realizar determinadas tarefas.

Com base nas percepções dos gestores de negócio, foram elaboradas práticas para permitir melhor equilíbrio entre riscos e benefícios da TI gerenciada pelo negócio. Os achados foram combinados em função das suas similaridades, e as práticas foram elaboradas com base na literatura e no conhecimento dos autores. Por exemplo, através dos achados “lentidão para correção de falhas” (M1), “demora no desenvolvimento de soluções” (M2), “limitação dos sistemas corporativos” (M3), “contingência do sistema corporativo” (M4) e “melhoria dos sistemas corporativos” (GG2), gerou-se a prática “revisar periodicamente os processos de sustentação e de desenvolvimento de soluções” (PA4). Para o achado “ausência/falha de integração entre sistemas” (M6), juntamente com uma menção similar feita por (^{Urbach et al., 2019}), foi gerada a prática “promover interoperabilidade entre sistemas corporativos” (PA6). O mesmo processo foi utilizado para os demais achados e o resultado está descrito na Tabela 3.

Tabela 3 Práticas relacionadas à TI gerenciada pelo negócio, elaboradas a partir dos achados da pesquisa (PA)

ID	Práticas	Origem (achados / menções na literatura)
PA1	Estabelecer políticas para adoção da TI gerenciada pelo negócio	GG3; (Kopper et al., 2019)
PA2	Adotar e fortalecer a TI gerenciada pelo negócio	GG3; (Kopper et al., 2019)
PA3	Promover o alinhamento entre negócio e departamento de TI	GG1; (Kopper et al., 2019); (Pereira & Ferreira, 2015)
PA4	Revisar periodicamente os processos de sustentação e de desenvolvimento de soluções de TI	M1; M2; M3; M4; GG2
PA5	Promover a comunicação da estratégia digital na organização	M5
PA6	Promover interoperabilidade entre sistemas corporativos	M6; (Urbach et al., 2019)
PA7	Capacitar as equipes de negócio para concepção de soluções de TI, respeitando as políticas vigentes	F1; (Walters, 2013)
PA8	Promover colaboração entre equipes de negócio	F2; (Silic, 2015)
PA9	Adotar medidas para tratamento de riscos de TI e proteção de dados	R1; R2; R8; (Kopper et al., 2018)
PA10	Incentivar o gerenciamento do conhecimento organizacional	R3; R4; (Steinhueser et al., 2017)
PA11	Capacitar equipe negócio no uso de instrumentos de desenvolvimento de software, com bases nas políticas organizacionais	R6; (Kopper et al., 2019)
PA12	Adotar o uso de métodos ágeis em larga escala	R7; B1; B2
PA13	Disseminar o uso de plataformas que permitem automatizar processos sem necessidade de codificação (no/low-code)	B3; (Klotz et al., 2022)
PA14	Implementar a cultura de inovação	B4
PA15	Criar um ambiente propício para incentivar práticas de inovação	B4
PA16	Alinhar e revisar periodicamente as necessidades dos usuários com as soluções de TI	B5
PA17	Criar um ambiente que promova a colaboração e o compartilhamento	B6; (Candal et al., 2022); (Mallmann et al., 2016)

Adicionalmente, a Tabela 4 apresenta as práticas da TI gerenciada pelo negócio identificadas na literatura.

Tabela 4 Práticas relacionadas à TI gerenciada pelo negócio, identificadas na literatura (PL)

ID	Práticas	Origem (literatura)
PL1	Criar uma cultura em favor da TI gerenciada pelo negócio	(Klotz et al., 2022)
PL2	Promover a comunicação entre as diferentes partes interessadas
PL3	Disponibilizar camada/interface de dados comum
PL4	Fornecer suporte para TI gerenciada pelo negócio
PL5	Fornecer consultoria para soluções da TI gerenciada pelo negócio
PL6	Documentar soluções na TI gerenciada pelo negócio
PL7	Fornecer estrutura/políticas de desenvolvimento
PL8	Fornecer uma arquitetura de TI comum
PL9	Estabelecer políticas sobre a TI gerenciada pelo negócio	(Kopper et al., 2019)
PL10	Realizar treinamentos e fomentar o compartilhamento de conhecimento
PL11	Identificar e tratar lacunas de TI nos sistemas corporativos
PL12	Monitorar e identificar soluções da TI gerenciada pelo negócio
PL13	Avaliar e categorizar soluções da TI gerenciada pelo negócio
PL14	Desativar/Substituir soluções Shadow IT
PL15	Internalizar soluções Shadow IT ao modelo de TI corporativa
PL16	Promover a gestão compartilhada entre negócio e departamento de TI
PL17	Criar modelo de corresponsabilidade entre departamento de TI e unidades de negócio	(Zimmermann et al., 2014)
PL18	Promover o alinhamento entre departamento de TI e unidades de negócio	(Kopper et al., 2019)
PL19	Atualizar frequentemente os sistemas da TI gerenciados pelo negócio	(Hakvoort, 2022), *(Rentrop & Zimmermann, 2012)
PL20	Discutir compras de software com as equipes de negócio
PL21	Criar um portfólio dos sistemas Shadow IT/TI gerenciada pelo negócio (*)
PL22	Estabelecer critérios de transparência para a TI gerenciada pelo negócio
PL23	Educar os funcionários sobre segurança da informação (SI)
PL24	Reduzir falhas de SI na TI gerenciada pelo negócio	(Györy et al., 2012)
PL25	Mitigar riscos de sobrecarga na infraestrutura de TI corporativa	(Györy et al., 2012)

Cabe tecer alguns comentários em relação às práticas propostas neste trabalho bem como as identificadas na literatura. Sobre a prática “promover o alinhamento entre negócio e departamento de TI” (PA3), (^{Kopper et al., 2020}), por exemplo, identificaram um caso relacionado a um pequeno sistema desenvolvido por uma unidade negócio em estreito alinhamento com o departamento de TI e aderência a processos comumente acordados. Nesse caso, a unidade de negócio utilizou ferramentas de desenvolvimento e infraestrutura segura fornecida pelo departamento de TI, e trabalhou de forma conjunta para realização de testes e entrada em operação.

A prática “disseminar o uso de plataformas que permitem automatizar processo sem necessidade de codificação (no/low-code)” (PA13), foi elaborada com base em (^{Klotz et al., 2022}). Os autores argumentaram que fornecer padrões, processos e responsabilidades definidas, ou seja, uma estrutura ou plataforma de desenvolvimento pode ser benéfico para instâncias de TI gerenciada pelo negócio. Isso poderia ser, por exemplo, uma plataforma low/no-code ou, segundo (^{Kopper et al., 2018}), uma plataforma de integração de autoatendimento que permite às unidades de negócio e usuários integrar suas próprias aplicações e ter acesso controlado a dados de outros sistemas. Essas plataformas possibilitam dar transparência das atividades das unidades de negócio, fornecendo automaticamente documentação e logs, ou seja, visibilidade da integração. Para (^{Alt et al., 2020}), as ferramentas low-code e no-code, em conjunto com infraestruturas inspiradas em nuvem, marcam o próximo salto nas capacidades de TI das unidades de negócios.

Sobre a prática “adotar medidas para tratamento de riscos de TI e proteção de dados” (PA9), essa foi desenvolvida com base em alguns resultados da literatura. (^{Kopper et al., 2018}) identificaram o caso de uma empresa que apoiou o uso de TI gerenciada pelo negócio sob a condição de aderência a aspectos de conformidade (por exemplo, proteção de dados de clientes e de funcionários no sistema). A empresa se empenhou a incorporar esses requisitos à solução desenvolvida pelo negócio, fornecendo controles sem restringir a criatividade e a responsabilidade do negócio. Além disso, no que diz respeito à importância das medidas relacionadas à segurança e aos riscos computacionais, para (^{Walters, 2013}), a aplicação de medidas de segurança apropriadas para gerenciar riscos é necessária no contexto de Shadow IT. Ainda, (^{Orr et al., 2022}) destaca a importância da preocupação com riscos cibernéticos nesse contexto. (^{Hakvoort, 2022}) avaliou que funcionários capacitados no tema de segurança da informação terão maior capacidade de avaliar seus riscos ao usarem Shadow IT (PL23, por exemplo). Nesse sentido, as práticas identificadas podem contribuir para a redução de riscos relacionados à proteção de dados, por exemplo, ao fornecer estruturas/políticas de desenvolvimento (PL7) e/ou ao disponibilizar uma arquitetura de TI comum (PL8).

Em relação às práticas “revisar periodicamente os processos de sustentação e de desenvolvimento de soluções” (PA4), “capacitar as equipes de negócio para concepção de soluções de TI, respeitando as políticas vigentes” (PA7), “capacitar equipe negócio no uso de instrumentos de desenvolvimento de software, com bases políticas organizacionais” (PA11) e “alinhar e revisar periodicamente as necessidades dos usuários com as soluções de TI” (P16), observa-se que elas podem ser instrumentalizadas, por exemplo, vinculando-as à conformidade regulatória atribuída ao setor bancário. Isso pode ser feito levando em consideração a estrutura para o gerenciamento de risco operacional e a política de segurança cibernética descritas nas Resoluções nº 4.557/2017 (BACEN, 2017) e nº 4.893/2016 (BACEN, 2021), do Banco Central do Brasil.

Por fim, observou-se que algumas práticas relacionadas aos achados (PA) não foram encontradas na literatura, por exemplo: (i) “revisar periodicamente os processos de sustentação e de desenvolvimento de soluções de TI” (PA4); (ii) “promover a comunicação da estratégia digital na organização” (PA5); (iii) "adotar o uso de métodos ágeis em larga escala" (PA12); (iv) "implementar a cultura de inovação" (PA14); (v) "criar um ambiente propício para incentivar práticas de inovação" (PA15); e (vi) "alinhar e revisar periodicamente as necessidades dos usuários com as soluções de TI" (PA16).

5. Considerações finais

As organizações dependem cada vez mais da TI para a realização de negócios. A popularização dos recursos tecnológicos, as mudanças no ambiente de negócios e a necessidade de rápida adaptação têm levado as unidades de negócio a utilizarem cada vez mais soluções de TI desenvolvidas localmente. No entanto, a proibição da Shadow IT pode levar ao aumento de soluções criadas de forma oculta, além de gerar riscos mais significativos do que as soluções desenvolvidas de maneira transparente trariam. Portanto, é essencial que as instâncias de TI sejam conhecidas e deixem de ser consideradas Shadow IT, para que possam ser corretamente implantadas e gerenciadas nas unidades de negócio.

Nesse sentido, a adoção do modelo de TI gerenciada pelo negócio pode auxiliar as organizações a lidarem de forma mais eficaz com as soluções dispersas fora do departamento de TI. A transparência na criação e utilização das soluções de TI pelas unidades permite a implementação de medidas mais específicas de gestão e governança pela organização, além de possibilitar a manutenção de benefícios como agilidade, inovação e um melhor gerenciamento de riscos. Adicionalmente, as soluções desenvolvidas nesse contexto possibilitam o compartilhamento de responsabilidades entre as unidades de negócio e o departamento de TI.

Esta pesquisa teve como objetivo identificar práticas que podem promover a TI gerenciada pelo negócio a fim de obter os benefícios da Shadow IT, minimizando os seus riscos. O objetivo deste estudo foi alcançado por meio da identificação das percepções dos gestores de negócio sobre os benefícios e riscos mencionados na literatura, e pela análise das práticas de gestão da TI gerenciada pelo negócio, levando em consideração os benefícios e riscos associados à Shadow IT. Os resultados foram comparados com os da literatura, o que permitiu a identificação de um conjunto de práticas organizacionais.

Por meio deste estudo, foram identificados novos aspectos da Shadow IT e da TI gerenciada pelo negócio, especialmente relacionados aos riscos, benefícios e formas de gestão. No que diz respeito aos riscos, a segurança cibernética emergiu como um alerta nessa área. As entrevistas ratificaram a importância de considerar os riscos cibernéticos nas soluções desenvolvidas no contexto do negócio. Em relação aos benefícios, os gestores unanimemente reconheceram sua existência.

Entende-se que os resultados desta pesquisa contribuem para a literatura, trazendo novas perspectivas e fortalecendo o entendimento sobre o tema. As percepções dos gestores, assim como os resultados identificados, podem auxiliar outras organizações, especialmente do setor financeiro, a promover práticas de TI gerenciada pelo negócio e apoiar o desenvolvimento de mecanismos de gestão. Além disso, as práticas identificadas fornecem um ponto de partida para ações que podem ser adotadas pelas instituições no contexto da TI gerenciada pelo negócio.

Em relação às limitações do estudo, as entrevistas semiestruturadas ficaram restritas a um número reduzido de gestores. Portanto, pesquisas adicionais podem acrescentar outras perspectivas e fornecer novos resultados. Além disso, apenas gestores de negócio foram entrevistados, e as percepções de profissionais de outras áreas, como gestores de TI, governança e risco, assim como usuários de negócio, não foram investigadas. Também, não foi realizada investigação acerca dos perfis multidisciplinares e dos diferentes níveis de responsabilidade relacionados ao desenvolvimento de soluções de TI no contexto da Shadow IT. Além disso, não foi analisado o fenômeno levando em consideração uma visão mais abrangente das unidades organizacionais.

Como sugestões para trabalhos futuros, novos estudos poderiam: (i) confirmar as práticas identificadas nesta pesquisa, levando em consideração a percepção de outros atores do negócio; (ii) realizar uma análise comparativa das percepções de gestores de TI e de negócio em relação aos benefícios e riscos da Shadow IT; (iii) investigar os benefícios e riscos da Shadow IT em outras organizações públicas ou em organizações de diferentes setores; (iv) explorar as melhores práticas no contexto da TI gerenciada pelo negócio; e (v) pesquisar os fatores críticos de sucesso e indicadores de desempenho para a TI gerenciada pelo negócio. Por fim, estudos futuros poderiam se concentrar no gerenciamento eficaz e eficiente da TI nas áreas de negócio.

Referências

Alt, R., Leimeister, J. M., Priemuth, T., Sachse, S., Urbach, N., & Wunderlich, N. (2020). Software-defined business: implications for IT management. Business & Information Systems Engineering, 62(6), 609-621. https://doi.org/10.1007/s12599-020-00669-6 [ Links ]

Andriole, S. J. (2015). Who owns IT? Communications of the ACM, 58(3), 50-57. http://doi.org/10.1145/2660765 [ Links ]

BACEN. Banco Central do Brasil. (2021). Resolução CMN nº 4.893. https://www.in.gov.br/en/web/dou/-/resolucao-cmn-n-4.893-de-26-de-fevereiro-de-2021-305689973 [ Links ]

BACEN. Banco Central do Brasil. (2017). Resolução nº 4.557. https://normativos.bcb.gov.br/Lists/Normativos/Attachments/50344/Res_4557_v7_L.pdf [ Links ]

Behrens, S., & Sedera, W. (2004). Why do shadow systems exist after an ERP implementation? Lessons from a case study. In Proceedings of the Pacific Asia Conference on Information Systems (PACIS2004), Shanghai, China, (pp. 153-166). Electronic Commerce Research Centre, Sun Yat-sen University. [ Links ]

Candal, D. M., Gaspar, M. A., Costa, I., de Magalhães, F. L. F., & Ferreira, R. A. (2022). Influência de práticas de gestão do conhecimento aplicadas ao desenvolvimento ágil de software. RISTI - Revista Ibérica de Sistemas e Tecnologias de Informação, (48), 74-88. https://doi.org/10.17013/risti.48.74-88 [ Links ]

Chua, C., Storey, V., & Chen, L. (2014). Central IT or Shadow IT? Factors shaping users’ decision to go rogue with IT. In Proceedings of the International Conference on Interaction Sciences (ICIS 2014). Association for Information Systems. [ Links ]

Creswell, J. W., & Creswell, J. D. (2021). Projeto de pesquisa: Métodos qualitativo, quantitativo e misto. Penso Editora. [ Links ]

De Haes, S., & Van Grembergen, W. (2004). IT governance and its mechanisms. Information Systems Control Journal, 1, 27-33. [ Links ]

Fürstenau, D., Rothe, H., & Sandner, M. (2021). Leaving the shadow: A configurational approach to explain post-identification outcomes of shadow IT systems. Business & information systems engineering, 63, 97-111. https://doi.org/10.1007/s12599-020-00635-2 [ Links ]

Györy, A., Cleven, A., Uebernickel, F., & Brenner, W. (2012). Exploring the shadows: IT governance approaches to user-driven innovation. In Proceedings of the 20th European Conference on Information Systems, Barcelona, Spain. [ Links ]

Haag, S., & Eckhardt, A. (2017). Shadow it. Business & Information Systems Engineering, 59, 469-473. [ Links ]

Hakvoort, D. (2022). Exploring possible consequences of shadow-IT usage within a self-managing team context. [Master Thesis in Business Administration, Radboud University]. https://theses.ubn.ru.nl/handle/123456789/12260 [ Links ]

Kitchenham, B. (2004). Procedures for performing systematic reviews. Keele University, 33(2004), 1-26. [ Links ]

Klotz, S., Westner, M., & Strahringer, S. (2022). Critical success factors of business-managed IT: it takes two to tango. Information Systems Management, 39(3), 220-240. https://doi.org/10.1080/10580530.2021.1938300 [ Links ]

Klotz, S., Westner, M., & Strahringer, S. (2020). From Shadow IT to business-managed IT and back again: How responsibility for IT instances evolves over time. In Proceedings of the Pacific Asia Conference on Information Systems (PACIS2020), Dubai. [ Links ]

Klotz, S., Kopper, A., Westner, M., & Strahringer, S. (2019). Causing factors, outcomes, and governance of shadow IT and business-managed IT: a systematic literature review. International Journal of Information Systems and Project Management, 7(1), 15-43. https://doi.org/10.12821/ijispm070102 [ Links ]

Kopper, A., Westner, M., & Strahringer, S. (2020). From Shadow IT to Business-managed IT: a qualitative comparative analysis to determine configurations for successful management of IT by business entities. Information Systems and e-Business Management, 18(2), 209-257. https://doi.org/10.1007/s10257-020-00472-6 [ Links ]

Kopper, A., Klotz, S., Westner, M., & Strahringer, S. (2019). Shadow IT and business-managed IT: practitioner perceptions and their comparison to literature. Journal of Information Technology Management, 30(4), 1-25. [ Links ]

Kopper, A., Fuerstenau, D., Zimmermann, S., Rentrop, C., Rothe, H., Strahringer, S., & Westner, M. (2018). Business-managed IT: a conceptual framework and empirical illustration. In Proceedings of the 26th European Conference on Information Systems (ECIS2018), Portsmouth, UK. https://doi.org/10.4018/IJITBAG.2018070104 [ Links ]

Kostova, T. (1999). Transnational transfer of strategic organizational practices: A contextual perspective. Academy of management review, 24(2), 308-324. https://doi.org/10.2307/259084 [ Links ]

Mallmann, G. L. (2016). Antecedentes do comportamento de uso da Shadow IT e sua relação com o desempenho individual. [Master Thesis in Management, School of Administration, Federal University of Rio Grande do Sul - UFRGS]. UFRGS repository. https://www.lume.ufrgs.br/handle/10183/144328 [ Links ]

Mallmann, G. L., Maçada, A. C. G., & Eckhardt, A. (2018). We are Social: a Social Influence Perspective to investigate Shadow IT Usage. In Proceedings of European Conference on Information Systems, (pp. 190). https://aisel.aisnet.org/ecis2018_rp/190 [ Links ]

Mallmann, G. L., Maçada, A. C. G., Oliveira, M. (2016). Can Shadow IT Facilitate Knowledge Sharing in Organizations? An Ex-Ploratory Study. In Proceedings of the 17th European Conference on Knowledge Management-ECKM 2016, Ulster, Belfast, Ireland, (pp. 550-558). [ Links ]

Orr, S. G., Bonyadi, C. J., Golaszewski, E., Sherman, A. T., Peterson, P. A., Forno, R., & Rodriguez, J. (2022). Shadow IT in higher education: survey and case study for cybersecurity. Cryptologia, 1-65. https://doi.org/10.1080/01611194.2022.2103754 [ Links ]

Pereira, C., & Ferreira, C. (2015). Identificação de Práticas e Recursos de Gestão do Valor das TI no COBIT 5. RISTI-Revista Ibérica de Sistemas e Tecnologias de Informação, 15(6), 17-33. https://doi.org/10.17013/risti.15.17-33 [ Links ]

Raković, L., Sakal, M., Matković, P., & Marić, M. (2020). Shadow IT-systematic literature review. Information Technology and Control, 49(1), 144-160. https://doi.org/10.5755/j01.itc.49.1.23801 [ Links ]

Ratinaud, P. (2008). Interface de R pour les Analyses Multidimensionnelles de Textes et de Questionnaires. IRaMuTeQ. http://www.iramuteq.org [ Links ]

Rentrop, C., & Zimmermann, S. (2012). Shadow IT evaluation model. In Proceedings of the 2012 Federated Conference on Computer Science and Information Systems (FedCSIS) (pp. 1023-1027). IEEE. [ Links ]

Salviati, M. E. (2017). Manual do Aplicativo Iramuteq (versão 0.7 Alpha 2 e R Versão 3.2.3). http://iramuteq.org/documentation/fichiers/anexo-manual-do-aplicativo-iramuteq-par-maria-elisabeth-salviati [ Links ]

Silic, M. (2015). Shadow it-Steroids for innovation. SSRN Electronic Journal. https://doi.org/10.2139/ssrn.2633004 [ Links ]

Souza, M. A. R. D., Wall, M. L., Thuler, A. C. D. M. C., Lowen, I. M. V., & Peres, A. M. (2018). O uso do software IRAMUTEQ na análise de dados em pesquisas qualitativas. Revista da Escola de Enfermagem da USP, 52. https://doi.org/10.1590/s1980-220x2017015003353 [ Links ]

Steinhueser, M., Waizenegger, L., Vodanovich, S., & Richter, A. (2017). Knowledge Management without Management--Shadow IT in Knowledge-intensive Manufacturing Practices. In Proceedings 25th European Conference on Information Systems (ECIS 2017) (pp. 1647-1662). AIS Electronic Library (AISeL). [ Links ]

Urbach, N., Ahlemann, F., Böhmann, T., Drews, P., Brenner, W., Schaudel, F., & Schütte, R. (2019). The impact of digitalization on the IT department. Business & Information Systems Engineering, 61(4), 123-131. https://doi.org/10.1007/s12599-018-0570-0 [ Links ]

Walters, R. (2013). Bringing IT out of the shadows. Network Security, 2013(4), 5-11. https://doi.org/10.1016/S1353-4858(13)70049-7 [ Links ]

Wasiuk, T., & Lim, F. P. C. (2021). Factors Influencing Business IT Alignment. International Journal of Smart Business and Technology, 9(1), 1-12. https://doi.org/10.21742/IJSBT.2021.9.1.01 [ Links ]

Zimmermann, S., Rentrop, C., & Felden, C. (2014). Managing shadow IT instances - a method to control autonomous IT solutions in the business departments. In Proceedings of the 20th Americas Conference on Information Systems, Savannah, USA, 2014, (pp. 1-12). [ Links ]

Recebido: 14 de Junho de 2023; Aceito: 24 de Agosto de 2023

Este é um artigo publicado em acesso aberto sob uma licença Creative Commons