În contextul pandemic, multe dintre organizații au prioritizat continuitatea afacerii în detrimentul securității cibernetice. În special la începutul acestei perioade, eforturile s-au concentrat pe ducerea la bun sfârșit a taskurilor, sprijinirea unei migrări rapide la sistemul de lucru de la distanță și găsirea de noi modalități de a ajunge la clienți. Implicit, acest demers a venit odată cu slăbirea anumitor politici de securitate pentru a sprijini personalul pe măsură ce acesta a făcut ajustări majore ale stilului de lucru, o strategie cu siguranță justificabilă.

Utilizarea echipamentelor neautorizate de tip hardware și software de către angajați este o problemă de securitate din ce în ce mai acută în era muncii hibrideFoto: ESET

Ne aflăm acum, însă, într-o altă etapă a scenariului de muncă de la distanță, unde este prevalent sistemul de tip hibrid, care presupune un nivel complet nou de procese IT, lipsit de transparență, de care echipele de securitate IT sunt acum responsabile. Provocările vin din faptul că riscul cibernetic prosperă în acest nou spațiu de lucru, „din umbră”.

Astfel, utilizarea software-ului și a echipamentelor în afara limitelor impuse de departamentul IT de către angajați ar putea reprezenta o amenințare demnă de luat de serios, câtă vreme nu este atent controlată. Întrebarea este ce se poate face în privința aceasta, atunci când până și amploarea problemei poate fi dificil de deslușit.

Ce înseamnă „shadow IT”?

Conceptul de shadow IT nu este unul nou. Termenul generic se referă la aplicațiile, soluțiile software sau echipamentele hardware folosite de angajați fără acordul și controlul departamentului IT. Aici pot fi incluse și tehnologiile business cumpărate și utilizate fără înștiințarea personalului IT. De cele mai multe ori, însă, este vorba de tehnologii de larg consum, ceea ce poate expune organizația la riscuri suplimentare.

Vom enumera câteva aspecte importante, legate de shadow IT, ce trebuie luate în considerare:

  • Instrumentele de productivitate și management de proiect care pot stimula colaborarea și capacitatea personalului de a duce la bun sfârșit sarcinile de zi cu zi.
  • E-mail-urile și mesajele transmise prin diverse platforme pentru a facilita o comunicare mai fluidă atât cu contactele de la locul de muncă, cât și cu cele din afara serviciului.
  • Stocarea de tip consumer-grade a unor date și fișiere, menită să faciliteze colaborarea angajaților
  • Sistemele cloud de tip Infrastructure as a Service (IaaS) și Platform as a Service (PaaS), care ar putea fi utilizate pentru a găzdui resurse neautorizate.

Care sunt cauzele pentru care se produce acest fenomen?

Shadow IT apare atunci când angajații se satură de instrumentele IT corporative ineficiente, care, din perspectiva lor, îngreunează productivitatea. De când a început pandemia, angajații au fost nevoiți în unele cazuri să-și folosească dispozitivele personale pentru a-și desfășura activitatea, un lucru care a condus inevitabil și la descărcări de aplicații neautorizate.

Efectele shadow IT sunt accentuate de faptul că nu toți angajați cunosc politica de securitate corporativă sau de faptul că managerii IT, înșiși, au fost forțați să suspende unele dintre politicile existente înainte de pandemie, pentru a „a grăbi tranziția către noul sistem de lucru”. Un studiu recent arată că peste 3 sferturi dintre echipele IT au admis că securitatea a trecut pe un plan secund în favoarea continuității afacerii în timpul pandemiei, iar 91% dintre respondenți confirmă că s-au axat pe o serie de modificări în fluxurile de lucru, care au presupus implicit o slăbire a securității.

Se poate spune, așadar, că pandemia a încurajat accentuarea fenomenului shadow IT. În același timp, utilizatorii nu au mai beneficiat de aceleași posibilități de verificare, cu responsabilii IT, a noilor instrumente folosite. Acest lucru poate că i-a determinat și să nu se supună politicilor oficiale la fel ca înainte.

Conform datelor publicate într-un alt studiu recent, peste jumătate dintre angajații remote la nivel global folosesc o aplicație care nu este destinată exclusiv pentru munca pe un echipament business, iar 66% au recunoscut că au încărcat date ale companiei în aceasta. Aproape o treime dintre respondenți a crezut că nu vor fi detectate aplicațiile care nu sunt concepute pentru activitățile business și că au ales această cale din cauză că au găsit nepotrivite soluțiile propuse de departamentul IT.

Amploarea problemei

Riscurile aduse de shadow IT pot fi asociate, în parte, echipamentelor personale folosite în scenarii de lucru de tip BYOD (bring your own device) însă, în realitate, există mai multe aspecte ce trebuie discutate. O altă amenințare vine din partea anumitor unități business specifice, ce găzduiesc resurse în cloud-ul corporativ IaaS sau PaaS. Problemele la acest nivel se datorează faptului că mulți înțeleg greșit natura modelului de responsabilitate comună în cloud și presupun că furnizorul de servicii cloud (CSP) este autoritatea responsabilă de securitate. Organizației client i se atribuie, de fapt, securizarea aplicațiilor și a datelor.

Natura shadow IT-ului îngreunează și mai mult înțelegerea adevăratei dimensiuni a problemei. Un studiu din 2019 arată că 64% dintre angajații din SUA și-au creat cel puțin un cont online fără a înștiința departamentul IT. Alte date indică că practica de a folosi instrumente neaprobate de departamentul IT este una comună și în rândul angajaților care lucrau remote de dinainte de pandemie (65%), în timp ce 40% dintre angajații actuali folosesc soluții de comunicare și colaborare „în umbră”. O concluzie interesantă a aceluiași studiu relevă că vârsta joacă un rol important în tendința de folosire a shadow IT: doar 15% dintre Baby Boomers ar practica acest lucru, spre deosebire de 54% în cazul Millennials.

De ce reprezintă shadow IT o amenințare?

Potențialul risc care se resfrânge asupra companiei pe seama practicilor shadow IT e unul real. Să luăm ca referință un caz de anul trecut, în care o companie de identificare a contactelor din SUA ar fi expus datele a 70.000 de persoane după ce angajații au folosit conturi Google pentru a partaja informații ca parte a unui „canal de colaborare neautorizat”.

Iată o scurtă prezentare a riscului potențial al shadow IT-ului pentru organizații:

  • Nu există un control IT clar, ceea ce înseamnă că software-ul poate să nu fie actualizat cu ultimele patch-uri disponibile sau poate fi configurat greșit (de exemplu, cu parole slabe), expunând utilizatorii și datele companiei la atacuri
  • Nu există soluții anti-malware de tip enterprise sau alte soluții de securitate care să protejeze activele sau rețelele de tip shadow IT
  • Nu există posibilitatea de a controla scurgerile de date sau partajarea accidentală/cu bună voie a acestora
  • Provocări mari legate de conformitate cu regulile de confidențialitate a datelor și audit
  • Expunerea la pierderi de date, întrucât procesele de backup nu sunt extinse și la aplicațiile și datele shadow IT
  • Daune financiare și de reputație cauzate de o breșă de securitate a datelor cu caracter personal și nu numai

Cum ar trebui abordat shadow IT

Un prim pas ar fi înțelegerea scalei potențiale a amenințării. Echipele IT nu trebuie să subestimeze răspândirea fenomenului shadow IT și riscul serios pe care îl reprezintă. Există metode ce îl pot atenua. Luați în considerare următoarele măsuri:

  • Elaborați o politică extensivă pentru a face față shadow IT-ului, incluzând o listă cu software-uri și hardware-uri (aprobate și neaprobate) și o procedură comunicată clar, necesară pentru obținerea unei aprobări de utilizare
  • Încurajați transparența în rândul angajaților, instruindu-i cu privire la impactul potențial al acestui fenomen, cu accent pe un dialog sincer în ambele sensuri
  • Ascultați și adaptați politicile pe baza feedback-ului angajaților, cu referire la instrumentele care funcționează sau nu. Poate fi momentul potrivit pentru o adaptare a politicilor la noua eră de lucru în sistem hibrid, pentru a echilibra mai bine securitatea și confortul muncii de acasă
  • Folosiți instrumente de monitorizare pentru a depista utilizarea shadow IT în companie sau a oricărei activități riscante și luați măsurile adecvate față de atacatorii persistenti

Shadow IT extinde suprafața de atac la nivel corporativ și sporește riscul cibernetic. Dimensiunea din prezent a fost atinsă pentru că instrumentele și politicile actuale sunt adesea considerate excesiv de restrictive. Va fi nevoie ca echipele IT să-și adapteze propria cultură pentru a se apropia cât mai mult de forța de lucru din companii.

ESET, lider global pe piața de soluții de securitate cibernetică antivirus, cu un istoric de peste 30 de ani de experiență și inovație, are în portofoliul său soluții antivirus și anti-malware, potrivite pentru companii de toate dimensiunile.

Pachetele sale oferă protecție multistratificată integrată, capabile să depisteze atacurile de tip ransomware din timp, pentru a evita daunele la nivel de resurse și reputație.

ESET PROTECT Advanced reprezintă un pachet antivirus si anti-malware destinat nevoilor companiilor, indiferent de dimensiune. Prin componenta ESET Dynamic Threat Defense oferă protecție de tip cloud-sandbox pentru sisteme (împotriva ransomware-ului și amenințărilor de tip zero-day) dar și protecție dedicată a datelor în fața accesului neautorizat sau în caz de furt/pierdere a echipamentelor, prin criptarea completă a hard disk-urilor (pentru datele stocate pe laptopuri). Produsul răspunde, așadar, provocării de a gestiona și proteja rețelele IT business în fața amenințărilor informatice tot mai dinamice.

Soluția poate fi testată gratuit de către orice companie, fără obligații ulterioare. Mai multe detalii despre aceasta și descărcarea unei variante de test, disponibile aici.

Articol webPR