shadow it

În pandemie, multe organizații au acordat o importanță mult mai ridicată continuității afacerii în defavoarea securității cibernetice, scriu specialistii in securitate de la Eset.

Ducerea la bun sfârșit a taskurilor a fost prioritatea principală, urmată mai apoi de sprijinirea unei treceri rapide la lucrul la distanță și găsirea de noi modalități de a ajunge la clienți. Acest lucru a însemnat slăbirea multor politici de securitate pentru a sprijini personalul pe măsură ce acesta a făcut ajustări majore ale stilului de lucru, o strategie cu siguranță justificabilă din rațiuni imediate de business.

Dar, pe măsură ce s-a intrat într-o nouă fază caracterizată de un stil de muncă hibrid, au apărut o serie de noi procese IT cu vizibilitate foarte redusă pentru echipele de securitate IT. Noile provocări se referă la faptul că riscul cibernetic prosperă în acest nou spațiu de lucru „din umbră”.

Concluzia este că utilizarea de către angajați a software-ului și a dispozitivelor dincolo de limitele stabilite de departamentul IT poate deveni o amenințare majoră pentru o organizație dacă este lăsată necontrolată. Întrebarea este ce se poate face, mai ales în contextul în care până și amploarea problemei este dificil de înțeles?

Ce reprezintă „shadow IT”?

Conceptul de shadow IT există de ani de zile. Termenul generic se referă la orice aplicație, soluție sau hardware folosit de un angajat fără acordul și controlul departamentului IT. Uneori, acestea sunt chiar tehnologii business, însă unele achiziționate și utilizate fără știrea personalului IT. De cele mai multe ori, însă, acestea sunt tehnologii pentru uz non-business, care pot expune organizațiile la riscuri suplimentare.

Shadow IT înseamnă deseori:

Stocarea de fișiere de tip consumer-grade, prin care angajații încearcă să colaboreze mai rapid între ei. Instrumentele de productivitate și management de proiect alese pentru a stimula colaborarea și pentru a duce sarcinile la bun sfârșit, dar fără o consultare cu departamentul IT Mesajele trimise prin diverse platforme pentru a facilita o comunicare fluidă atât cu contactele de la locul de muncă, cât și cu cele din afara serviciului. Sistemele cloud de tip Infrastructure as a Service (IaaS) și Platform as a Service (PaaS), care ar putea fi utilizate pentru a găzdui neautorizat resurse.

  • Stocarea de fișiere de tip consumer-grade, prin care angajații încearcă să colaboreze mai rapid între ei.
  • Instrumentele de productivitate și management de proiect alese pentru a stimula colaborarea și pentru a duce sarcinile la bun sfârșit, dar fără o consultare cu departamentul IT
  • Mesajele trimise prin diverse platforme pentru a facilita o comunicare fluidă atât cu contactele de la locul de muncă, cât și cu cele din afara serviciului.
  • Sistemele cloud de tip Infrastructure as a Service (IaaS) și Platform as a Service (PaaS), care ar putea fi utilizate pentru a găzdui neautorizat resurse.

De ce are loc acest fenomen?

Shadow IT apare adesea pentru că angajații s-au săturat de instrumentele IT business care li se par ineficiente în noul context și care, din perspectiva lor, îngreunează productivitatea. Odată cu debutul pandemiei, multe organizații au fost forțate să permită angajaților să lucreze de acasă folosind dispozitivele lor personale. Acest lucru a deschis largă calea pentru descărcări neautorizate de aplicații.

Shadow IT este exacerbat de faptul că mulți angajați nu înțeleg politicile de securitate ale companiei, sau managerii IT, înșiși, sunt forțați să suspende unele politici pentru a „rezolva lucrurile mai repede”. Într-un studiu recent, 76% dintre echipele IT au recunoscut că securitatea a lăsat loc continuității afacerii în timpul pandemiei, în timp ce 91% au confirmat că unele schimbări în fluxurile de lucru au cauzat stres care a slăbit mai departe securitatea.

Este posibil ca pandemia să fi încurajat, de asemenea, o utilizare mai intensă a shadow IT, deoarece înseși echipele IT erau mai puțin vizibile pentru angajați. Acest lucru a îngreunat procesul prin care utilizatorii verificau cu responsabilii IT noile instrumente înainte de folosire, și poate că, din punct de vedere psihologic, i-a făcut pe aceștia mai predispuși să nu se supună politicilor oficiale.

Un alt studiu recent a constatat că mai mult de jumătate (56%) dintre cei care lucrează de la distanță, la nivel global, au declarat că aplicațiile pe care le folosesc nu sunt de fapt destinate să funcționeze pe un echipament business, 66% recunoscând că au încărcat pe aplicații sau echipamente neconforme date ale companiei. Aproape o treime (29%) au mărturisit că au simțit că pot scăpa nedetectați folosind o aplicație care nu este strict concepută pentru lucru în mediul business și că au ales această cale pentru că soluțiile propuse de departamentul IT au fost „absurde”.

Amploarea problemei

În timp ce utilizarea dispozitivelor personale în scenariile de lucru BYOD (bring your own device) în contextul pandemiei poate explica parțial riscurile de shadow IT, povestea nu se termină aici. Există, de asemenea, o amenințare care vine din partea anumitor unități business specifice, care găzduiesc resurse în cloud-ul corporativ IaaS sau PaaS, și care, nu este luată în considerare. Problema care survine la acest nivel este că mulți înțeleg greșit natura modelului de responsabilitate comună în cloud și presupun că furnizorul de servicii cloud (CSP) se va ocupa de securitate. De fapt, securizarea aplicațiilor și a datelor este responsabilitatea organizației client.

Din păcate, însăși natura shadow IT-ului face dificilă înțelegerea adevăratei dimensiuni a problemei. Un studiu din 2019 a constatat că 64% dintre angajații din SUA și-au creat cel puțin un cont fără implicarea echipei IT. Cercetări separate susțin că 65% din personalul care lucra remote încă de dinainte de pandemie utilizează instrumente care nu sunt aprobate de IT, în timp ce 40% dintre angajații actuali folosesc soluții de comunicare și colaborare „în umbră”. Interesant este că același studiu observă că tendința pentru folosirea shadow IT variază în funcție de vârstă: doar 15% dintre Baby Boomers spun că practică acest lucru, spre deosebire de 54% dintre Milennials.

De ce reprezintă shadow IT o amenințare?

Riscul potențial pe care shadow IT-ul îl poate aduce organizației este incontestabil. Să luăm ca exemplu un caz de la începutul acestui an, în care o companie de identificare a contactelor din SUA ar fi expus detaliile a 70.000 de persoane după ce angajații au folosit conturi Google pentru a partaja informații ca parte a unui „canal de colaborare neautorizat”.

Iată o prezentare succintă a riscului potențial al shadow IT-ului pentru organizații:

  • Nu există un control IT, software-ul rămâne fără patch-uri aplicate sau poate fi configurat greșit (de exemplu, cu parole slabe), expunând utilizatorii și datele companiei la atacuri
  • Nu sunt utilizate de cele mai multe ori soluții anti-malware business sau alte soluții de securitate care să protejeze activele sau rețelele de tip shadow IT
  • Nu există posibilitatea de a controla scurgerile sau partajarea accidentală/intenționată a datelor
  • Provocări mari legate de conformitate și audit
  • Expunerea la pierderea de date, pentru că aplicațiile și datele shadow IT nu vor fi acoperite de procesele de backup business
  • Daune financiare și de reputație cauzate de o încălcare gravă a securității datelor cu caracter personal și nu numai

Abordarea shadow IT

Echipele IT nu trebuie să subestimeze răspândirea fenomenului shadow IT și riscul pe care acesta îl reprezintă. Există metode de a-l atenua:

  • Elaborați o politică cuprinzătoare pentru a face față shadow IT-ului, incluzând o listă de software și hardware (aprobat și neaprobat) și o procedură comunicată clar, necesară pentru obținerea unei aprobări de utilizare
  • Încurajați transparența în rândul angajaților, instruindu-i cu privire la impactul potențial al shadow IT-ului, inițiind un dialog sincer în ambele sensuri
  • Ascultați și adaptați politicile pe baza feedback-ului angajaților, cu referire la instrumentele care funcționează sau nu. Poate fi momentul potrivit pentru o adaptare a politicilor la noua eră de lucru în sistem hibrid, pentru a echilibra mai bine securitatea și confortul muncii de acasă
  • Folosiți instrumente de monitorizare pentru a depista utilizarea shadow IT în companie sau a oricărei activități riscante și luați măsurile adecvate

Shadow IT extinde suprafața de atac la nivel corporativ și sporește riscul cibernetic. Acest fenomen a ajuns la dimensiunea din prezent pentru că instrumentele și politicile actuale sunt adesea excesiv de restrictive. Remedierea acestei stări necesită ca departamentele IT să-și adapteze propria cultură pentru a se apropia cât mai mult de forța de lucru din companii.