Info

(P) ESET: Utilizarea echipamentelor neautorizate de tip hardware şi software de către angajaţi este o problemă de securitate din ce în ce mai acută în era muncii hibride

(P) ESET: Utilizarea echipamentelor neautorizate de tip...

Autor: Publicitate

21.02.2022, 08:00 194
 

În perioada pandemiei, multe organizaţii au acordat prioritate continuităţii afacerii în detrimentul securităţii cibernetice. Accentul a fost pus, în special la începutul acestei interval, doar pe ducerea la bun sfârşit a taskurilor – sprijinirea unei treceri rapide la lucrul la distanţă şi găsirea de noi modalităţi de a ajunge la clienţi. Acest lucru a însemnat slăbirea anumitor politici de securitate pentru a sprijini personalul, pe măsură ce acesta a făcut ajustări majore ale stilului de lucru, o strategie cu siguranţă justificabilă. 

Dar, pe măsură ce am intrat într-o nouă fază, caracterizată de locul de muncă post-pandemic de tip hibrid, s-a conturat, de asemenea, un nivel complet nou de procese IT, lipsit de transparenţă, de care echipele de securitate IT sunt acum responsabile. Noua provocare este legată de faptul că riscul cibernetic prosperă în acest nou spaţiu de lucru, „din umbră”.

Concluzia este că utilizarea de către angajaţi a software-ului şi a echipamentelor, în afara limitelor impuse de departamentul IT, ar putea să devină o ameninţare majoră pentru organizaţie, dacă nu este controlată. Întrebarea este ce se poate face în privinţa aceasta, atunci când până şi amploarea problemei poate fi dificil de desluşit.

 

Ce este „shadow IT”?

Noţiunea de shadow IT există de ani de zile. Termenul generic se referă la orice aplicaţie, soluţie sau echipament hardware folosit de angajaţi fără acordul şi controlul departamentului IT. Uneori, acestea sunt tehnologii de nivel business, cumpărate şi utilizate fără înştiinţarea personalului IT. De cele mai multe ori, însă, este vorba de tehnologii de larg consum, ceea ce poate expune organizaţia la riscuri suplimentare.

Există diverse aspecte importante, legate de shadow IT, ce trebuie luate în considerare:

 
  • Stocarea de fişiere de tip consumer-grade, prin care angajaţii încearcă să colaboreze mai eficient între ei.
  • Instrumentele de productivitate şi management de proiect care pot, de asemenea, stimula colaborarea şi capacitatea personalului de a îndeplini sarcinile de zi cu zi.
  • Mesajele şi e-mail-urile transmise pentru a facilita o comunicare mai fluidă atât cu contactele de la locul de muncă, cât şi cu cele din afara serviciului.
  • Sistemele cloud de tip Infrastructure as a Service (IaaS) şi Platform as a Service (PaaS), care ar putea fi utilizate pentru a găzdui resurse neautorizate.
 

De ce are loc acest fenomen?

Shadow IT apare, de obicei, pentru că angajaţii s-au săturat de instrumentele IT corporative ineficiente, care din perspectiva lor îngreunează productivitatea. Odată cu apariţia pandemiei, multe organizaţii au fost forţate să permită personalului să-şi folosească dispozitivele personale pentru a lucra de acasă. Acest lucru a deschis calea pentru descărcări de aplicaţii neautorizate.

Shadow IT este agravat de faptul că mulţi angajaţi nu cunosc politica de securitate corporativă sau de faptul că managerii IT, înşişi, au fost forţaţi să suspende unele dintre politicile existente înainte de pandemie, pentru a „rezolva mai repede lucrurile”. Într-un studiu recent, 76% dintre echipele IT recunosc că securitatea a trecut pe un plan secund în favoarea continuităţii afacerii în timpul pandemiei, în timp ce 91% confirmă că s-a pus presiune pe o serie de modificări în fluxurile de lucru care au condus la o slăbire a securităţii.

Este posibil ca pandemia să fi încurajat, de asemenea, o utilizare mai intensă a shadow IT, deoarece înseşi echipele IT erau mai puţin vizibile pentru angajaţi. Acest lucru a îngreunat procesul prin care utilizatorii verificau cu responsabilii IT noile instrumente înainte de folosire, şi poate că, din punct de vedere psihologic, i-a făcut pe aceştia mai predispuşi să nu se supună politicilor oficiale. 

Un alt studiu recent susţine că, la nivel mondial, peste jumătate (56%) dintre cei care lucrează la distanţă au declarat că au folosit o aplicaţie care nu este destinată efectiv pentru lucru pe un echipament business, iar 66% au recunoscut că au încărcat date ale companiei în aceasta. Aproape o treime (29%) au mărturisit că au simţit că pot scăpa nedetectaţi folosind o aplicaţie care nu este strict concepută pentru lucru în mediul business şi că au ales această cale pentru că soluţiile propuse de departamentul IT au fost „absurde”.

 

Amploarea problemei

În timp ce utilizarea echipamentelor personale în scenarii de lucru BYOD (bring your own device) în contextul pandemic poate explica parţial riscurile cu care vine shadow IT, povestea nu se încheie aici. Există, de asemenea, o ameninţare care vine din partea anumitor unităţi business specifice, care găzduiesc resurse în cloud-ul corporativ IaaS sau PaaS, şi care, nu este luată în considerare. Problema care survine la acest nivel este că mulţi înţeleg greşit natura modelului de responsabilitate comună în cloud şi presupun că furnizorul de servicii cloud (CSP) se va ocupa de securitate. De fapt, securizarea aplicaţiilor şi a datelor este responsabilitatea organizaţiei client.

Din păcate, însăşi natura shadow IT-ului face dificilă înţelegerea adevăratei dimensiuni a problemei. Un studiu din 2019 arată că 64% dintre angajaţii din SUA şi-au creat cel puţin un cont fără a implica departamentul IT. Cercetări separate susţin că 65% din personalul care lucra de la distanţă încă de dinainte de pandemie utilizează instrumente care nu sunt aprobate de IT, în timp ce 40% dintre angajaţii actuali folosesc soluţii de comunicare şi colaborare „în umbră”. Interesant este că acelaşi studiu observă că tendinţa pentru folosirea shadow IT variază în funcţie de vârstă: doar 15% dintre Baby Boomers spun că practică acest lucru, spre deosebire de 54% dintre Milennials.

A picture containing text, personDescription automatically generated

 

De ce este shadow IT o ameninţare?

Incontestabil este însă riscul potenţial pe care shadow IT-ul îl poate aduce organizaţiei. Să luăm ca exemplu un caz de la începutul acestui an, în care o companie de identificare a contactelor din SUA ar fi expus detaliile a 70.000 de persoane, după ce angajaţii au folosit conturi Google pentru a partaja informaţii ca parte a unui „canal de colaborare neautorizat”.

 

Iată o scurtă prezentare a riscului potenţial al shadow IT-ului pentru organizaţii:

  • Nu există un control IT, ceea ce înseamnă că software-ul poate rămâne fără patch-uri aplicate sau poate fi configurat greşit (de exemplu, cu parole slabe), expunând utilizatorii şi datele companiei la atacuri
  • Nu există soluţii anti-malware de tip enterprise sau alte soluţii de securitate care să protejeze activele sau reţelele de tip shadow IT
  • Nu există posibilitatea de a controla scurgerile sau partajarea accidentală/intenţionată a datelor
  • Provocări mari legate de conformitate şi audit
  • Expunerea la pierderea de date, pentru că aplicaţiile şi datele shadow IT nu vor fi acoperite de procesele corporative de back-up
  • Daune financiare şi de reputaţie cauzate de o încălcare gravă a securităţii datelor cu caracter personal şi nu numai
 

Cum ar trebui abordat shadow IT

Prima etapă este înţelegerea scalei potenţiale a ameninţării. Echipele IT nu trebuie să subestimeze răspândirea fenomenului shadow IT şi riscul serios pe care îl reprezintă. Există metode de a-l atenua. Luaţi în considerare următoarele opţiuni:

  • Elaboraţi o politică cuprinzătoare pentru a face faţă shadow IT-ului, incluzând o listă de software şi hardware (aprobat şi neaprobat) şi o procedură comunicată clar, necesară pentru obţinerea unei aprobări de utilizare
  • Încurajaţi transparenţa în rândul angajaţilor, instruindu-i cu privire la impactul potenţial al shadow IT-ului, iniţiind un dialog sincer în ambele sensuri
  • Ascultaţi şi adaptaţi politicile pe baza feedback-ului angajaţilor, cu referire la instrumentele care funcţionează sau nu. Poate fi momentul potrivit pentru o adaptare a politicilor la noua eră de lucru în sistem hibrid, pentru a echilibra mai bine securitatea şi confortul muncii de acasă
  • Folosiţi instrumente de monitorizare pentru a depista utilizarea shadow IT în companie sau a oricărei activităţi riscante şi luaţi măsurile adecvate faţă de atacatorii persistenţi

Shadow IT extinde suprafaţa de atac la nivel corporativ şi sporeşte riscul cibernetic. Acest fenomen a ajuns la dimensiunea din prezent pentru că instrumentele şi politicile actuale sunt adesea considerate excesiv de restrictive. Remedierea acestei stări va necesita ca departamentele IT să-şi adapteze propria cultură pentru a se apropia cât mai mult de forţa de lucru din companii.

ESET, un lider global pe piaţa de soluţii de securitate cibernetică, cu peste 30 de ani de experienţă şi inovaţie, include în portofoliu soluţii antivirus şi anti-malware, potrivite pentru companii de toate dimensiunile.

Pachetele sale oferă protecţie multistratificată integrată, ce poate depista atacurile de tip ransomware în timp util, pentru a evita daune în rândul resurselor şi a reputaţiei companiei dvs. 

ESET PROTECT Advanced este o soluţie antivirus si anti-malware destinată nevoilor companiilor şi oferă, prin layer-ul ESET Dynamic Threat Defense protecţie de tip cloud-sandbox pentru sisteme (împotriva ransomware-ului şi ameninţărilor de tip zero-day) dar şi protecţie dedicată a datelor la acces neautorizat în caz de furt sau de pierdere a echipamentelor, prin criptarea completă a hard disk-urilor (pentru datele stocate pe laptopuri). Produsul răspunde cât mai complet provocării de a gestiona şi proteja reţelele IT business în faţa ameninţărilor informatice tot mai dinamice. 

Soluţia poate fi testată gratuit de către orice companie, fără nicio obligaţie ulterioară. Mai multe detalii despre aceasta şi descărcarea unei variante de test, disponibile aici. 


Graphical user interface, applicationDescription automatically generated

 

Pentru alte știri, analize, articole și informații din business în timp real urmărește Ziarul Financiar pe WhatsApp Channels

AFACERI DE LA ZERO