A ameaça da Shadow IT

O uso de diversos serviços e programas desconhecidos pelas equipes de TI ou de segurança pode gerar problemas. Veja como evitá-los.

É praticamente impossível escolher ferramentas de software que todos gostem. Pelo menos um funcionário sempre conhece um serviço gratuito “dez vezes melhor” do que a escolha da empresa. Se essa pessoa começa a usar e recomendar ativamente essa opção aos colegas de trabalho, você terá um fenômeno conhecido como Shadow IT (TI invisível). Na verdade, em alguns casos, isso pode ajudar as empresas a encontrarem uma solução que melhor se adapte as suas necessidades comerciais, mas, na maioria das vezes, causa apenas uma enorme dor de cabeça.

Se as pessoas fossem mais atentas, priorizariam a segurança e deixariam a proatividade neste quesito para depois. Mas vivemos em um mundo imperfeito e os funcionários costumam usar serviços de compartilhamento de arquivos, aplicativos de e-mail, redes sociais ou serviços de mensagens sem pensar duas vezes e, só depois ponderam sobre as consequências -quando o fazem.

O problema não é necessariamente que a ferramenta possa ser um novo app de mensagens instantâneas gratuito mal acabado. Pode ser até um serviço consolidado. A questão é que nem os especialistas em segurança, se sua empresa possui esse perfil, nem seu time de TI, sabem o que está acontecendo. E isso significa que o aplicativo não autorizado é deixado de fora dos modelos de ameaças à infraestrutura, diagramas de fluxo de dados e decisões básicas de planejamento. E isso, consequentemente, é pedir para gerar problemas.

Probabilidade de vazamentos

Quem sabe que armadilhas podem estar associadas ao uso de ferramentas de terceiros? Qualquer aplicativo, baseado em nuvem ou hospedado localmente, pode ter muitas configurações sutis que controlam a privacidade. E de modo algum todos os funcionários são igualmente especialistas em softwares. Há muitos casos em que um funcionário deixa documentos contendo dados pessoais não protegidos no Google Docs, por exemplo.

Por outro lado, os serviços podem ter vulnerabilidades por meio das quais terceiros conseguem obter acesso aos dados. Os desenvolvedores podem corrigir as brechas imediatamente, mas quem garantirá que os funcionários que os utilizam vão instalar todas as patches necessárias para aplicativos? Sem o envolvimento da TI, você não pode ter certeza de que eles receberão um memorando sobre atualização. Além disso, poucas pessoas assumem a responsabilidade de gestão pelos direitos de acesso em aplicativos e serviços não autorizados – por exemplo, revogando privilégios após uma demissão -, caso esse recurso esteja disponível. Em resumo, ninguém é responsável pela segurança dos dados transmitidos ou processados ​​usando serviços não autorizados pela equipe de TI ou de segurança.

Violação de requisitos regulatórios

Atualmente, países de todo o mundo têm suas próprias leis especificando como as empresas devem lidar com dados pessoais. Acrescente a isso os muitos padrões da indústria sobre o assunto. As empresas precisam passar por auditorias periódicas para atender aos requisitos de vários órgãos reguladores. Se uma auditoria descobrir subitamente que os dados pessoais de clientes e funcionários são enviados usando serviços não confiáveis ​​e a TI não tinha ciência, a empresa pode ser multada em valores exorbitantes. Em outras palavras, uma empresa não precisa de uma violação de dados real para ter problemas.

Orçamento indo pelo ralo

Usar uma ferramenta alternativa em vez da recomendada pode parecer algo pequeno, mas para a empresa, isso representa, na melhor das hipóteses, um desperdício de dinheiro. Afinal, se a TI compra licenças para cada participante aprovado no fluxo de trabalho, mas nem todo mundo realmente as usam, então foi dinheiro jogado fora.

O que fazer diante do Shadow IT

O Shadow IT – uso de ferramentas não oficiais na empresa –  precisa ser gerenciado, não combatido. Se for possível mantê-lo sob controle, pode não apenas melhorar a segurança dos dados em sua empresa, mas também encontrar ferramentas genuinamente populares e úteis para serem implementadas para toda equipe.

No momento, em meio à pandemia que tem levado às pessoas a trabalhar em casa, os riscos associados ao uso de aplicativos e serviços não suportados estão aumentando. Os funcionários estão sendo forçados a se adaptarem a novas condições e, geralmente, tentam encontrar novas ferramentas que acreditam serem mais adequadas ao home office. Portanto, adicionamos alguns recursos extras à versão atualizada do Kaspersky Endpoint Security Cloud para detectar o uso de serviços e aplicativos em nuvem não aprovados.

Além disso, o Kaspersky Endpoint Security Cloud Plus também pode bloquear o uso desses serviços e aplicativos. Essa versão da solução também oferece acesso ao Kaspersky Security for Microsoft Office 365 que garante camada adicional de proteção ao Exchange Online, OneDrive, SharePoint Online e Microsoft Teams.

O recurso Cloud Discovery permite elaborar uma lista de serviços em nuvem autorizados que seguem as políticas corporativas de segurança para assegurar que seja respeitada. Os dados sobre as categorias de serviços e aplicativos exclusivos usados ficam visíveis em um painel, onde os administradores podem ajustar o acesso a eles para diferentes perfis de usuário e definir privilégios para diferentes grupos de usuários de acordo com suas necessidades de trabalho.

“Muitas empresas recorreram ao home office como única opção para manter a continuidade do negócio. Para os administradores de TI e profissionais de cibersegurança, isso cria desafios adicionais porque necessitam controlar a Shadow IT para não colocar em risco dados corporativos ou expor a empresa a ciberameaças. O KES Cloud proporciona às empresas as ferramentas necessárias”, afirma Claudio Martinelli, diretor geral da Kaspersky na América Latina.

Você pode saber mais sobre nossa solução e adquiri-la na página oficial do Kaspersky Endpoint Security Cloud.

Dicas

Wi-Fi falso a bordo

Mesmo em altitude de cruzeiro, as ameaças cibernéticas ainda podem tornar sua vida digital turbulenta, como comprovado por uma prisão recente. Como se proteger a 30 mil pés acima do nível do mar?