ESET: Utilizarea echipamentelor neautorizate de tip hardware si software de catre angajati este o problema din ce in ce mai acuta in era muncii la distanta sau a celei hibride

Locul de munca post-pandemic de tip hibrid reprezinta o noua faza, care aduce, pe masura ce inaintam in timp, un nivel complet nou de procese IT, lipsit de transparenta, care adauga o noua responsabilitate pentru echipele de securitate IT. Noua provocare lansata de acest nou spatiu de lucru, „din umbra”, este legata de faptul ca riscul cibernetic se amplifica foarte mult. 

Concluzia este ca, fara un control in timp real, utilizarea de catre angajati a software-ului si a echipamentelor, in afara unor reglementari ale departamentul IT, ar putea sa devina o amenintare majora pentru organizatie. Intrebarea este ce se poate face in aceasta privinta, atunci cand pana si dimensiunea problemei este greu de stabilit.

Ce este „shadow IT”?

Sintagma shadow IT exista de ani de zile. Aceasta face referire la orice tip de aplicatie, solutie sau echipament hardware folosit de catre angajati fara acordul si supervizarea departamentului IT. Acestea pot fi, in unele cazuri, tehnologii de nivel business, utilizate si achizitionate fara instiintarea personalului IT. Insa, de cele mai multe ori, sunt tehnologii de larg consum, ce aduc riscuri sporite companiei. 

Shadow IT presupune de asemenea:

• Stocarea de fisiere, de tip consumer-grade, utilizata in paralel cu cea business, pentru o colaborare, considerata mai rapida, în randul angajatilor.
• Instrumentele management de proiect si de productivitate, care pot si ele initial sa ajute la colaborarea angajatilor si pot sa stimuleze capacitatea de a indeplini sarcinile zilnice.
• Mesajele si datele transmise prin diferite platforme, pentru o comunicare mai usoara cu contactele vizate.
• Infrastructura as a Service (IaaS) si Platforma as a Service (PaaS)  - care ar putea fi folosite pentru a gazdui resurse neautorizate.

De ce are loc acest fenomen?

Fenomenul shadow IT apare, de obicei, atunci cand angajatii sunt reticenti fata de instrumentele IT corporative, considerate de ei ineficiente, si care, din perspectiva lor, ingreuneaza productivitatea. Odata cu venirea pandemiei, multe organizatii, fortate de situatie, au permis folosirea de catre personal a dispozitivelor proprii pentru a lucra de acasa. Astfel, s-a deschis o portita pentru descarcarea de aplicatii neautorizate.

Pe fondul strategiei de a „rezolva mai repede lucrurile”, shadow IT este inrautatit de faptul ca managerii IT, insisi, au fost fortati sa suspende unele dintre politicile existente inainte de pandemie, dar si de faptul ca multi angajati nu cunosc politica de securitate corporativa.  Conform unui studiu recent, 76% dintre echipele IT admit ca au situat securitatea pe plan secund in favoarea continuitatii afacerii in era Covid-19, in timp ce 91% confirma ca au fost martorii implementarii unor modificari in fluxurile de lucru ce au avut ca efect direct slabirea securitatii.

Pandemia a incurajat, de asemenea, o folosire mai intensa a shadow IT, pentru ca echipele IT au fost mai putin vizibile fizic pentru angajati. Din punct de vedere psihologic, aceasta constientizare redusa in randul angajatilor a prezentei departamentului IT i-a facut pe acestia predispusi sa nu se supuna politicilor oficiale si a ingreunat procesul prin care utilizatorii validau cu responsabilii IT noile instrumente, inainte de folosire.  

Cercetari recente arata ca, la nivel mondial, 66% dintre cei care lucreaza la distanta au recunoscut ca au incarcat date ale companiei intr-o aplicatie care nu este destinata efectiv pentru lucru pe un echipament business, iar peste jumatate (56%) au declarat ca au folosit in mod frecvent o astfel de aplicatie. Aproape o treime (29%) au marturisit ca au simtit ca utilizarea unei aplicatii care nu este strict conceputa pentru lucru in mediul business poate trece nedetectata si ca au ales aceasta varianta pentru ca solutiile oferite de departamentul IT au fost „absurde”.

Amploarea problemei

Desi folosirea echipamentelor personale in scenarii de lucru de tip BYOD (bring your own device) poate explica partial, in contextul pandemic, riscurile cu care vine shadow IT, problema nu se termina aici. Exista, de asemenea, o amenintare ce nu este luata in considerare, venita din partea anumitor unitati business specifice, care gazduiesc resurse in cloud-ul corporativ de tip IaaS sau PaaS. Vulnerabilitatea de la acest nivel se datoreaza faptului ca multi utilizatori nu dau atentie modelului de responsabilitate comuna in cloud si presupun ca furnizorul de servicii cloud (CSP) este direct si unic raspunzator de securitate. De fapt, securizarea aplicatiilor si a datelor revine organizatiei client.

Chiar insasi natura shadow IT-ului face, din pacate, dificila intelegerea pe deplin a adevaratei extinderi a problemei. Un studiu realizat in 2019 arata ca 64% dintre angajatii din SUA si-au creat cel putin un cont fara a instiinta departamentul IT. Alte cercetari sustin ca, inca de dinainte de pandemie, 65% din personalul care lucra de la distanta utilizeaza instrumente fara aprobarea echipei IT, in timp ce, in prezent, 40% dintre angajati folosesc aplicatii de comunicare si colaborare „in umbra”. O alta analiza interesant a aceluiasi studiu arata ca tendinta de utilizare a shadow IT variaza in functie de varsta: 54% dintre Milennials spun ca practica acest lucru, spre deosebire de doar 15% dintre Baby Boomers.

De ce este shadow IT o amenintare?

Riscul potential pe care shadow IT-ul il poate aduce organizatiei exista si nu poate fi contestat. Putem lua ca exemplu o situatie de la inceputul acestui an, in care o companie de identificare a contactelor din SUA ar fi expus detaliile a 70.000 de persoane, consecinta a folosirii de catre personal a unui „canal de colaborare neautorizat”, partajand informatii prin conturi Google. 

Iata o scurta prezentare a riscului poten?ial al shadow IT-ului pentru organizatii:

• Nu exista un control IT - software-ul ramane fara patch-uri aplicate sau poate fi configurat gresit (de exemplu, cu parole slabe), utilizatorii si datele companiei fiind expuse la atacuri
• Nu sunt utilizate deserori solutii anti-malware business sau alte solutii de securitate pentru protectia retelelor sau a activelor de tip shadow IT
• Nu exista posibilitatea de a controla partajarea accidentala/intentionata a datelor sau scurgerile de informatii
• Provocari mari cu privire la conformitate si audit
• Exista expunere ridicata la pierderea de date, pentru ca aplicatiile si datele shadow IT nu vor fi acoperite de procesele de backup corporative
• Pot sa apara daune financiare si de reputatie in urma unei potentiale incalcari grave a securitatii datelor cu caracter personal si nu numai

Cum ar trebui abordat shadow IT

Echipele IT nu trebuie sa desconsidere amploarea fenomenului shadow IT si riscul serios pe care il presupune. Din fericire, exista practici pentru a-l diminua:

• Implementati o procedura comunicata clar, necesara pentru obtinerea unei aprobari de utilizare si elaborati o politica cuprinzatoare pentru a face fata shadow IT-ului, incluzand o lista de echipamente software si hardware (aprobate si neaprobate) 
• Incurajati transparenta in randul angajatilor, initiind un dialog sincer in ambele sensuri si oferind cursuri de instruire pentru impactul potential al shadow IT-ului
• Ascultati feedback-ului angajatilor si adaptati politicile interne cu referire la instrumentele care functioneaz? sau nu. Poate fi cel mai bun moment pentru a echilibra mai bine securitatea si confortul muncii de acasa, printr-o adaptare a politicilor la noua era de lucru in sistem hibrid
• Luati masurile adecvate si folositi instrumente de monitorizare pentru a detecta shadow IT-ul in companie sau oricare alte activitati riscante

Practicile de shadow IT sporesc riscul cibernetic si extind suprafata de atac la nivel corporativ. Acest fenomen a ajuns la dimensiunea actuala pentru ca instrumentele si politicile folosite in prezent sunt deseori privite ca extrem de restrictive. Un  remediu poate veni din partea departamentelor IT, nevoite sa-si adapteze propria cultura pentru a se apropia cat mai mult de nevoile fortei de lucru din organizatie.

ESET, un lider global pe piata de solutii de securitate cibernetica, cu peste 30 de ani de experienta si inovatie, ofera o paleta de solutii antivirus si antimalware, cu protectie multi-strat integrata, care pot depista din timp atacuri tip ransomware, evitand astfel daunele severe la nivelul resurselor si reputatiei companiei. 

ESET PROTECT Advanced este o solutie antivirus si anti-malware destinata nevoilor IMM-urilor si ofera, prin layer-ul ESET Dynamic Threat Defense protectie de tip cloud-sandbox pentru sisteme (impotriva ransomware-ului si amenintarilor de tip zero-day) dar si protectie dedicata a datelor la acces neautorizat in caz de furt sau pierdere echipamente, prin criptarea completa a hard disk-urilor (pentru datele stocate pe laptopuri). Produsul raspunde, asadar, provocarii de a gestiona si proteja retelele IT business in fata amenintarilor informatice tot mai dinamice. 

Solutia poate fi testata gratuit, in infrastructura din compania dumneavoastra, fara nicio obligatie ulterioara. Pentru mai multe detalii ai pentru descarcarea unei variante de test, da?i click aici.