Estudo recente da Kaspersky mostra que a tendência de manter equipes remotas ou híbridas coloca em risco empresas a ciberataques devido ao uso de programas não autorizados. Dados do relatório “Human Factor” revelam que 58% das organizações no Brasil já sofreram ciberincidentes nos últimos dois anos e 8% foram devido à Shadow IT.
A Shadow IT é uma parte da infraestrutura de TI das empresas que está fora da visão dos departamentos de TI e segurança, ou seja, aplicativos, dispositivos e serviços em nuvem que não seguem as políticas de proteção definidas pelas organizações. O estudo também mostra que esse risco gera diversas consequências graves, e seu resultado jamais é insignificante – sendo que as mais comuns são o vazamento de dados confidenciais ou danos diretos aos negócios.
Muitos casos foram encontrados no estudo da Kaspersky, que revelou que a indústria de TI foi a mais afetada, sofrendo 16% dos incidentes cibernéticos devido ao uso de programas não autorizados em 2022 e 2023. Outros setores atingidos pelo problema foram infraestrutura crítica e organizações de transporte e logística, que viram 13% dos casos de ciberataques.
O caso Okta claramente prova os riscos em questão. Um funcionário que usava uma conta pessoal do Google em um dispositivo corporativo permitiu inadvertidamente que um grupo de cibercriminosos ganhasse acesso não autorizado ao sistema de suporte ao cliente da companhia. Lá, conseguiram roubar arquivos contendo tokens de sessão que poderiam então ser usados para realizar ataques. Este ciberincidente durou 20 dias e impactou 134 clientes da empresa, conforme o relatório da Okta.
Vale lembrar que programas comerciais mais populares não são os únicos responsáveis pela Shadow IT. Especialistas em TI e programadores, muitas vezes, criam programas personalizados para otimizar suas rotinas de trabalho ou para resolver problemas específicos. No entanto, nem sempre solicitam autorização ao departamento de segurança para usar essas aplicações, e elas podem ser a causa dos problemas se não forem supervisionadas corretamente.
A Shadow IT é um desafio pelo fato de que muitas organizações não têm visibilidade sobre quais programas ou serviços são usados e quais os possíveis impactos que estes terão à segurança corporativa. A boa notícia é que a motivação dos funcionários para usar aplicações não autorizadas nem sempre é maliciosa, pelo contrário. Os funcionários normalmente usam essa opção para melhorar suas performances, pois acreditam que o conjunto de softwares permitidos é insuficiente, ou simplesmente preferem o programa familiar de seu computador pessoal.
“As soluções em nuvem foram as grandes estrelas que mantiveram as operações das empresas durante o isolamento social e elas também são responsáveis por inovações importantes até os dias de hoje. O problema existe apenas quando esses programas não são protegidos corretamente”, destaca Roberto Rebouças, gerente-executivo da Kaspersky no Brasil.
“Para gerenciar esse desafio, as organizações precisam ter visibilidade de quais programas ou serviços são usados e, a partir disso, analisar quais podem ser aprovados com a criação de políticas de proteção e quais precisam podem ser substituídos por opções já autorizadas sem impactar a operação e processos. Dessa forma, as organizações podem mitigar esse risco e ter um maior equilíbrio entre segurança, inovação e desempenho”.
Para mitigar os riscos da Shadow IT nas empresas, a Kaspersky recomenda os seguintes passos:
- Faça com que as áreas de negócios e de TI colaborem para discutir regularmente as necessidades de negócios e para dar retornos sobre os serviços de TI em uso a fim de criar novas e melhoradas aplicações.
- Realize regularmente um inventário dos ativos de TI e escaneie a rede interna para evitar o surgimento de hardware e softwares não autorizados.
- Quanto aos dispositivos pessoais dos funcionários, use uma rede segmentada para esse acesso e limite o acesso apenas às informações essenciais para o trabalho.
- Treine todos os colaboradores para que eles tenham consciência de como suas atitudes podem colocar em risco a segurança da empresa. Invista também na capacitação dos especialistas em cibersegurança para desenvolver boas práticas na segurança da empresa.
- Use uma proteção corporativa que dê visibilidade aos riscos associados à Shadow IT.
- Limite o acesso dos funcionários a serviços terceiros externos e, se possível, bloqueie os recursos de troca de informações via nuvem mais populares.
