Infraestrutura obsoleta intensifica Shadow IT no setor industrial

Sistemas digitais e físicos fora da visibilidade de risco expõem a infraestrutura de dados, mas ainda são usados para a preservação de anos de ativos tecnológicos. De acordo com Head de SI, a ampliação de conceitos de Security by design ajudarão no controle do ambiente de risco desconhecido

Compartilhar:

Apesar dos esforços movidos pela Cibersegurança na vertical de Indústria, o setor continua sendo altamente visado por agentes hostis em todo o mundo. Em estudo recente publicado pela Fortinet, aproximadamente três quartos das companhias com Tecnologias Operacionais aplicadas relataram ao menos uma invasão sofrida em 2022. Os métodos variam entre malwares (56%) e campanhas de phishing (49%).

É nesse setor que o fenômeno do Shadow IT se mostra ainda mais reincidente. O aumento da complexidade das estruturas digitais das indústrias tornou comum a contratação de softwares e hardwares por conta própria, para evitar problemas com os controles de proteção. Todavia, estes novos sistemas ficam excluídos da visibilidade da Segurança Cibernética, tornando-os alvos desprotegidos contra campanhas cibercriminosas.

Inclusive, na visão de Cristiane Dias, Head de Cybersecurity, o combate à instalação de ativos digitais desconhecidos precisaria ser regulamentado em códigos de conduta e ética das companhias. Dessa forma, as restrições devem se estender para além de softwares não licenciados e alcançar mídias removíveis, HDs externos e tokens fora do conhecimento da SI.

“É uma ocorrência ainda bastante frequente na área, pois são infraestruturas baseadas em grandes legados. Essas heranças costumam envolver maquinários caros e importados, com problemas de obsolescência. Devido a isso, comumente a empresa adquire e aplica tecnologias intermediárias fora do conhecimento da SI visando fazer a transição de uso”, explica Cristiane, em entrevista à Security Report.

Essa realidade costuma responder à maior demanda do negócio por agilidade operacional e criativa. O Centro de Controle de Operações, que gerencia os ambientes OT, depende de um regime constante de inovação. Contudo, a celeridade desmedida desses avanços deixa os setores de TI e Cibersegurança aquém dos projetos.

Cristiane alerta que, sem o know how adequado dos Centros de Controle de Operações (CCO), os problemas decorrentes dos equipamentos desconhecidos não apenas comprometem a camada de proteção como podem gerar consequências judiciais, envolvendo aplicação de pesadas multas dos próprios fabricantes da tecnologia. Ambos impactariam gravemente o funcionamento da empresa.

“Inovações são essenciais à continuidade da organização. Mas a descoberta de um recurso não declarado por um fornecedor durante um escaneamento de rotina pode resultar em uma multa de 10 a 3000 vezes o valor do software. Considerando cada inúmeros ativos não licenciados, o prejuízo cresce exponencialmente, além do dano reputacional”, avisa a executiva.

Security by design e conscientização

Para evitar que a corporação crie vulnerabilidades sem saber, é necessário todo o core business do CCO se conscientizar devidamente sobre os riscos de se criar situações de Shadow IT e da importância de aproximar os profissionais de tecnologia e Cyber dos projetos inovadores do setor industrial, implementando conceitos críticos de Security by Design.

Ao mesmo tempo, a executiva orienta que os Líderes de Segurança precisam também evitar posturas demasiadamente restritivas. Os CISOs devem ser capazes de dialogar com o core business, de forma a convencê-lo dos reais problemas causados por essa prática, posicionando a SI como garantia de inovação e desenvolvimento.

“É por isso que os C-Levels da área precisam ter alta capacidade de influência sobre o negócio. Apenas bloquear os ativos desconhecidos e negar tudo obstrui os canais de comunicação. Nós somos provedores internos de serviço, portanto precisamos demonstrar os riscos do Shadow IT e nos posicionar como suportes da organização, conscientizando e entendendo as dores da operação”, encerra ela.


Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

Toyota Brasil apura possível vazamento de documentos internos

Desde o último fim de semana, grupos de threat intel presentes na Dark Web apontaram que a gangue de ransomware...
Security Report | Destaques

Soft skills são próximos passos na evolução da confiança em Cyber, avaliam CISOs

Pesquisa da consultoria Kroll aponta que os gestores corporativos confiam integralmente nas pessoas de Segurança para responder aos riscos Cibernéticos....
Security Report | Destaques

Insegurança cibernética e IA são destaques do Security Leaders em BH

O Congresso será realizado no dia 23 deste mês com discussões pautadas na imaturidade em Cyber Security e o quanto...
Security Report | Destaques

Polícia Civil do DF prende suspeitos de roubar 76 milhões de senhas pessoais e governamentais

De acordo com a corporação, os hackers chegaram a incluir todas as credenciais comprometidas em um banco de dados, visando...