Em um contexto em que o trabalho remoto se espalha rapidamente e exponencialmente, as empresas e sua força de trabalho procuram ferramentas tecnológicas que favorecem a colaboração. Isso inclui aqueles baseados em software, hardware, aplicativos e/ou serviços em nuvem que, embora não sejam proibidos, também não são fornecidos pela empresa; “Eles estão na sombra da área de TI” e são o começo do conceito “Shadow IT”.
Através de diversas pesquisas de mercado, sabe-se que pelo menos metade dos colaboradores utilizam em seus dispositivos aplicativos que não foram distribuídos por suas equipes de TI, logo, uma proporção similar de dados das companhias são armazenados em nuvens não gerenciadas pelo departamento de tecnologia.
A Forcepoint compartilha alguns dados que nos ajudam a entender, conhecer e gerenciar o risco desse fenômeno. Isso se baseia em sua experiência na implementação de programas de proteção de dados e usuários com seus clientes globalmente e em diferentes setores:
• Para cada aplicativo em nuvem autorizado, existem pelo menos 8 que não são. Se, em média, uma organização usa 5 aplicativos em nuvem, encontramos 40 aplicativos desconhecidos ou não autorizados pela organização.
• Não é economicamente viável replicar ou implementar os controles de segurança existentes nas organizações, em um novo perímetro em torno do colaborador ou do trabalho remoto.
• Sabe-se que ataques e violações de segurança bem-sucedidos são derivados de falhas na implementação dos controles apropriados para esses ambientes.
• No ambiente atual, uma tempestade perfeita foi criada em termos de novos riscos para as organizações que devem ser avaliadas o mais rápido possível e usar arquiteturas do tipo SASE para implementar e integrar os controles sensíveis e de proteção de dados apropriados. Comercial.
• As motivações que levam os funcionários a implementar essas ferramentas devem ser identificadas e analisadas sem informar a área de TI ou mesmo evitar controles de segurança.
• É essencial que os funcionários recebam treinamento de segurança constante. O fator humano é o elo mais fraco da cadeia de segurança cibernética; portanto, é essencial educar para evitar ataques.
Shadow IT representa um risco tanto para as informações confidenciais quanto para os dados confidenciais que a empresa gerencia e pode levar a organização a ser penalizada, multada, desacreditada pela marca e perda de confiança de seus clientes e parceiros de negócios.
“Embora essa infraestrutura ou serviços não autorizados tenham a intenção de otimizar os processos de negócios ou fornecer suporte para a execução de algumas ações, eles representam um risco para a organização. O que é recomendado é realizar análises periódicas para identificar os pontos de Shadow IT, avaliar a necessidade dessas ferramentas não autorizadas, eliminá-los ou substituí-los por tecnologia valorizada e fornecida pela área de tecnologia da informação, com os devidos controles de configuração e segurança. com base nas melhores práticas e alinhadas com o apetite de risco da organização”, comenta Luiz Faro, diretor de engenharia para América Latina da Forcepoint.
