Articol publicitar

ESET: Utilizarea echipamentelor neautorizate de tip hardware şi software de către angajaţi - o problemă de securitate IT tipică în era muncii hibride sau de la distanţă

0
0
Publicat:
Ultima actualizare:
ESET

Pandemia a determinat o mulţime de companii să prioritizeze desfăşurarea neîntreruptă a afacerii şi să plaseze securitatea cibernetică pe un plan secund.

Începutul acestei perioade a fost marcat de eforturile concentrate pe ducerea la bun sfârşit a sarcinilor, sprijinirea unei migrări rapide la sistemul de muncă de la distanţă şi găsirea de căi noi de a ajunge la clienţi. Implicit, acest demers a venit odată cu slăbirea anumitor politici de securitate pentru a sprijini personalul pe măsură ce acesta a făcut ajustări majore ale stilului de lucru, o strategie cu siguranţă justificabilă. 

În momentul prezent, ne situăm, însă, într-o altă etapă a scenariului de lucru de la distanţă, unde devine tot mai popular sistemul hibrid, ce presupune un nivel total nou de procese IT, lipsit de transparenţă, de care echipele de securitate IT sunt acum responsabile. Riscurile  cibernetice prosperă în acest nou spaţiu de lucru, „din umbră”, aducând, astfel, mai multe probleme.

Astfel, utilizarea software-ului şi a echipamentelor în afara limitelor impuse de departamentul IT de către angajaţi ar putea reprezenta o ameninţare demnă de luat de serios, câtă vreme nu este atent controlată. Întrebarea este ce se poate face în privinţa aceasta, atunci când până şi amploarea problemei poate fi dificil de desluşit.

Cum definim „shadow IT”?

Conceptul de shadow IT nu este deloc nou. În linii mari, se referă la aplicaţiile, software-urile sau echipamentele hardware folosite de angajaţi fără acordul şi controlul departamentului IT, dar include şi tehnologiile de nivel enterprise. Deşi de cele mai multe ori este vorba de utilizarea tehnologii de larg consum, în unele cazuri pot fi chiar şi tehnologii de tip business, care sunt achiziţionate şi utilizate fără notificarea personalului IT. Indiferent de soluţiile „din umbră” folosite, acestea pot expune organizaţia la riscuri suplimentare.

În contextul shadow IT trebuie luate în calcul:

  • Mesajele şi e-mail-urile transmise pentru a fluidiza comunicarea atât cu contactele de la locul de muncă, cât şi cu cele din afara serviciului.
  • Instrumentele de management de proiect şi de productivitate, care pot şi ele să ajute la colaborarea angajaţilor între ei şi pot să stimuleze capacitatea de a îndeplini sarcinile zilnice.
  • Stocarea de fişiere, de tip consumer-grade, aleasă deseori ad-hoc pentru a facilita colaborarea între angajaţi.
  • Sistemele cloud de tip Infrastructure as a Service (IaaS) şi Platform as a Service (PaaS), care ar putea fi utilizate pentru a găzdui resurse neautorizate.
ESET

De ce are loc acest fenomen?

Atunci când angajaţii sunt nemulţumiţi de instrumentele IT business ineficiente, care, din punctul lor de vedere, îngreunează productivitatea, apare de obicei shadow IT-ul. În contextul pandemic, multe organizaţii au fost nevoite să permită utilizarea dispozitivelor personale ale angajaţilor săi, pentru ca aceştia să poată lucra de acasă. Astfel, s-a deschis calea pentru descărcările de aplicaţii neautorizate.

Pe fondul metodei de a „rezolva mai repede lucrurile”, shadow IT este înrăutăţit de faptul că managerii IT, înşişi, au fost forţaţi să suspende unele dintre politicile existente înainte de pandemie, dar şi de faptul că mulţi angajaţi nu cunosc politica de securitate corporativă.  Conform unui studiu recent, 76% dintre echipele IT admit plasarea la nivel de management a securităţii pe plan secund în favoarea continuităţii afacerii (în era Covid-19), în timp ce 91% confirmă că s-a impulsionat implementarea unor modificări în fluxurile de lucru ce au avut ca efect direct slăbirea securităţii.

Pandemia a încurajat, aşadar, o folosire mai intensă a practicilor shadow IT, pentru că echipele IT erau mai puţin vizibile fizic pentru angajaţi. În acelaşi timp, această conştientizare redusă în rândul angajaţilor a prezenţei departamentului IT i-a făcut pe aceştia mai predispuşi să nu se supună politicilor oficiale şi a îngreunat procesul prin care utilizatorii verificau cu responsabilii IT noile instrumente de lucru alese, înainte de folosire.  

Cercetări recente arată că, la nivel mondial, 66% dintre cei care lucrează la distanţă au recunoscut că au încărcat date ale companiei într-o aplicaţie sau echipament care nu este destinat efectiv pentru mediul business, iar peste jumătate (56%) au declarat că au folosit în mod frecvent o astfel de aplicaţie. Aproape o treime (29%) au mărturisit că au considerat că utilizarea unei aplicaţii care nu este strict concepută pentru lucru în mediul business poate trece nedetectată şi că au ales această variantă pentru că soluţiile oferite de departamentul IT au fost mult prea complicate sau chiar „absurde”.

Amploarea problemei

Riscurile aduse de shadow IT pot fi asociate, în parte, echipamentelor personale folosite în scenarii de lucru de tip BYOD (bring your own device) însă, în realitate, există mai multe aspecte ce trebuie discutate. O altă ameninţare vine din partea anumitor unităţi business specifice, ce găzduiesc resurse în cloud-ul corporativ IaaS sau PaaS. Problemele la acest nivel se datorează faptului că mulţi înţeleg greşit natura modelului de responsabilitate comună în cloud şi presupun că furnizorul de servicii cloud (CSP) este autoritatea responsabilă de securitate. Organizaţiei client i se atribuie, de fapt, securizarea aplicaţiilor şi a datelor.

Natura fenomenului face ca înţelegerea dimensiunii reale a problemei să fie şi mai dificilă. 64% dintre angajaţii din SUA şi-au creat cel puţin un cont online fără a înştiinţa departamentul IT, arată un studiu din 2019. Alte date indică că folosirea unor instrumente neaprobate de departamentul tehnic era deja o practică comună în rândul angajaţilor care lucrau remote de dinainte de pandemie (65%), în vreme ce 40% dintre angajaţii actuali folosesc soluţii de comunicare şi colaborare „în umbră”. Acelaşi studiu arată că vârsta are un cuvânt de spus în tendinţa de folosire a practicilor shadow IT: generaţia Millennials e mai predispusă cu 54% să facă apel la astfel de practici, pe când Baby Boomers înregistrează un procent de doar 15%.

De ce reprezintă shadow IT o ameninţare?

Potenţialul risc care se resfrânge asupra companiei pe seama practicilor shadow IT e unul real. Să luăm ca referinţă un caz de anul trecut, în care o companie de identificare a contactelor din SUA ar fi expus datele a 70.000 de persoane, după ce angajaţii au folosit conturi Google pentru a partaja informaţii ca parte a unui „canal de colaborare neautorizat”.

Iată un scurt rezumat al riscului potenţial al shadow IT-ului pentru companii:

  • Nu există un control IT  - utilizatorii şi datele companiei sunt expuse la atacuri dacă software-ul rămâne fără patch-uri aplicate sau este configurat greşit (de exemplu, cu parole slabe)
  • Nu sunt utilizate deseori soluţii anti-malware de tip business sau alte soluţii de securitate care să protejeze activele sau reţelele de tip shadow IT
  • Nu este disponibilă opţiunea de a controla scurgerile sau partajarea accidentală/intenţionată a datelor
  • Provocări mari referitoare la normele de conformitate şi audit
  • Expunerea la pierderi de date, întrucât procesele de backup nu sunt extinse şi la aplicaţiile şi datele shadow IT
  • Daune financiare şi de reputaţie, consecinţă directă a unei potenţiale breşe grave a securităţii datelor (cu caracter personal şi nu numai)

Cum trebuie abordat shadow IT

Un prim pas esenţial este înţelegerea scalei potenţiale a ameninţării. Departamentele IT trebuie să conştientizeze răspândirea fenomenului şi să nu subestimeze riscurile pe care le aduce. Luaţi în considerare următoarele măsuri ce pot atenua riscurile aduse de shadow IT:

  • Elaboraţi o politică extensivă pentru a face faţă fenomenului, incluzând o listă cu software-uri şi hardware-uri (aprobate şi neaprobate) şi o procedură necesară pentru obţinerea unei aprobări de utilizare, comunicată cât mai clar
  • Ascultaţi şi adaptaţi politicile legate de instrumentele folosite - alegeţi, pe baza feedback-ului angajaţilor, ce funcţionează şi ce nu. Poate fi momentul oportun pentru aducerea la zi a politicilor în această nouă eră de lucru în sistem hibrid, în care este important un echilibru cât mai bun între securitatea şi confortul muncii de acasă
  • Încurajaţi transparenţa în rândul angajaţilor, instruindu-i cu privire la impactul potenţial al acestui fenomen, cu accent pe un dialog sincer în ambele sensuri
  • Folosiţi instrumente de monitorizare pentru a depista utilizarea shadow IT în companie sau a oricărei activităţi riscante şi luaţi măsurile adecvate faţă de atacatorii persistenţi

Shadow IT extinde suprafaţa de atac la nivel corporativ şi sporeşte riscurile cibernetice. Instrumentele şi politicile actuale sunt adesea considerate excesiv de restrictive, ducând la creşterea dimensiunii fenomenului. Ca primi paşi, echipele IT vor trebui să-şi adapteze propria cultură pentru a se apropia cât mai mult de forţa de lucru din companii.

ESET, un lider global pe piaţa de soluţii de securitate cibernetică, cu peste 30 de ani de experienţă şi inovaţie, oferă o paletă de soluţii antivirus şi antimalware, cu protecţie multi-strat integrată, care pot depista din timp atacuri tip ransomware, evitând astfel daune la nivelul resurselor şi reputaţiei companiei. 

Pachetele sale vin cu protecţie integrată pe mai multe niveluri şi au capacitatea de a depista atacurile de tip ransomware timpuriu, ca să fie evitate daunele la nivel de resurse şi reputaţie. 

ESET PROTECT Advanced este un pachet de soluţii antivirus si anti-malware destinat companiilor  şi oferă, prin layer-ul ESET Dynamic Threat Defense, protecţie de tip cloud-sandbox pentru sisteme (împotriva ransomware-ului şi ameninţărilor de tip zero-day) dar şi protecţie dedicată a datelor la acces neautorizat în caz de furt sau pierdere echipamente (prin criptarea completă a hard disk-urilor - pentru datele stocate pe laptopuri). Astfel, produsul face faţă cu succes provocării de a proteja şi gestiona reţelele IT business în cazul ameninţărilor cibernetice tot mai dinamice. 

Soluţia se poate testa gratuit de către orice companie, fără obligaţii ulterioare. Puteţi găsi mai multe detalii despre aceasta şi puteţi descărca o variantă de test aici. 

ESET
Tehnologie

Top articole

loading Se încarcă comentariile...

Partenerii noștri

image
Unde este Fito? Povestea celui mai notoriu infractor din Ecuador, care a fugit din închisoarea în care trăia ca un rege
digi24.ro
image
Un câine teckel a mușcat-o de față pe o femeie, i-a smuls o bucată din obraz și a mâncat-o în fața ei
stirileprotv.ro
image
Judecătoarea din cazul Vlad Pascu, mută în faţa jurnaliştilor. A stat un minut încremenită, fără să răspundă la vreo întrebare
observatornews.ro
image
Orașul din România care va renaște spectaculos. Investiția unui gigant italian îl va transforma complet
fanatik.ro
image
Ioan Andone s-a mutat în Spania. Comparația făcută de fostul antrenor: „Am 4 dormitoare. Știți cât plătesc pe curent?”
gsp.ro
image
Misterul morții unei mame și a fiicei ei de 10 ani a fost rezolvat după 24 de ani. Ucigașul a dezvăluit totul de pe patul de moarte
digi24.ro
image
Când se schimbă, de fapt, cauciucurile de iarnă. Nici să nu vă gândiţi
playtech.ro
image
Fenomene fără precedent în istoria alegerilor. Politolog: „Vom vedea niște scoruri foarte interesante"
ziare.com
image
Ce își doresc femeile de la partener?
canal33.ro
image
Nemilosul Dorinel Umbrărescu, regele asfaltului, și-a distrus orice fel de concurență. Salariile pe care celelalte firme nu le pot oferi
bugetul.ro
image
Noua autostradă din România. Data la care va fi dată în folosință
evz.ro
image
Cât durează vacanța de primăvară în 2024. În a câta zi după Paște se întorc elevii la școală
kanald.ro
image
N-a mai apărut niciodată AȘA: Nadia Comăneci, IMAGINEA ZILEI! Cum a fost fotografiată
playsport.ro
image
Veste bună pentru turismul românesc: Noua autostradă pe care se va putea ajunge mai ușor pe litoral
antena3.ro
image
Te trec fiori! Ce au găsit polițiștii în locuința și în mașina individului care a luat-o pe Ana-Maria, tânăra gravidă în 6 luni, la ocazie?: „Doamne ferește! Cine știe câte victime sunt”
wowbiz.ro
image
Lovitură de teatru! De ce ar fi făcut luptătorul MMA gestul golănesc către fata din ring: ”N-am altă explicație”
digisport.ro
image
Alimentul care e la mare căutare înainte de Paște. Numărul comenzilor a explodat în România
fanatik.ro
image
Prime Paşte 2024. Când intră pe card primele de 3.000 de lei
romaniatv.net
image
Simona Halep e fost exclusă! Decizia luată chiar acum în tenis
capital.ro
image
FOTO. Face o avere din imaginile cu ea: apariție controversată a jucătoarei de fotbal!
prosport.ro
image
Pariul incredibil pus de milionarul român care construieşte un castel în România! „Stăteau ţăranii şi se închinau”
as.ro
image
Statul plătește 138.000.000 $ din cauza ”celui mai înfricoșător monstru”, condamnat la 360 de ani de închisoare
digisport.ro
image
Imagini rare! Apariție rafinată a soției lui Rafael Nadal la Gala Premiilor Laureus. „Xisca”, o prezență atipică
gsp.ro
image
Alexandru Ciucu, gest de milioane față de Alina Sorescu, la trei zile după ce a fost filmat cu noua iubită. Ce cadou i-a luat, în semn de împăcare: „Aduc mereu bucurie ...”
actualitate.net
image
Cine este, de fapt, iubita lui Alexandru Ciucu. Ce spune creatorul de modă și reacția neașteptată a Alinei Sorescu
actualitate.net
image png
Actorul român care s-a însurat de nouă ori după ce a împlinit 50 de ani. Prima soție a avut 17 ani
Vedete românești
ungaria romania colaj pexels jpg
Ungaria și propunerea surprinzătoare pentru „dușmanul de moarte”, România. De ce nu a fost posibilă unirea cu țara noastră
Fapt divers
YouTube Instagram RSS
Ultimele știri
Cele mai citite

Click!

image
Actorul român care s-a însurat de nouă ori după ce a împlinit 50 de ani. Prima soție a avut 17 ani
image
Aceste 3 zodii încep un nou capitol în viața lor de Florii. Vor avea parte de belșug, realizări profesionale și iubire

OK! Magazine

image
E și Kate pe listă? Patru membri ai familiei regale primesc de la Regele Charles noi roluri prestigioase

Click! Pentru femei

image
Snoop Dogg este un tată strict. Fiica lui conduce o mașină modestă

Click! Sănătate

image
Secretele longevității supermodelului Carmen Dell’Orefice: „Am 91 de ani, dar arăt de 59”