Articol publicitar

ESET: Utilizarea echipamentelor neautorizate de tip hardware şi software de către angajaţi - o problemă de securitate IT tipică în era muncii hibride sau de la distanţă

0
0
ESET

Pandemia a determinat o mulţime de companii să prioritizeze desfăşurarea neîntreruptă a afacerii şi să plaseze securitatea cibernetică pe un plan secund.

Începutul acestei perioade a fost marcat de eforturile concentrate pe ducerea la bun sfârşit a sarcinilor, sprijinirea unei migrări rapide la sistemul de muncă de la distanţă şi găsirea de căi noi de a ajunge la clienţi. Implicit, acest demers a venit odată cu slăbirea anumitor politici de securitate pentru a sprijini personalul pe măsură ce acesta a făcut ajustări majore ale stilului de lucru, o strategie cu siguranţă justificabilă. 

În momentul prezent, ne situăm, însă, într-o altă etapă a scenariului de lucru de la distanţă, unde devine tot mai popular sistemul hibrid, ce presupune un nivel total nou de procese IT, lipsit de transparenţă, de care echipele de securitate IT sunt acum responsabile. Riscurile  cibernetice prosperă în acest nou spaţiu de lucru, „din umbră”, aducând, astfel, mai multe probleme.

Astfel, utilizarea software-ului şi a echipamentelor în afara limitelor impuse de departamentul IT de către angajaţi ar putea reprezenta o ameninţare demnă de luat de serios, câtă vreme nu este atent controlată. Întrebarea este ce se poate face în privinţa aceasta, atunci când până şi amploarea problemei poate fi dificil de desluşit.

Cum definim „shadow IT”?

Conceptul de shadow IT nu este deloc nou. În linii mari, se referă la aplicaţiile, software-urile sau echipamentele hardware folosite de angajaţi fără acordul şi controlul departamentului IT, dar include şi tehnologiile de nivel enterprise. Deşi de cele mai multe ori este vorba de utilizarea tehnologii de larg consum, în unele cazuri pot fi chiar şi tehnologii de tip business, care sunt achiziţionate şi utilizate fără notificarea personalului IT. Indiferent de soluţiile „din umbră” folosite, acestea pot expune organizaţia la riscuri suplimentare.

În contextul shadow IT trebuie luate în calcul:

  • Mesajele şi e-mail-urile transmise pentru a fluidiza comunicarea atât cu contactele de la locul de muncă, cât şi cu cele din afara serviciului.
  • Instrumentele de management de proiect şi de productivitate, care pot şi ele să ajute la colaborarea angajaţilor între ei şi pot să stimuleze capacitatea de a îndeplini sarcinile zilnice.
  • Stocarea de fişiere, de tip consumer-grade, aleasă deseori ad-hoc pentru a facilita colaborarea între angajaţi.
  • Sistemele cloud de tip Infrastructure as a Service (IaaS) şi Platform as a Service (PaaS), care ar putea fi utilizate pentru a găzdui resurse neautorizate.
ESET

De ce are loc acest fenomen?

Atunci când angajaţii sunt nemulţumiţi de instrumentele IT business ineficiente, care, din punctul lor de vedere, îngreunează productivitatea, apare de obicei shadow IT-ul. În contextul pandemic, multe organizaţii au fost nevoite să permită utilizarea dispozitivelor personale ale angajaţilor săi, pentru ca aceştia să poată lucra de acasă. Astfel, s-a deschis calea pentru descărcările de aplicaţii neautorizate.

Pe fondul metodei de a „rezolva mai repede lucrurile”, shadow IT este înrăutăţit de faptul că managerii IT, înşişi, au fost forţaţi să suspende unele dintre politicile existente înainte de pandemie, dar şi de faptul că mulţi angajaţi nu cunosc politica de securitate corporativă.  Conform unui studiu recent, 76% dintre echipele IT admit plasarea la nivel de management a securităţii pe plan secund în favoarea continuităţii afacerii (în era Covid-19), în timp ce 91% confirmă că s-a impulsionat implementarea unor modificări în fluxurile de lucru ce au avut ca efect direct slăbirea securităţii.

Pandemia a încurajat, aşadar, o folosire mai intensă a practicilor shadow IT, pentru că echipele IT erau mai puţin vizibile fizic pentru angajaţi. În acelaşi timp, această conştientizare redusă în rândul angajaţilor a prezenţei departamentului IT i-a făcut pe aceştia mai predispuşi să nu se supună politicilor oficiale şi a îngreunat procesul prin care utilizatorii verificau cu responsabilii IT noile instrumente de lucru alese, înainte de folosire.  

Cercetări recente arată că, la nivel mondial, 66% dintre cei care lucrează la distanţă au recunoscut că au încărcat date ale companiei într-o aplicaţie sau echipament care nu este destinat efectiv pentru mediul business, iar peste jumătate (56%) au declarat că au folosit în mod frecvent o astfel de aplicaţie. Aproape o treime (29%) au mărturisit că au considerat că utilizarea unei aplicaţii care nu este strict concepută pentru lucru în mediul business poate trece nedetectată şi că au ales această variantă pentru că soluţiile oferite de departamentul IT au fost mult prea complicate sau chiar „absurde”.

Amploarea problemei

Riscurile aduse de shadow IT pot fi asociate, în parte, echipamentelor personale folosite în scenarii de lucru de tip BYOD (bring your own device) însă, în realitate, există mai multe aspecte ce trebuie discutate. O altă ameninţare vine din partea anumitor unităţi business specifice, ce găzduiesc resurse în cloud-ul corporativ IaaS sau PaaS. Problemele la acest nivel se datorează faptului că mulţi înţeleg greşit natura modelului de responsabilitate comună în cloud şi presupun că furnizorul de servicii cloud (CSP) este autoritatea responsabilă de securitate. Organizaţiei client i se atribuie, de fapt, securizarea aplicaţiilor şi a datelor.

Natura fenomenului face ca înţelegerea dimensiunii reale a problemei să fie şi mai dificilă. 64% dintre angajaţii din SUA şi-au creat cel puţin un cont online fără a înştiinţa departamentul IT, arată un studiu din 2019. Alte date indică că folosirea unor instrumente neaprobate de departamentul tehnic era deja o practică comună în rândul angajaţilor care lucrau remote de dinainte de pandemie (65%), în vreme ce 40% dintre angajaţii actuali folosesc soluţii de comunicare şi colaborare „în umbră”. Acelaşi studiu arată că vârsta are un cuvânt de spus în tendinţa de folosire a practicilor shadow IT: generaţia Millennials e mai predispusă cu 54% să facă apel la astfel de practici, pe când Baby Boomers înregistrează un procent de doar 15%.

De ce reprezintă shadow IT o ameninţare?

Potenţialul risc care se resfrânge asupra companiei pe seama practicilor shadow IT e unul real. Să luăm ca referinţă un caz de anul trecut, în care o companie de identificare a contactelor din SUA ar fi expus datele a 70.000 de persoane, după ce angajaţii au folosit conturi Google pentru a partaja informaţii ca parte a unui „canal de colaborare neautorizat”.

Iată un scurt rezumat al riscului potenţial al shadow IT-ului pentru companii:

  • Nu există un control IT  - utilizatorii şi datele companiei sunt expuse la atacuri dacă software-ul rămâne fără patch-uri aplicate sau este configurat greşit (de exemplu, cu parole slabe)
  • Nu sunt utilizate deseori soluţii anti-malware de tip business sau alte soluţii de securitate care să protejeze activele sau reţelele de tip shadow IT
  • Nu este disponibilă opţiunea de a controla scurgerile sau partajarea accidentală/intenţionată a datelor
  • Provocări mari referitoare la normele de conformitate şi audit
  • Expunerea la pierderi de date, întrucât procesele de backup nu sunt extinse şi la aplicaţiile şi datele shadow IT
  • Daune financiare şi de reputaţie, consecinţă directă a unei potenţiale breşe grave a securităţii datelor (cu caracter personal şi nu numai)

Cum trebuie abordat shadow IT

Un prim pas esenţial este înţelegerea scalei potenţiale a ameninţării. Departamentele IT trebuie să conştientizeze răspândirea fenomenului şi să nu subestimeze riscurile pe care le aduce. Luaţi în considerare următoarele măsuri ce pot atenua riscurile aduse de shadow IT:

  • Elaboraţi o politică extensivă pentru a face faţă fenomenului, incluzând o listă cu software-uri şi hardware-uri (aprobate şi neaprobate) şi o procedură necesară pentru obţinerea unei aprobări de utilizare, comunicată cât mai clar
  • Ascultaţi şi adaptaţi politicile legate de instrumentele folosite - alegeţi, pe baza feedback-ului angajaţilor, ce funcţionează şi ce nu. Poate fi momentul oportun pentru aducerea la zi a politicilor în această nouă eră de lucru în sistem hibrid, în care este important un echilibru cât mai bun între securitatea şi confortul muncii de acasă
  • Încurajaţi transparenţa în rândul angajaţilor, instruindu-i cu privire la impactul potenţial al acestui fenomen, cu accent pe un dialog sincer în ambele sensuri
  • Folosiţi instrumente de monitorizare pentru a depista utilizarea shadow IT în companie sau a oricărei activităţi riscante şi luaţi măsurile adecvate faţă de atacatorii persistenţi

Shadow IT extinde suprafaţa de atac la nivel corporativ şi sporeşte riscurile cibernetice. Instrumentele şi politicile actuale sunt adesea considerate excesiv de restrictive, ducând la creşterea dimensiunii fenomenului. Ca primi paşi, echipele IT vor trebui să-şi adapteze propria cultură pentru a se apropia cât mai mult de forţa de lucru din companii.

ESET, un lider global pe piaţa de soluţii de securitate cibernetică, cu peste 30 de ani de experienţă şi inovaţie, oferă o paletă de soluţii antivirus şi antimalware, cu protecţie multi-strat integrată, care pot depista din timp atacuri tip ransomware, evitând astfel daune la nivelul resurselor şi reputaţiei companiei. 

Pachetele sale vin cu protecţie integrată pe mai multe niveluri şi au capacitatea de a depista atacurile de tip ransomware timpuriu, ca să fie evitate daunele la nivel de resurse şi reputaţie. 

ESET PROTECT Advanced este un pachet de soluţii antivirus si anti-malware destinat companiilor  şi oferă, prin layer-ul ESET Dynamic Threat Defense, protecţie de tip cloud-sandbox pentru sisteme (împotriva ransomware-ului şi ameninţărilor de tip zero-day) dar şi protecţie dedicată a datelor la acces neautorizat în caz de furt sau pierdere echipamente (prin criptarea completă a hard disk-urilor - pentru datele stocate pe laptopuri). Astfel, produsul face faţă cu succes provocării de a proteja şi gestiona reţelele IT business în cazul ameninţărilor cibernetice tot mai dinamice. 

Soluţia se poate testa gratuit de către orice companie, fără obligaţii ulterioare. Puteţi găsi mai multe detalii despre aceasta şi puteţi descărca o variantă de test aici. 

ESET
Mai multe - Tehnologie

Ultimele știri

adevarul de weekend jpeg anunt adevarul jpeg

Cele mai citite