ESET: Utilizarea echipamentelor hardware și software neautorizate, de către angajați, o problemă din ce în ce mai acută în era muncii hibride

Miercuri, 02 Martie 2022, ora 18:29
4183 citiri
ESET: Utilizarea echipamentelor hardware și software neautorizate, de către angajați, o problemă din ce în ce mai acută în era muncii hibride
FOTO: eset.ro

Numeroase companii au prioritizat pe durata pandemiei desfășurarea neîntreruptă a afacerii în detrimentul securității cibernetice. S-a traversat rapid un interval marcat de eforturi concentrate către ducerea la bun sfârșit a taskurilor, sprijinirea unei migrări rapide la sistemul de muncă remote și găsirea de noi modalități de a ajunge la clienți, toate atrăgând după sine o slăbire a politicilor de securitate.

Traversăm acum o altă etapă unde este prevalent sistemul de lucru de tip hibrid, care presupune un nivel complet nou de procese IT, lipsit de transparență, dar de care echipele de securitate IT sunt acum la fel de responsabile. Noua provocare lansată de acest nou spațiu de lucru, „din umbră”, este legată de faptul că riscurile cibernetice asociate sunt mult mai mari.

Fără un control în timp real, utilizarea de către angajați a software-ului și a echipamentelor, în afara unor reglementări ale departamentul IT ar putea să devină o amenințare majoră pentru organizație.

Ce este „shadow IT”?

Fenomenul nu e deloc nou. El se referă, în linii mari, la aplicațiile sau echipamentele hardware folosite de angajați fără acordul și controlul departamentului IT. De cele mai multe ori este vorba de tehnologii neaprobate intern sau unele de larg consum, negândite pentru securitatea de care are nevoie o companie, ceea ce poate expune organizația la riscuri suplimentare:

  • Stocarea de fișiere, dar una de tip consumer-grade - aleasă deseori pentru eficientizarea colaborării în rândul angajaților.
  • Diverse instrumentele de management de proiect și de productivitate alese ad-hoc
  • Date și atașamente transmise prin diferite platforme consumer, folosite pentru o comunicare mai rapidă și mai simplă
  • Chiar unele sisteme cloud, Infrastructure as a Service (IaaS) și Platform as a Service (PaaS), atunci când găzduiesc resurse neautorizate.

Care sunt cauzele care fac ca acest fenomen să aibă loc?

Apariția fenomenului de shadow IT e favorizată de reticența angajaților față de instrumentele IT corporative, considerate ineficiente, ce au fost puse la dispoziția lor în noul scenariu, care par mai degrabă să îngreuneze productivitatea. Odată cu venirea pandemiei, multe organizații, forțate de situație, au permis folosirea de către personal a dispozitivelor proprii în munca de acasă. Astfel, s-a deschis calea pentru numeroase instalări de aplicații neautorizate.

Efectele shadow IT sunt amplificate și de faptul că nu toți angajați sunt familiarizați cu politica de securitate business a companiei sau că managerii IT, înșiși, au fost forțați să suspende unele dintre politicile existente înainte de pandemie, pentru a „a mijloci tranziția către noul sistem de lucru”. Într-o cercetare recentă, 76% dintre echipele IT recunosc că, în timpul pandemiei, lista priorităților a suferit modificări, securitatea cibernetică ajungând pe locul doi, iar continuitatea pe primul loc. De asemenea, 91% dintre echipele IT chestionate confirmă că s-au impus modificări în fluxurile de lucru care au favorizat o diminuare a gradului de protecție.

Pandemia a încurajat, așadar, o folosire mai intensă a practicilor shadow IT, pentru că echipele IT erau mai puțin vizibile fizic pentru angajați. În același timp, această conștientizare redusă în rândul angajaților a prezenței departamentului IT i-a făcut pe aceștia mai predispuși să nu se supună politicilor oficiale și a îngreunat procesul prin care utilizatorii verificau cu responsabilii IT noile instrumente înainte de folosire.

Conform datelor publicate într-un alt studiu recent, mai mult de jumătate dintre angajații care lucrează de la distanță, la nivel global, folosesc o aplicație ce nu este destinată exclusiv pentru munca pe un echipament business. În plus, 66% dintre intervievați au recunoscut că au încărcat date aparținând companiei în astfel de aplicații și aproape o treime a crezut că vor scăpa nedetectate aplicațiile utilizate de ei și care nu sunt destinate activităților din mediul business. Au recurs la astfel de practici pentru că au găsit nepotrivite soluțiile propuse de departamentul IT.

Amploarea problemei

Folosirea echipamentelor personale într-un scenariu BYOD (bring your own device) poate explica parțial riscurile aduse de shadow IT. O altă amenințare importantă, deseori trecută cu vederea, vine din partea anumitor unități business specifice, care găzduiesc resurse în cloud-ul corporativ de tip IaaS sau PaaS. Vulnerabilitatea provine din faptul că mulți utilizatori nu dau atenție modelului de responsabilitate comună în cloud și presupun că furnizorul de servicii cloud (CSP) este direct și unic răspunzător de securitate. De fapt, securizarea aplicațiilor și a datelor revine organizației client.

Natura fenomenului face ca înțelegerea dimensiunii reale a problemei să fie și mai dificilă. 64% dintre angajații din SUA și-au creat cel puțin un cont online fără a înștiința departamentul IT, arată un studiu din 2019. Alte date indică că folosirea unor instrumente neaprobate de departamentul tehnic era deja o practică comună în rândul angajaților care lucrau remote de dinainte de pandemie (65%), în vreme ce 40% dintre angajații actuali folosesc soluții de comunicare și colaborare „în umbră”. Același studiu arată că vârsta are un cuvânt de spus în tendința de folosire a practicilor shadow IT: generația Millennials e mai predispusă (54%) să facă apel la astfel de practici, pe când Baby Boomers înregistrează un procent de doar 15%.

De ce este shadow IT o amenințare?

Riscul potențial pe care shadow IT-ul îl poate aduce organizației există și nu poate fi contestat. Putem lua ca exemplu o situație de la începutul acestui an, în care o companie de identificare a contactelor din SUA a expus accidental detaliile a 70.000 de persoane. Cum a avut loc acest incident? Personalul a folosit un „canal de colaborare neautorizat”, partajând informații prin conturi Google.

Iată o scurtă prezentare a riscului potențial al shadow IT-ului pentru organizații:

  • Nu există un control IT - utilizatorii și datele companiei sunt expuse la atacuri dacă software-ul neautorizat nu are patch-uri aplicate sau este configurat greșit (de exemplu, cu parole slabe)
  • Nu sunt folosite deseori soluții anti-malware de tip business sau alte soluții de securitate care să protejeze activele sau rețelele de tip shadow IT
  • Nu pot fi controlate scurgerile de date sau partajarea accidentală sau deliberată dar neautorizată a datelor
  • Provocări mari legate de conformitate cu regulile de confidențialitate a datelor și audit
  • Expunerea la pierderi de date, întrucât procesele de backup nu sunt extinse și la aplicațiile și datele shadow IT
  • Daune financiare și de reputație cauzate de o breșă de securitate a datelor care au un caracter personal și nu numai

Cum trebuie abordat shadow IT

Departamentele IT trebuie să conștientizeze răspândirea fenomenului și să nu subestimeze riscurile aduse. Luați în considerare următoarele măsuri ce pot atenua riscurile aduse de shadow IT:

  • Elaborați o politică complexă pentru combaterea practicilor “shadow IT” - realizați o listă de componente software și hardware aprobate și neaprobate și implementați o procedură comunicată clar, obligatorie în procesul de obținere a unei aprobări de utilizare
  • Folosiți-vă de feedback-ul de la angajați, referitor la programele care funcționează pentru ei, pentru a adapta politicile legate de instrumentele folosite. Poate fi momentul oportun pentru aducerea la zi a politicilor în această noua eră de lucru în sistem hibrid, în care este important un echilibru cât mai bun între securitatea și confortul muncii de acasă
  • Încurajați transparența în rândul angajaților, instruindu-i cu privire la impactul potențial al acestui fenomen, promovând pe un dialog sincer în ambele sensuri
  • Folosiți instrumente de monitorizare pentru a depista utilizarea shadow IT în companie sau a oricărei activități riscante și luați măsurile adecvate

Shadow IT are efecte la nivel corporativ, prin extinderea suprafeței de atac a companiei și sporirea riscurilor cibernetice. Dimensiunea acestui fenomen a ajuns la amploarea din prezent pentru că politicile și instrumentele actuale sunt deseori considerate excesiv de restrictive. O soluție ar fi o adaptare a culturii departamentelor IT pentru a se apropia cât mai mult de forța de lucru din organizații. Și evident integrarea unor soluții puternice de securitate a infrastructurii.

ESET, un lider global pe piața de soluții de securitate cibernetică, cu peste 30 de ani de experiență și inovație, oferă o gama completă de soluții antivirus și antimalware, cu protecție multi-strat integrată, care pot depista din timp cele mai complexe atacuri, inclusiv cele de tip ransomware, evitând astfel daunele severe care se pot înregistra la nivelul resurselor și reputației companiei.

Pachetele sale de soluții oferă securitate IT integrată pe mai multe niveluri și au capacitatea de a identifica și bloca toate tipurile de amenințări, oferind permanent o privire și control centralizat asupra stării de securitate a infrastructurii business, inclusiv a uneia adaptate pentru un stil de lucru hibrid, datorită unei console cloud cu care toate stațiile comunică permanent.

ESET PROTECT Advanced este unul dintre pachetele predefinite de soluții antivirus si anti-malware destinat companiilor care oferă, prin layer-ul ESET Dynamic Threat Defense, protecție de tip cloud-sandbox pentru sisteme (împotriva ransomware-ului și amenințărilor de tip zero-day) dar și protecție dedicată a datelor la acces neautorizat în caz de furt sau pierdere echipamente (prin criptarea completă a hard disk-urilor - pentru datele stocate pe laptopuri). Astfel, produsul face față cu succes provocării de a proteja și gestiona rețelele IT business în cazul amenințărilor cibernetice tot mai dinamice.

Toate soluțiile business ESET se pot fi testate gratuit, de către orice companie, fără obligații ulterioare. Puteți găsi mai multe detalii și puteți descărca o variantă de test aici.

#echipamentele hardware, #echipamentele software , #Stiri Hardware