Utilizarea echipamentelor neautorizate de tip hardware și software de către angajați este o problemă din ce în ce mai acută în era muncii la distanță sau a celei hibride

În epoca pandemiei, multe organizații acordă prioritate continuității afacerii în detrimentul securității cibernetice. Accentul a fost pus, în special la începutul perioadei, doar pe ducerea la bun sfârșit a taskurilor – sprijinirea unei treceri rapide la lucrul la distanță și găsirea de noi modalități de a ajunge la clienți. Acest lucru a însemnat slăbirea anumitor politici de securitate pentru a sprijini personalul pe măsură ce acesta a făcut ajustări majore ale stilului de lucru, o strategie cu siguranță justificabilă. Dar, pe măsură ce intrăm într-o nouă fază, caracterizată de locul de muncă post-pandemic de tip hibrid, s-a conturat, de asemenea, un nivel complet nou de procese IT, lipsit de transparență, de care echipele de securitate IT sunt acum responsabile. Noua provocare este legată de faptul că riscul cibernetic prosperă în acest nou spațiu de lucru, “din umbră”.

Mini-serie legată de securitatea cibernetică pentru locul de muncă hibrid:

Stilul de muncă hibrid: ce implicații are pentru securitatea cibernetică?

Protejarea scenariului de lucru hibrid prin adoptarea securității Zero Trust

Tackling the insider threat to the new hybrid workplace

De ce securitatea cloud este esențială pentru a profita cât mai mult de valoarea adusă de modul de lucru hibrid?

Examining threats to device security in the hybrid workplace

Concluzia este că utilizarea de către angajați a software-ului și a echipamentelor, în afara limitelor impuse de departamentul IT, ar putea (dacă nu este controlată) să devină o amenințare majoră pentru organizație. Întrebarea este ce se poate face în privința aceasta, atunci când până și amploarea problemei poate fi dificil de deslușit.

Ce este „shadow IT”?

Noțiunea de shadow IT există de ani de zile. Termenul generic se referă la orice aplicație, soluție sau echipament hardware folosit de angajați fără acordul și controlul departamentului IT. Uneori, acestea sunt tehnologii de nivel enterprise, cumpărate și utilizate fără înștiințarea personalului IT. De cele mai multe ori, însă, este vorba de tehnologii de larg consum, ceea ce poate expune organizația la riscuri suplimentare.

Există diverse aspecte importante, legate de shadow IT. Acestea ar putea include:

• Stocarea de fișiere de tip consumer-grade, concepută pentru a ajuta angajații să colaboreze mai eficient între ei.

• Instrumente de productivitate și management de proiect care pot, de asemenea, stimula colaborarea și capacitatea personalului de a îndeplini sarcinile de zi cu zi.

• Mesaje și e-mail-uri pentru a genera o comunicare mai fluidă atât cu contactele de la locul de muncă, cât și cu cele din afara serviciului.

• Sisteme Cloud de tip Infrastructure as a Service (IaaS) și Platform as a Service (PaaS), care ar putea fi utilizate pentru a găzdui resurse neautorizate.

De ce are loc acest fenomen?

Shadow IT apare, de obicei, pentru că angajații s-au săturat de instrumentele IT corporative ineficiente, care din perspectiva lor îngreunează productivitatea. Odată cu apariția pandemiei, multe organizații au fost forțate să permită personalului să-și folosească dispozitivele personale pentru a lucra de acasă. Acest lucru a deschis calea pentru descărcări de aplicații neautorizate.

Shadow IT este agravat de faptul că mulți angajați nu cunosc politica de securitate corporativă sau de faptul că managerii IT înșiși au fost forțați să suspende unele din politicile existente înainte de pandemie, pentru a „rezolva lucrurile”. Într-un studiu recent, 76% dintre echipele IT recunosc că securitatea a fost deprioritizată în favoarea continuității afacerii în timpul pandemiei, în timp ce 91% spun că s-a pus presiune pe modificări care au condus la o slăbire a securității.

Este posibil ca pandemia să fi încurajat, de asemenea, o utilizare mai intensă a shadow IT, deoarece înseși echipele IT erau mai puțin vizibile pentru angajați. Acest lucru a îngreunat procesul prin care utilizatorii verificau cu responsabilii IT înainte de a folosi noile instrumente, și poate să-i fi făcut, din punct de vedere psihologic, mai predispuși să nu se supună politicii oficiale. Un studiu din 2020 susține că, la nivel mondial, peste jumătate (56%) dintre cei care lucrează la distanță au folosit o aplicație care nu este destinată efectiv pentru lucru pe un dispozitiv corporativ, iar 66% au încărcat date corporative pe ea. Aproape o treime (29%) au mărturisit că au simțit că pot scăpa nedetectați folosind o aplicație care nu este strict concepută pentru lucru și că au ales această cale pentru că soluțiile propuse de departamentul IT au fost „absurde”.

Amploarea problemei

În timp ce utilizarea echipamentelor personale în scenarii de lucru BYOD (bring your own device) în contextul pandemic poate explica parțial riscurile cu care vine shadow IT, povestea nu se încheie aici. Există, de asemenea, o amenințare care vine din partea anumitor unități business specifice, care găzduiesc resurse în cloud-ul corporativ IaaS sau PaaS, și care,  nu este luată în considerare. Problema care survine la acest nivel este că mulți înțeleg greșit natura modelului de responsabilitate comună în cloud și presupun că furnizorul de servicii cloud (CSP) se va ocupa de securitate. De fapt, securizarea aplicațiilor și a datelor este responsabilitatea organizației client.

Din păcate, însăși natura shadow IT-ului face dificilă înțelegerea adevăratei dimensiuni a problemei. Un studiu din 2019 arată că 64% dintre angajații din SUA și-au creat cel puțin un cont fără a implica departamentul IT. Cercetări separate susțin că 65% din personalul care lucra de la distanță încă de dinainte de pandemie utilizează instrumente care nu sunt aprobate de IT, în timp ce 40% dintre angajații actuali folosesc soluții de comunicare și colaborare „în umbră”. Interesant este că același studiu observă că tendința pentru folosirea shadow IT variază în funcție de vârstă: doar 15% dintre Baby Boomers spun că practică acest lucru, spre deosebire de 54% dintre Milennials.

De ce este shadow IT o amenințare?

Ceea ce este incontestabil este riscul potențial pe care shadow IT-ul îl poate introduce în organizație. Să luăm ca exemplu un caz de la începutul acestui an, în care o companie de identificare a contactelor din SUA ar fi expus detaliile a 70.000 de persoane după ce angajații au folosit conturi Google pentru a partaja informații ca parte a unui „canal de colaborare neautorizat”.

Iată o scurtă prezentare a riscului potențial al shadow IT-ului pentru organizații:

• Nu există un control IT, ceea ce înseamnă că software-ul poate rămâne fără patch-uri aplicate sau poate fi configurat greșit (de exemplu, cu un acces cu parole slabe), expunând utilizatorii și datele corporative la atacuri

• Nu există soluții anti malware de tip enterprise sau alte soluții de securitate care să protejeze activele sau rețelele shadow IT

• Nu există posibilitatea de a controla scurgerile sau partajarea accidentală sau intenționată a datelor

• Provocări de conformitate și audit

• Expunerea la pierderea de date, pentru că aplicațiile și datele shadow IT nu vor fi acoperite de procesele de backup corporative

• Daune financiare și de reputație cauzate de o încălcare gravă a securității

Cum ar trebui abordat shadow IT

Prima etapă este înțelegerea scalei potențiale a amenințării. Echipele IT nu trebuie să subestimeze răspândirea fenomenului shadow IT și riscul serios pe care îl reprezintă. Există metode de a-l atenua.

Luați în considerare următoarele opțiuni:

• Elaborați o politică cuprinzătoare pentru a face față shadow IT-ului, incluzând  o listă de software și hardware (aprobat și neaprobat) și o procedură comunicată clar, necesară pentru obținerea unei aprobări de utilizare 

• Încurajați transparența în rândul angajaților, instruindu-i cu privire la impactul potențial al shadow IT-ului, inițiind un dialog sincer în ambele sensuri

• Ascultați și adaptați politicile pe baza feedback-ului angajaților, cu referire la instrumentele care funcționează sau nu. Poate fi timpul să pentru o adaptare a politicilor la noua eră de lucru în sistem hibrid, pentru a echilibra mai bine securitatea și confortul

• Folosiți instrumente de monitorizare pentru a depista utilizarea shadow IT în companie sau a oricărei activități riscante și luați măsurile adecvate față de contravenienții persistenti

Shadow IT extinde suprafața de atac la nivel corporativ  și sporește riscul cibernetic. Acest fenomen a ajuns la dimensiunea din prezent pentru că instrumentele și politicile actuale sunt adesea considerate excesiv de restrictive. Remedierea acestei stări de fapt va necesita ca departamentele IT să-și adapteze propria cultură pentru a se apropia cât mai mult de forța de lucru din companii.