0
0
Houve um tempo, não muito tempo atrás, em que a maioria dos líderes de TI acreditava que a TI sombra era um elemento insignificante em suas empresas. Eles sentiram que suas organizações de TI estavam tão no controle de quais aplicativos foram comprados e quem recebeu acesso e que a adoção mínima ocorreu sem o seu conhecimento.
Esses eram os dias em que a TI centralizada era a norma, e a ideia de aquisição de tecnologia liderada pelos negócios não era considerada realista. “Não acontecendo no meu quintal”, era a crença (se não a política).
À medida que a pandemia levou as empresas a adotar aplicativos em nuvem para que as forças de trabalho remotas pudessem continuar a fazer seu trabalho – e à medida que os funcionários necessariamente se tornaram mais independentes e se sentiram capacitados para comprar os aplicativos que queriam – a consciência da existência da TI sombra mudou.
As organizações de hoje estão muito conscientes de que a TI sombra existe em seu “quintal” e que quanto mais aplicativos desconhecidos e acesso descontrolado eles têm, maior é a superfície de ataque. Mas eles ainda estão surpresos que muitas vezes têm 2 vezes ou mais aplicativos em nuvem do que acreditam ter.
Por que a TI sombra continua subestimada
A economia volátil de hoje está colocando mais pressão sobre as empresas para reduzir seus gastos com TI. Com a adoção e os gastos com SaaS em grande parte descontrolados, muitas organizações estão começando a colocar mais ênfase em encontrar e eliminar aplicativos redundantes e subutilizados, acesso desnecessário e licenças desperdiçadas. Isso tornou a obtenção de um controle sobre a TI sombra uma prioridade.
Isso é uma boa notícia para a segurança, mas fazer isso é difícil de fazer nos locais de trabalho distribuídos de hoje. Estima-se que mais de 50% da aquisição de aplicativos de TI agora é liderada pelos negócios e que a empresa média ainda adiciona de 18 a 20 novos aplicativos todos os meses ao seu portfólio. A maioria deles é adquirida sem o conhecimento de TI ou de compras – não por razões nefastas. Os funcionários estão simplesmente focados em fazer bem o seu trabalho. Eles sabem quais ferramentas precisam melhor do que a TI ou a aquisição saberiam. E esperar que a TI ou a aquisição passem por seus processos de avaliação e aquisição levaria mais tempo do que esses usuários estão dispostos a esperar.
O problema, quando se trata de descobrir a TI sombra, é que as informações sobre quais aplicativos existem e quem tem acesso a eles estão espalhados por uma empresa, em muitos silos diferentes. Ele vive nos arquivos de às vezes centenas de proprietários de aplicativos de negócios – usuários finais em marketing, vendas, atendimento ao cliente, finanças, RH, desenvolvimento de produtos, departamentos jurídicos e outros que adquiriram os aplicativos.
Como a maioria das organizações encontra esses dados? Eles enviam e-mails, mensagens do Microsoft Teams ou do Slack para os funcionários solicitando que eles notifiquem a TI se compraram ou se inscreveram em um aplicativo gratuito e a quem deram acesso (e esperam que todos respondam). Em seguida, a TI insere manualmente todas as informações que recebem em uma planilha. É claro que, com os aplicativos sendo continuamente adicionados e o acesso do usuário mudando diariamente, é impossível para qualquer ser humano manter-se no topo disso. Essas planilhas estão desatualizadas quase no momento em que são criadas ou atualizadas.
Sistema único de registo
O que é necessário é um sistema de registro único e confiável: um local centralizado que contenha informações atuais sobre cada aplicativo, seus usuários, uso, perfil de risco e status como sancionado ou não sancionado.
Os dados devem ser automaticamente e continuamente coletados e normalizados. Ele deve ser disponibilizado para todas as partes interessadas do gerenciamento de SaaS, desde as pessoas que possuem e, portanto, devem assumir a responsabilidade pelo gerenciamento de seus aplicativos, até líderes e administradores de TI, equipes de segurança de TI, gerentes de compras e muito mais.
As plataformas de gerenciamento de SaaS (SMPs) estão sendo cada vez mais usadas para descobrir automaticamente aplicativos de TI conhecidos e sombreadores e seus usuários, uso, custos e riscos associados. Alguns SMPs fornecem acesso avançado baseado em funções que torna ainda mais fácil para as partes interessadas em SaaS descobrir os dados de que precisam especificamente e tomar ações direcionadas.
Com informações em tempo real sobre a TI sombra nova e existente e aplicativos sancionados e usuários disponíveis na ponta dos dedos, as equipes de TI e segurança de TI podem confiar com confiança nesses dados como sua única fonte de verdade. Eles podem ver facilmente aplicativos que estão em risco devido a não serem sancionados e / ou serem acessíveis por ex-funcionários e contratados que nunca foram desembarcados. E eles podem tomar medidas para avaliar aplicativos não sancionados e remover licenças de usuários não autorizados.
O treinamento em segurança cibernética precisa de mais atenção
Ter um sistema confiável de registro para informações relacionadas ao aplicativo é essencial. Mas, para combater as vulnerabilidades de segurança cibernética, ele deve ser combinado com a educação dos funcionários da empresa sobre o que eles devem fazer pessoalmente para ajudar a minimizar os riscos. Por exemplo, como reconhecer e evitar cair em ataques de phishing e por que adquirir e integrar aplicativos sem o conhecimento das equipes de TI e segurança coloca a empresa em risco.
Mas uma pesquisa recente da Torii descobriu que apenas 15% dos líderes e gerentes de TI classificaram o treinamento e a educação em segurança como a arma mais forte em seu arsenal de segurança cibernética.
As forças de trabalho remotas tornam as empresas ainda mais vulneráveis – e 80% dos funcionários estão trabalhando totalmente remotamente ou em ambientes híbridos, de acordo com uma pesquisa realizada pela Gallup. Além disso, a Hornet Security descobriu que 33% das empresas não estão fornecendo nenhum treinamento de conscientização sobre segurança cibernética para usuários que trabalham remotamente, destacando as lacunas que as organizações enfrentam ao priorizar a segurança.
A TI liderada pelos negócios está aqui para ficar, assim como os aplicativos de TI sombra. Se sua empresa ainda não tem uma maneira de descobrir automaticamente todos os aplicativos e usuários da nuvem e não é rigorosa sobre o treinamento em segurança cibernética para todos os funcionários, agora é a hora de colocar essas ferramentas e práticas em prática.
FONTE: HELPNET SECURITY