0
0
Não há como negar que o software como serviço (SaaS) entrou em sua era de ouro. As ferramentas de software tornaram-se essenciais para as operações de negócios modernas e a continuidade. No entanto, não há organizações suficientes que implementaram os processos de aquisição adequados para garantir que estão se protegendo de possíveis violações de dados e danos à reputação.
Um componente crítico que contribui para as preocupações em torno do gerenciamento de SaaS é a tendência crescente de TI sombra, que é quando os funcionários baixam e usam ferramentas de software sem notificar suas equipes internas de TI. Um estudo recente mostra que 77% dos profissionais de TI acreditam que a TI sombra está se tornando uma grande preocupação em 2023, com mais de 65% dizendo que suas ferramentas SaaS não estão sendo aprovadas. Além das preocupações óbvias em torno de gastos excessivos e interrupções na eficiência operacional, as organizações estão começando a lutar para manter a segurança à medida que seu uso de SaaS continua a se espalhar.
Infelizmente, ignorar a TI sombra não é mais uma opção para muitas organizações. Violações de dados e outros ataques de segurança estão custando às empresas US $ 4,5 milhões em média, com muitos deles ocorrendo devido a um cenário de software em expansão. Para combater a TI sombra e os altos riscos que a acompanham, as organizações devem obter maior visibilidade sobre suas pilhas de SaaS e instituir um processo de aquisição eficaz ao trazer novas soluções de software.
Por que a Shadow IT é uma responsabilidade tão grande?
Todos os problemas que envolvem a TI sombra podem ser rastreados até a falta de visibilidade de uma organização. Uma pilha de software não gerenciada não dá às equipes de TI zero visão de como as informações confidenciais da empresa estão sendo usadas e distribuídas. Como essas ferramentas não são examinadas adequadamente e não são monitoradas, os dados que elas armazenam não são adequadamente protegidos pela maioria das organizações.
Isso cria a estrutura perfeita para que os hackers apreendam facilmente dados importantes, como registros financeiros confidenciais ou detalhes pessoais. Os dados corporativos críticos estão em risco porque a maioria, se não todas, as ferramentas SaaS exigem credenciais corporativas e acesso à rede interna de uma organização. Uma pesquisa recente da Adaptive Shield e da CSA mostra que, apenas no ano passado, 63% dos CISOs relataram incidentes de segurança desse tipo de uso indevido de SaaS.
As consequências de nenhuma ação
Como dito anteriormente, o tema recorrente que muitas empresas estão experimentando com a TI sombra é o risco associado a uma violação de dados. No entanto, é igualmente importante perceber o potencial escrutínio da indústria que as empresas enfrentam e as penalidades que recebem dos reguladores por causa da ampla TI sombra. Quando um software não aprovado é adicionado à pilha de tecnologia de uma organização, ele provavelmente não atende aos padrões de conformidade – como o Regulamento Geral de Proteção de Dados (GDPR), a Lei Federal de Gerenciamento de Segurança da Informação (FISMA) e a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) – que as empresas devem manter. Para organizações em setores regulatórios rigorosos, as consequências de serem penalizadas por falhas de conformidade podem causar danos irreparáveis à reputação – um problema que não pode ser corrigido simplesmente pagando a taxa associada à penalidade.
Além dos custos associados a uma falha de segurança e aos danos à reputação que uma empresa recebe, as organizações também estão alheias aos dólares operacionais desperdiçados gastos em aplicativos e ferramentas. Infelizmente, pode ser quase impossível para as grandes organizações descobrir todos os aplicativos que a empresa nunca sancionou devido a complicações como subequipes desonestas, departamentos autoprovisionando seu próprio software ou funcionários usando credenciais corporativas para acessar ferramentas freemium ou de assento único.
Então, como corrigimos o dilema da TI sombra?
O primeiro passo crucial para corrigir a expansão de SaaS de uma organização e garantir que a TI sombra nunca o coloque em uma posição comprometedora é obter visibilidade da pilha de software existente. Sem visibilidade, uma organização ficará cega para quais ferramentas estão sendo usadas e não será capaz de tomar decisões informadas sobre a centralização de seu software. As equipes de TI devem se concentrar em atualizar a documentação de seu portfólio de software e fazer registros das funções do aplicativo, da utilização do software, da duração do contrato/assinatura de cada ferramenta e do custo.
Uma vez que o acesso a essas informações é recebido e atualizado adequadamente, as equipes de TI podem estabelecer quais ferramentas são essenciais e onde as alterações podem ser feitas. Após a limpeza da casa, as empresas podem criar um sistema de compras centralizado para garantir que todas as compras futuras sejam coordenadas entre os departamentos e que todas as medidas de segurança ou padrões de conformidade sejam continuamente atendidos para evitar violações de segurança e penalidades de regulamentação. Ter esses registros ajudará as organizações a acompanhar facilmente todo o uso, minimizando assim os custos desperdiçados e as falhas de segurança.
O obstáculo mais difícil para as empresas que sentem o impacto da TI sombra e da expansão geral do SaaS é reconhecer que você tem um problema de gerenciamento de software e encontrar uma solução para resolver o problema. Entre a pressão econômica e o escrutínio regulatório, as organizações não têm mais o luxo de ignorar a crescente preocupação da TI sombra e os tipos de software que usam.
FONTE: DARK READING