0
0
3 em cada 4 trabalhadores usam telefones e laptops pessoais (e muitas vezes não gerenciados) para trabalhar e quase metade das empresas permitem que dispositivos não gerenciados acessem recursos protegidos, revelou um relatório recente da Kolide e da Dimensional Research.
Quando questionados sobre a razão pela qual utilizam dispositivos pessoais para realizar o trabalho da empresa, os 334 profissionais de TI, segurança e negócios entrevistados ofereceram uma variedade de razões, incluindo três que mostram que muitos funcionários os utilizam para contornar as políticas de segurança da sua organização.
Os perigos da Shadow IT
A prevalência da Shadow IT em ambientes empresariais é um facto bem estabelecido.
Quando o departamento de TI da organização se recusa a aprovar uma solução necessária ou hesita quando solicitado a aprová-la, os funcionários de outros departamentos ficam tentados a implantá-la sem o conhecimento dos funcionários de TI.
O problema é agravado pelo uso generalizado de dispositivos pessoais/não gerenciados, já que o departamento de TI não tem como saber o que está acontecendo com eles, se eles são corrigidos/atualizados regularmente ou se foram comprometidos.
“Quando os engenheiros realizam trabalho de nível de produção em dispositivos pessoais, o risco de violação de uma organização dispara. Um malfeitor pode usar uma falha de segurança em um dispositivo não gerenciado para invadir o ambiente de produção, como na violação do LastPass . Mesmo um simples esmagamento e apreensão de um laptop pode se transformar em um pesadelo se o laptop estiver cheio de PII e a TI não tiver como apagá-lo remotamente”, observaram os pesquisadores da Kolide.
Os funcionários não devem ser responsabilizados por políticas de segurança falhas
Os trabalhadores usam seus dispositivos pessoais para trabalhar (entre outras coisas) para acessar sites e aplicativos que foram restringidos pelo departamento de TI e porque passar por medidas de segurança é frustrante.
Isto, e o facto de apenas 47% dos entrevistados terem afirmado que seguem sempre todas as políticas de cibersegurança, mostra que as políticas de segurança em vigor não estão a funcionar para todos.
“Infelizmente, não temos dados sobre quais políticas específicas os entrevistados consideraram justificadas, mas podemos fazer duas inferências a partir desta resposta: qualquer política de segurança que os trabalhadores possam ignorar à vontade não tem salvaguardas adequadas em torno dela, e se os trabalhadores que geralmente tentam seguir as regras ignoram uma política de segurança, ou não compreendem os riscos associados a um comportamento específico, ou a política em si é falha”, disseram os investigadores.
Empregadores e trabalhadores precisam de um diálogo mais aberto e honesto sobre segurança, salientaram. Os profissionais de segurança e TI devem fazer um esforço para compreender por que os trabalhadores sentem que têm de contornar as políticas.
Finalmente, os resultados do inquérito também desmascaram o mito de que a formação em segurança é inútil e um incómodo desprezado.
“Nos dados mais fortes do nosso inquérito, 96% dos trabalhadores (de todas as equipas e antiguidade) relataram que a formação era útil ou seria útil se fosse melhor concebida. A mensagem aqui é que as pessoas querem ser educadas sobre como se comportar com segurança”, concluíram os pesquisadores.
FONTE: HELP NET SECURITY