Shadow IT: Políticas de segurança podem ser um problema

Views: 3226
0 0
Read Time:2 Minute, 39 Second

3 em cada 4 trabalhadores usam telefones e laptops pessoais (e muitas vezes não gerenciados) para trabalhar e quase metade das empresas permitem que dispositivos não gerenciados acessem recursos protegidos, revelou um relatório recente da Kolide e da Dimensional Research.

Quando questionados sobre a razão pela qual utilizam dispositivos pessoais para realizar o trabalho da empresa, os 334 profissionais de TI, segurança e negócios entrevistados ofereceram uma variedade de razões, incluindo três que mostram que muitos funcionários os utilizam para contornar as políticas de segurança da sua organização.

Os perigos da Shadow IT

A prevalência da Shadow IT em ambientes empresariais é um facto bem estabelecido.

Quando o departamento de TI da organização se recusa a aprovar uma solução necessária ou hesita quando solicitado a aprová-la, os funcionários de outros departamentos ficam tentados a implantá-la sem o conhecimento dos funcionários de TI.

O problema é agravado pelo uso generalizado de dispositivos pessoais/não gerenciados, já que o departamento de TI não tem como saber o que está acontecendo com eles, se eles são corrigidos/atualizados regularmente ou se foram comprometidos.

“Quando os engenheiros realizam trabalho de nível de produção em dispositivos pessoais, o risco de violação de uma organização dispara. Um malfeitor pode usar uma falha de segurança em um dispositivo não gerenciado para invadir o ambiente de produção, como na violação do LastPass . Mesmo um simples esmagamento e apreensão de um laptop pode se transformar em um pesadelo se o laptop estiver cheio de PII e a TI não tiver como apagá-lo remotamente”, observaram os pesquisadores da Kolide.

Os funcionários não devem ser responsabilizados por políticas de segurança falhas

Os trabalhadores usam seus dispositivos pessoais para trabalhar (entre outras coisas) para acessar sites e aplicativos que foram restringidos pelo departamento de TI e porque passar por medidas de segurança é frustrante.

Isto, e o facto de apenas 47% dos entrevistados terem afirmado que seguem sempre todas as políticas de cibersegurança, mostra que as políticas de segurança em vigor não estão a funcionar para todos.

“Infelizmente, não temos dados sobre quais políticas específicas os entrevistados consideraram justificadas, mas podemos fazer duas inferências a partir desta resposta: qualquer política de segurança que os trabalhadores possam ignorar à vontade não tem salvaguardas adequadas em torno dela, e se os trabalhadores que geralmente tentam seguir as regras ignoram uma política de segurança, ou não compreendem os riscos associados a um comportamento específico, ou a política em si é falha”, disseram os investigadores.

Empregadores e trabalhadores precisam de um diálogo mais aberto e honesto sobre segurança, salientaram. Os profissionais de segurança e TI devem fazer um esforço para compreender por que os trabalhadores sentem que têm de contornar as políticas.

Finalmente, os resultados do inquérito também desmascaram o mito de que a formação em segurança é inútil e um incómodo desprezado.

“Nos dados mais fortes do nosso inquérito, 96% dos trabalhadores (de todas as equipas e antiguidade) relataram que a formação era útil ou seria útil se fosse melhor concebida. A mensagem aqui é que as pessoas querem ser educadas sobre como se comportar com segurança”, concluíram os pesquisadores.

FONTE: HELP NET SECURITY

POSTS RELACIONADOS