Muitas organizações possuem software, sistemas e soluções SaaS aprovadas para uso na empresa. Por exemplo, uma empresa pode usar oficialmente produtos Microsoft, como Office 365 e Azure, para operações comerciais.
Shadow IT ocorre quando um funcionário viola as políticas corporativas de TI. Isso pode incluir o uso de um Google Drive pessoal para armazenar documentos comerciais, inscrever-se em serviços SaaS não aprovados ou baixar dados comerciais em um laptop pessoal. Shadow IT pode introduzir riscos de segurança para uma organização porque estas soluções não foram avaliadas quanto a questões de segurança ou Conformidade ou integradas num plano de gestão de risco corporativo.
As empresas geralmente criam políticas corporativas de TI como parte de suas estratégias de segurança. Ao definir a lista de softwares aceitáveis, uma organização pode obter visibilidade e controle sobre seus possíveis riscos de segurança e implantar soluções de segurança SaaS para mitigá-los.
No entanto, as políticas corporativas de TI podem causar atritos no fluxo de trabalho de um funcionário. Isso pode ser tão simples quanto a empresa usar o Microsoft Office 365 quando um funcionário prefere o Google Docs ou pode incluir medidas que dificultem o trabalho dos funcionários na tentativa de melhorar a segurança.
Shadow IT é uma tentativa de escapar ou superar essas restrições que são vistas como barreiras à capacidade de um funcionário realizar seu trabalho. A ascensão das soluções SaaS contribuiu para o crescimento da Shadow IT porque estas soluções fornecem aos funcionários alternativas convenientes e fáceis de usar às soluções corporativas aprovadas.
Shadow IT pode parecer inofensivo ou até benéfico para os funcionários. Ao utilizar plataformas e ferramentas que os tornem mais produtivos, podem melhorar a eficiência e a rentabilidade do negócio. No entanto, Shadow IT também introduz riscos significativos para a organização.
Se os dados corporativos forem colocados em serviços ou plataformas não aprovados, como armazenamento em nuvem ou uma plataforma de mensagens como o Slack, esses dados ficarão fora da visibilidade e do controle das equipes corporativas de TI e segurança. Se as configurações de segurança desta plataforma forem configuradas incorretamente — como tornar as unidades de armazenamento em nuvem visíveis publicamente —, dados corporativos confidenciais poderão ser violados. Shadow IT também pode criar desafios de Conformidade para uma organização se ela não conseguir provar que controla o acesso a dados confidenciais ou se o uso de uma plataforma específica viola regras de transferência de dados, como as definidas no Regulamento Geral de Proteção de Dados da UE.
Shadow IT é um risco em qualquer organização, pois os funcionários podem se inscrever em serviços não aprovados e transferir dados confidenciais para eles. A proteção Shadow IT é essencial para obter visibilidade sobre esse uso não autorizado de serviços de TI e proteger os dados corporativos contra acesso e divulgação não autorizados.
O risco de Shadow IT é difícil de ser gerenciado pelas organizações porque, por definição, o risco envolve sistemas que estão fora do controle de uma organização. Os funcionários podem colocar dados corporativos em sistemas e serviços não autorizados que os expõem a ataques cibernéticos.
Uma abordagem comum para o gerenciamento de riscos de TI paralela é a educação dos funcionários. Freqüentemente, os funcionários veem as políticas corporativas de TI como um obstáculo que torna mais difícil para eles realizarem seu trabalho. Ao ensinar aos funcionários sobre as políticas corporativas e as razões para elas, as organizações podem reduzir a probabilidade de os funcionários as violarem.
No entanto, a educação dos funcionários é uma solução imperfeita. Alguns funcionários com pleno conhecimento das políticas corporativas de TI e segurança, bem como de seus fundamentos e benefícios, ainda assim tentarão contorná-las. Nessas situações, uma organização só pode gerenciar seus riscos de Shadow IT implantando soluções que possam identificar o uso de Shadow IT e permitir que a empresa responda a ele.
Um dos recursos comuns das soluções SaaS é que elas rastreiam as identidades dos usuários com base em suas contas de e-mail. Freqüentemente, o nome de usuário de uma conta SaaS é o endereço de e-mail do usuário, e o serviço enviará e-mails ao usuário para verificar sua conta e notificá-lo sobre atividades em suas contas.
Embora uma organização possa não ter visibilidade dos serviços SaaS de terceiros não autorizados nos quais os funcionários podem se inscrever, ela tem controle sobre as contas de email corporativas que os funcionários usarão para se inscrever nesses serviços. Ao verificar o tráfego de e-mail em busca de mensagens relacionadas a serviços não autorizados — como uma mensagem de boas-vindas, uma notificação ou um e-mail sobre uma mensagem recebida — uma organização pode identificar casos em que é provável que um funcionário esteja usando serviços de TI não autorizados para fins comerciais.
Check Point Harmony Email and Collaboration tem suporte integrado para detecção de Shadow IT. Ao inspecionar o tráfego de e-mail em busca de outras ameaças, o Harmony Email and Collaboration também procura esses sinais reveladores de shadow IT. Caso sejam detectados, um alerta é enviado à equipe de segurança para investigação.
Shadow IT representa uma ameaça significativa à segurança cibernética corporativa, segurança de dados e conformidade regulatória. Para saber como gerenciar os riscos de TI sombra da sua organização, inscreva-se hoje mesmo para uma demogratuita do Harmony Email and Collaboration. Alternativamente, experimente você mesmo com um teste gratuito.