*Umberto Rosti
Todo gestor de TI e Security Officer, sabe da dificuldade de ter o controle dos dispositivos e aplicações de seu parque tecnológico; com a evolução do BYOD – Bring Your Own Device e Cloud Computing, isso tem sido extremamente complexo.
Temos encontrados clientes que não possuem um simples CMDB – Configuration Management Database, pasmem, como gerir a segurança de um ambiente se você nem sabe o que é seu. E quanto maior e mais complexo o seu ambiente, com mais riscos o gestor de segurança da informação terá que conviver.
Eis que surge, o que hoje é comumente chamado de Shadow IT.
Mas o que é Shadow IT? Um novo nome para algo que existe há muito tempo, a utilização de equipamentos, softwares ou outros equipamentos sem o conhecimento da área de TI.
Estes ativos, por não serem homologados pela companhia, podem trazer inúmeros riscos ao ambiente de tecnologia e seus controles implantados. Podemos citar o mais comum, o uso de armazenamento em nuvem, como o Dropbox, enviando para fora da organização, arquivos confidenciais.
Isso traz inúmeros riscos a organização!
Essa prática pode colocar em risco toda a infraestrutura de TI de uma empresa, colocando informações sigilosas e estratégicas à mercê de invasões.
Por mais que os funcionários estejam com boa intenção, essa prática poderá trazer sérios riscos à operação. Um ativo (Shadow IT) por não ser homologado, trará impactados no compliance (ex. softwares piratas), riscos à operação (ex. vazamento de informações sigilosas) e até gastos desnecessários (ex. concorrência no uso do link de internet por software não corporativo) e assim, se tornará facilmente o elo mais frágil para uma invasão sendo uma ameaça a organização.
Como esses ativos são invisíveis para a gestão de TI, essas tentativas ou mesmo invasões e quebra de controles, não serão detectadas no início e só serão percebidas quando os estragos forem maiores.
Conhecendo o Shadow IT, sabemos do risco oculto neste ambiente e que geralmente não é coberto por avaliações tradicionais do ambiente de TI.
Assim, para mitigar tais riscos e controlar o ambiente de TI, sugerimos fortemente algumas ações, que são:
- Tenha um CMDB atualizado, incluindo um processo para atualização periódica. Sabendo o que é homologado e qual seu parque tecnológico, você poderá controla-lo e medi-lo.
- Controle os administradores. Nenhum usuário comum precisa ser administrador de sua estação, tenha o controle dos usuários privilegiados e de acesso administrativos, assim, ninguém instalará algo sem o conhecimento de TI/SI.
- Tenha um bom EndPoint Management. Um bom software o ajudará com o CMDB de forma automatizada, bem como na detecção e controle de softwares não desejados, inclusive malwares e vírus, por exemplo.
- A utilização de um SIEM ou um SOC para monitorar o ambiente e seus acessos será extremamente útil para identificar e bloquear equipamentos que você não possa controlar como os BYOD. (caso sua empresa permita a utilização)
- Por fim, para elevar a maturidade e permitir um controle mais amplo, sugerimos a utilização de um DLP (Data Loss Prevention) em conjunto com um CASB (Cloud Acess Security Broker).
Se você ainda não tem controle sobre seu Shadow IT, ou não tem nenhum dos controles implantados acima, cuidado!
Sugiro você revisitar seus riscos e seu plano de ação, conscientizando a alta direção e incluindo essas ações em seu planejamento.
*Umberto Rosti é CEO da Safeway
Sobre a [SAFEWAY]
A SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil.
Hoje através de mais de 17 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.
Vamos tornar o mundo um lugar mais seguro para viver e fazer negócios!