Artigos

Como mitigar os riscos de Shadow It em sua empresa

By 1 de março de 2019 No Comments

Todo gestor de TI e Security Officer, sabe da dificuldade de ter o controle dos dispositivos e aplicações de seu parque tecnológico; com a evolução do BYOD – Bring Your Own Device e Cloud Computing, isso tem sido extremamente complexo.

Temos encontrados clientes que não possuem um simples CMDB – Configuration Management Database, pasmem, como gerir a segurança de um ambiente se você nem sabe o que é seu. E quanto maior e mais complexo o seu ambiente, com mais riscos o gestor de segurança da informação terá que conviver.

Eis que surge, o que hoje é comumente chamado de Shadow IT.

Mas o que é Shadow IT? Um novo nome para algo que existe há muito tempo, a utilização de equipamentos, softwares ou outros equipamentos sem o conhecimento da área de TI.

Estes ativos, por não serem homologados pela companhia, podem trazer inúmeros riscos ao ambiente de tecnologia e seus controles implantados. Podemos citar o mais comum, o uso de armazenamento em nuvem, como o Dropbox, enviando para fora da organização, arquivos confidenciais.

Isso traz inúmeros riscos a organização!

Essa prática pode colocar em risco toda a infraestrutura de TI de uma empresa, colocando informações sigilosas e estratégicas à mercê de invasões.

Por mais que os funcionários estejam com boa intenção, essa prática poderá trazer sérios riscos à operação. Um ativo (Shadow IT) por não ser homologado, trará impactados no compliance (ex. softwares piratas), riscos à operação (ex. vazamento de informações sigilosas) e até gastos desnecessários (ex. concorrência no uso do link de internet por software não corporativo) e assim, se tornará facilmente o elo mais frágil para uma invasão sendo uma ameaça a organização.

Como esses ativos são invisíveis para a gestão de TI, essas tentativas ou mesmo invasões e quebra de controles, não serão detectadas no início e só serão percebidas quando os estragos forem maiores.

Conhecendo o Shadow IT, sabemos do risco oculto neste ambiente e que geralmente não é coberto por avaliações tradicionais do ambiente de TI.

Assim, para mitigar tais riscos e controlar o ambiente de TI, sugerimos fortemente algumas ações, que são:

  1. Tenha um CMDB atualizado, incluindo um processo para atualização periódica. Sabendo o que é homologado e qual seu parque tecnológico, você poderá controla-lo e medi-lo.
  2. Controle os administradores. Nenhum usuário comum precisa ser administrador de sua estação, tenha o controle dos usuários privilegiados e de acesso administrativos, assim, ninguém instalará algo sem o conhecimento de TI/SI.
  3. Tenha um bom EndPoint Management. Um bom software o ajudará com o CMDB de forma automatizada, bem como na detecção e controle de softwares não desejados, inclusive malwares e vírus, por exemplo.
  4. A utilização de um SIEM ou um SOC para monitorar o ambiente e seus acessos será extremamente útil para identificar e bloquear equipamentos que você não possa controlar como os BYOD. (caso sua empresa permita a utilização)
  5. Por fim, para elevar a maturidade e permitir um controle mais amplo, sugerimos a utilização de um DLP (Data Loss Prevention) em conjunto com um CASB (Cloud Acess Security Broker).

 

Se você ainda não tem controle sobre seu Shadow IT, ou não tem nenhum dos controles implantados acima, cuidado!

Sugiro você revisitar seus riscos e seu plano de ação, conscientizando a alta direção e incluindo essas ações em seu planejamento.

 

 

Sobre a [SAFEWAY]

[SAFEWAY] é uma empresa amplamente reconhecida como provedora de soluções premium em Segurança da Informação e CyberSecurity. De seu extenso portfólio, destacam-se diversas soluções, entre elas as baseadas nas plataformas:

  • Archer da RSA Security, considerada pelos institutos  Gartnere  Forrester e pelo próprio mercado, a mais completa solução de integração de processos de Governança, Gestão de Riscos, Compliance e Gestão de Continuidade de Negócios;
  • [SAFEWAY]Security Tower, suportada pelo IBMQradar (tecnologia Watson), sob medida para cada organização em suas necessidades de gestão de segurança e cyberdefesa.
  • E outras, envolvendo tecnologias  Imperva,  Thales,  BeyondTrust,  VaronisWatchGuard Technologies.