ESET: Utilizarea echipamentelor neautorizate de tip hardware si software de catre angajati este o problema din ce in ce mai acuta in era muncii la distanta sau a celei hibride

Copierea de continut din prezentul site este supusa regulilor precizate in Termeni si conditii! Click aici.
Prin utilizarea siteului sunteti de acord, in mod implicit cu Termenii si conditiile! Orice abatere de la acestea constituie incalcarea dreptului nostru de autor si va angajeaza raspunderea!
X
ESET: Utilizarea echipamentelor neautorizate de tip hardware si software de catre angajati este o problema din ce in ce mai acuta in era muncii la distanta sau a celei hibride
ESET: Utilizarea echipamentelor neautorizate de tip hardware si software de catre angajati este o problema din ce in ce mai acuta in era muncii la distanta sau a celei hibride
de Redactia Manager la 25 Feb. 2022
eset protectsecuritate ciberneticashadow it

In timpul pandemiei numeroase companii au pus pe primul loc desfasurarea neintrerupta a afacerii in detrimentul securitatii cibernetice. Accentul a fost pus, mai ales la inceputul acestei perioade, pe finalizarea cat mai lipsita de oprelisti a taskurilor, prin sprijinirea unei tranzitii rapide la lucrul la distanta si prin gasirea de noi abordari fata de clienti. Consecinta acestor practici a dus la compromisuri in politicile de securitate pentru a oferi suport personalului pe masura ce acesta a facut ajustari mari legate de stilul de lucru, o strategie justificabila in conditiile date. 

 

Locul de munca post-pandemic de tip hibrid reprezinta o noua faza, care aduce, pe masura ce inaintam in timp, un nivel complet nou de procese IT, lipsit de transparenta, care adauga o noua responsabilitate pentru echipele de securitate IT. Noua provocare lansata de acest nou spatiu de lucru, „din umbra”, este legata de faptul ca riscul cibernetic se amplifica foarte mult. 


Concluzia este ca, fara un control in timp real, utilizarea de catre angajati a software-ului si a echipamentelor, in afara unor reglementari ale departamentul IT, ar putea sa devina o amenintare majora pentru organizatie. Intrebarea este ce se poate face in aceasta privinta, atunci cand pana si dimensiunea problemei este greu de stabilit.


Ce este „shadow IT”?


Sintagma shadow IT exista de ani de zile. Aceasta face referire la orice tip de aplicatie, solutie sau echipament hardware folosit de catre angajati fara acordul si supervizarea departamentului IT. Acestea pot fi, in unele cazuri, tehnologii de nivel business, utilizate si achizitionate fara instiintarea personalului IT. Insa, de cele mai multe ori, sunt tehnologii de larg consum, ce aduc riscuri sporite companiei. 


Shadow IT presupune de asemenea:


 

  • Stocarea de fisiere, de tip consumer-grade, utilizata in paralel cu cea business, pentru o colaborare, considerata mai rapida, în randul angajatilor.
  • Instrumentele management de proiect si de productivitate, care pot si ele initial sa ajute la colaborarea angajatilor si pot sa stimuleze capacitatea de a indeplini sarcinile zilnice.
  • Mesajele si datele transmise prin diferite platforme, pentru o comunicare mai usoara cu contactele vizate.
  • Infrastructura as a Service (IaaS) si Platforma as a Service (PaaS)  - care ar putea fi folosite pentru a gazdui resurse neautorizate.

De ce are loc acest fenomen?


Fenomenul shadow IT apare, de obicei, atunci cand angajatii sunt reticenti fata de instrumentele IT corporative, considerate de ei ineficiente, si care, din perspectiva lor, ingreuneaza productivitatea. Odata cu venirea pandemiei, multe organizatii, fortate de situatie, au permis folosirea de catre personal a dispozitivelor proprii pentru a lucra de acasa. Astfel, s-a deschis o portita pentru descarcarea de aplicatii neautorizate.


Pe fondul strategiei de a „rezolva mai repede lucrurile”, shadow IT este inrautatit de faptul ca managerii IT, insisi, au fost fortati sa suspende unele dintre politicile existente inainte de pandemie, dar si de faptul ca multi angajati nu cunosc politica de securitate corporativa.  Conform unui studiu recent, 76% dintre echipele IT admit ca au situat securitatea pe plan secund in favoarea continuitatii afacerii in era Covid-19, in timp ce 91% confirma ca au fost martorii implementarii unor modificari in fluxurile de lucru ce au avut ca efect direct slabirea securitatii.


Pandemia a incurajat, de asemenea, o folosire mai intensa a shadow IT, pentru ca echipele IT au fost mai putin vizibile fizic pentru angajati. Din punct de vedere psihologic, aceasta constientizare redusa in randul angajatilor a prezentei departamentului IT i-a facut pe acestia predispusi sa nu se supuna politicilor oficiale si a ingreunat procesul prin care utilizatorii validau cu responsabilii IT noile instrumente, inainte de folosire.  


Cercetari recente arata ca, la nivel mondial, 66% dintre cei care lucreaza la distanta au recunoscut ca au incarcat date ale companiei intr-o aplicatie care nu este destinata efectiv pentru lucru pe un echipament business, iar peste jumatate (56%) au declarat ca au folosit in mod frecvent o astfel de aplicatie. Aproape o treime (29%) au marturisit ca au simtit ca utilizarea unei aplicatii care nu este strict conceputa pentru lucru in mediul business poate trece nedetectata si ca au ales aceasta varianta pentru ca solutiile oferite de departamentul IT au fost „absurde”.


Amploarea problemei


Desi folosirea echipamentelor personale in scenarii de lucru de tip BYOD (bring your own device) poate explica partial, in contextul pandemic, riscurile cu care vine shadow IT, problema nu se termina aici. Exista, de asemenea, o amenintare ce nu este luata in considerare, venita din partea anumitor unitati business specifice, care gazduiesc resurse in cloud-ul corporativ de tip IaaS sau PaaS. Vulnerabilitatea de la acest nivel se datoreaza faptului ca multi utilizatori nu dau atentie modelului de responsabilitate comuna in cloud si presupun ca furnizorul de servicii cloud (CSP) este direct si unic raspunzator de securitate. De fapt, securizarea aplicatiilor si a datelor revine organizatiei client.


Chiar insasi natura shadow IT-ului face, din pacate, dificila intelegerea pe deplin a adevaratei extinderi a problemei. Un studiu realizat in 2019 arata ca 64% dintre angajatii din SUA si-au creat cel putin un cont fara a instiinta departamentul IT. Alte cercetari sustin ca, inca de dinainte de pandemie, 65% din personalul care lucra de la distanta utilizeaza instrumente fara aprobarea echipei IT, in timp ce, in prezent, 40% dintre angajati folosesc aplicatii de comunicare si colaborare „in umbra”. O alta analiza interesant a aceluiasi studiu arata ca tendinta de utilizare a shadow IT variaza in functie de varsta: 54% dintre Milennials spun ca practica acest lucru, spre deosebire de doar 15% dintre Baby Boomers.





De ce este shadow IT o amenintare?


Riscul potential pe care shadow IT-ul il poate aduce organizatiei exista si nu poate fi contestat. Putem lua ca exemplu o situatie de la inceputul acestui an, in care o companie de identificare a contactelor din SUA ar fi expus detaliile a 70.000 de persoane, consecinta a folosirii de catre personal a unui „canal de colaborare neautorizat”, partajand informatii prin conturi Google. 


Iata o scurta prezentare a riscului poten?ial al shadow IT-ului pentru organizatii:


 

  • Nu exista un control IT - software-ul ramane fara patch-uri aplicate sau poate fi configurat gresit (de exemplu, cu parole slabe), utilizatorii si datele companiei fiind expuse la atacuri
  • Nu sunt utilizate deserori solutii anti-malware business sau alte solutii de securitate pentru protectia retelelor sau a activelor de tip shadow IT
  • Nu exista posibilitatea de a controla partajarea accidentala/intentionata a datelor sau scurgerile de informatii
  • Provocari mari cu privire la conformitate si audit
  • Exista expunere ridicata la pierderea de date, pentru ca aplicatiile si datele shadow IT nu vor fi acoperite de procesele de backup corporative
  • Pot sa apara daune financiare si de reputatie in urma unei potentiale incalcari grave a securitatii datelor cu caracter personal si nu numai

Cum ar trebui abordat shadow IT


Echipele IT nu trebuie sa desconsidere amploarea fenomenului shadow IT si riscul serios pe care il presupune. Din fericire, exista practici pentru a-l diminua:


 

  • Implementati o procedura comunicata clar, necesara pentru obtinerea unei aprobari de utilizare si elaborati o politica cuprinzatoare pentru a face fata shadow IT-ului, incluzand o lista de echipamente software si hardware (aprobate si neaprobate) 
  • Incurajati transparenta in randul angajatilor, initiind un dialog sincer in ambele sensuri si oferind cursuri de instruire pentru impactul potential al shadow IT-ului
  • Ascultati feedback-ului angajatilor si adaptati politicile interne cu referire la instrumentele care functioneaz? sau nu. Poate fi cel mai bun moment pentru a echilibra mai bine securitatea si confortul muncii de acasa, printr-o adaptare a politicilor la noua era de lucru in sistem hibrid
  • Luati masurile adecvate si folositi instrumente de monitorizare pentru a detecta shadow IT-ul in companie sau oricare alte activitati riscante

Practicile de shadow IT sporesc riscul cibernetic si extind suprafata de atac la nivel corporativ. Acest fenomen a ajuns la dimensiunea actuala pentru ca instrumentele si politicile folosite in prezent sunt deseori privite ca extrem de restrictive. Un  remediu poate veni din partea departamentelor IT, nevoite sa-si adapteze propria cultura pentru a se apropia cat mai mult de nevoile fortei de lucru din organizatie.


ESET, un lider global pe piata de solutii de securitate cibernetica, cu peste 30 de ani de experienta si inovatie, ofera o paleta de solutii antivirus si antimalware, cu protectie multi-strat integrata, care pot depista din timp atacuri tip ransomware, evitand astfel daunele severe la nivelul resurselor si reputatiei companiei. 


ESET PROTECT Advanced este o solutie antivirus si anti-malware destinata nevoilor IMM-urilor si ofera, prin layer-ul ESET Dynamic Threat Defense protectie de tip cloud-sandbox pentru sisteme (impotriva ransomware-ului si amenintarilor de tip zero-day) dar si protectie dedicata a datelor la acces neautorizat in caz de furt sau pierdere echipamente, prin criptarea completa a hard disk-urilor (pentru datele stocate pe laptopuri). Produsul raspunde, asadar, provocarii de a gestiona si proteja retelele IT business in fata amenintarilor informatice tot mai dinamice. 


Solutia poate fi testata gratuit, in infrastructura din compania dumneavoastra, fara nicio obligatie ulterioara. Pentru mai multe detalii ai pentru descarcarea unei variante de test, da?i click aici. 



 
Urmareste-ne pe Google News

Ultimele NOUTATI

In regiune incepe sa se simta mirosul crizei din 2008: tara vecina cu Romania care aplica cea mai agresiva dobanda din ultimii 14 ani
Economie

In regiune incepe sa se simta mirosul crizei din 2008: tara vecina cu Romania care aplica cea mai agresiva dobanda din ultimii 14 ani

In regiunea noastra de Europa incepe sa se simta tot mai pregnant "mirosul" crizei economice din 2008, in sensul in care vedem cum dobanzile practicate de bancile centrale se apropie de...
today28 Iun. 2022
Ministrul Energiei da asigurari soferilor: benzinariile vor aplica reducerea pretului. Romania va avea astfel cel mai mic pret la carburant din UE, dupa Ungaria
Noutati auto 2022 - stiri din domeniul auto

Ministrul Energiei da asigurari soferilor: benzinariile vor aplica reducerea pretului. Romania va avea astfel cel mai mic pret la carburant din UE, dupa Ungaria

Ministrul Energiei, Virgil Popescu, isi exprima increderea cu privire la faptul ca benzinariile din tara noastra vor aplica reducerea de 50 de bani pe litrul de carburant, asa cum prevede legea pe...
today28 Iun. 2022
7 Modele de Contracte - actualizate conform GDPR

Aboneaza-te la Newsletterul Gratuit. Zilnic in Inboxul tau.

Vrei sa fii la curent cu cele mai noi articole despre Antreprenoriat, Economie, Imobiliare, Auto, IT&C si sa primesti GRATUIT Raportul Special:

"7 Modele de Contracte - actualizate conform GDPR"
Da, vreau informatii despre produsele Rentrop&Straton. Sunt de acord ca datele personale sa fie prelucrate conform Regulamentul UE 679/2016
Adauga comentariu

Partenerii nostri

Te-ar putea interesa si

Statul alearga dupa banii romanilor: se imprumuta masiv de la cetateni. Cum poti sa profiti de acest lucru
Economie

Statul alearga dupa banii romanilor: se imprumuta masiv de la cetateni. Cum poti sa profiti de acest lucru

today28 Iun. 2022
IMM INVEST PLUS, o noua sansa de finantare pentru firmele care au probleme cu lichiditatile: anuntul de ultima ora al Finantelor
Companii

IMM INVEST PLUS, o noua sansa de finantare pentru firmele care au probleme cu lichiditatile: anuntul de ultima ora al Finantelor

today28 Iun. 2022
Cele mai bune platforme de tranzactionare criptografica din 2022
Business

Cele mai bune platforme de tranzactionare criptografica din 2022

today28 Iun. 2022
Cele 5 situatii in care contractul de munca poate fi modificat fara acordul salariatului
Companii

Cele 5 situatii in care contractul de munca poate fi modificat fara acordul salariatului

today28 Iun. 2022

Aboneaza-te la Newsletterul Gratuit.
Zilnic in Inboxul tau.

Vrei sa fii la curent cu cele mai noi articole despre Antreprenoriat, Economie, Imobiliare, Auto, IT&C si sa primesti GRATUIT Raportul Special:

"7 Modele de Contracte - actualizate conform GDPR"


Da, vreau informatii despre produsele Rentrop&Straton. Sunt de acord ca datele personale sa fie prelucrate conform Regulamentului UE 679/2016
x