In timpul pandemiei numeroase companii au pus pe primul loc desfasurarea neintrerupta a afacerii in detrimentul securitatii cibernetice. Accentul a fost pus, mai ales la inceputul acestei perioade, pe finalizarea cat mai lipsita de oprelisti a taskurilor, prin sprijinirea unei tranzitii rapide la lucrul la distanta si prin gasirea de noi abordari fata de clienti. Consecinta acestor practici a dus la compromisuri in politicile de securitate pentru a oferi suport personalului pe masura ce acesta a facut ajustari mari legate de stilul de lucru, o strategie justificabila in conditiile date.
Locul de munca post-pandemic de tip hibrid reprezinta o noua faza, care aduce, pe masura ce inaintam in timp, un nivel complet nou de procese IT, lipsit de transparenta, care adauga o noua responsabilitate pentru echipele de securitate IT. Noua provocare lansata de acest nou spatiu de lucru, „din umbra”, este legata de faptul ca riscul cibernetic se amplifica foarte mult.
Concluzia este ca, fara un control in timp real, utilizarea de catre angajati a software-ului si a echipamentelor, in afara unor reglementari ale departamentul IT, ar putea sa devina o amenintare majora pentru organizatie. Intrebarea este ce se poate face in aceasta privinta, atunci cand pana si dimensiunea problemei este greu de stabilit.
Ce este „shadow IT”?
Sintagma shadow IT exista de ani de zile. Aceasta face referire la orice tip de aplicatie, solutie sau echipament hardware folosit de catre angajati fara acordul si supervizarea departamentului IT. Acestea pot fi, in unele cazuri, tehnologii de nivel business, utilizate si achizitionate fara instiintarea personalului IT. Insa, de cele mai multe ori, sunt tehnologii de larg consum, ce aduc riscuri sporite companiei.
Shadow IT presupune de asemenea:
De ce are loc acest fenomen?
Fenomenul shadow IT apare, de obicei, atunci cand angajatii sunt reticenti fata de instrumentele IT corporative, considerate de ei ineficiente, si care, din perspectiva lor, ingreuneaza productivitatea. Odata cu venirea pandemiei, multe organizatii, fortate de situatie, au permis folosirea de catre personal a dispozitivelor proprii pentru a lucra de acasa. Astfel, s-a deschis o portita pentru descarcarea de aplicatii neautorizate.
Pe fondul strategiei de a „rezolva mai repede lucrurile”, shadow IT este inrautatit de faptul ca managerii IT, insisi, au fost fortati sa suspende unele dintre politicile existente inainte de pandemie, dar si de faptul ca multi angajati nu cunosc politica de securitate corporativa. Conform unui studiu recent, 76% dintre echipele IT admit ca au situat securitatea pe plan secund in favoarea continuitatii afacerii in era Covid-19, in timp ce 91% confirma ca au fost martorii implementarii unor modificari in fluxurile de lucru ce au avut ca efect direct slabirea securitatii.
Pandemia a incurajat, de asemenea, o folosire mai intensa a shadow IT, pentru ca echipele IT au fost mai putin vizibile fizic pentru angajati. Din punct de vedere psihologic, aceasta constientizare redusa in randul angajatilor a prezentei departamentului IT i-a facut pe acestia predispusi sa nu se supuna politicilor oficiale si a ingreunat procesul prin care utilizatorii validau cu responsabilii IT noile instrumente, inainte de folosire.
Cercetari recente arata ca, la nivel mondial, 66% dintre cei care lucreaza la distanta au recunoscut ca au incarcat date ale companiei intr-o aplicatie care nu este destinata efectiv pentru lucru pe un echipament business, iar peste jumatate (56%) au declarat ca au folosit in mod frecvent o astfel de aplicatie. Aproape o treime (29%) au marturisit ca au simtit ca utilizarea unei aplicatii care nu este strict conceputa pentru lucru in mediul business poate trece nedetectata si ca au ales aceasta varianta pentru ca solutiile oferite de departamentul IT au fost „absurde”.
Amploarea problemei
Desi folosirea echipamentelor personale in scenarii de lucru de tip BYOD (bring your own device) poate explica partial, in contextul pandemic, riscurile cu care vine shadow IT, problema nu se termina aici. Exista, de asemenea, o amenintare ce nu este luata in considerare, venita din partea anumitor unitati business specifice, care gazduiesc resurse in cloud-ul corporativ de tip IaaS sau PaaS. Vulnerabilitatea de la acest nivel se datoreaza faptului ca multi utilizatori nu dau atentie modelului de responsabilitate comuna in cloud si presupun ca furnizorul de servicii cloud (CSP) este direct si unic raspunzator de securitate. De fapt, securizarea aplicatiilor si a datelor revine organizatiei client.
Chiar insasi natura shadow IT-ului face, din pacate, dificila intelegerea pe deplin a adevaratei extinderi a problemei. Un studiu realizat in 2019 arata ca 64% dintre angajatii din SUA si-au creat cel putin un cont fara a instiinta departamentul IT. Alte cercetari sustin ca, inca de dinainte de pandemie, 65% din personalul care lucra de la distanta utilizeaza instrumente fara aprobarea echipei IT, in timp ce, in prezent, 40% dintre angajati folosesc aplicatii de comunicare si colaborare „in umbra”. O alta analiza interesant a aceluiasi studiu arata ca tendinta de utilizare a shadow IT variaza in functie de varsta: 54% dintre Milennials spun ca practica acest lucru, spre deosebire de doar 15% dintre Baby Boomers.
De ce este shadow IT o amenintare?
Riscul potential pe care shadow IT-ul il poate aduce organizatiei exista si nu poate fi contestat. Putem lua ca exemplu o situatie de la inceputul acestui an, in care o companie de identificare a contactelor din SUA ar fi expus detaliile a 70.000 de persoane, consecinta a folosirii de catre personal a unui „canal de colaborare neautorizat”, partajand informatii prin conturi Google.
Iata o scurta prezentare a riscului poten?ial al shadow IT-ului pentru organizatii:
Cum ar trebui abordat shadow IT
Echipele IT nu trebuie sa desconsidere amploarea fenomenului shadow IT si riscul serios pe care il presupune. Din fericire, exista practici pentru a-l diminua:
Practicile de shadow IT sporesc riscul cibernetic si extind suprafata de atac la nivel corporativ. Acest fenomen a ajuns la dimensiunea actuala pentru ca instrumentele si politicile folosite in prezent sunt deseori privite ca extrem de restrictive. Un remediu poate veni din partea departamentelor IT, nevoite sa-si adapteze propria cultura pentru a se apropia cat mai mult de nevoile fortei de lucru din organizatie.
ESET, un lider global pe piata de solutii de securitate cibernetica, cu peste 30 de ani de experienta si inovatie, ofera o paleta de solutii antivirus si antimalware, cu protectie multi-strat integrata, care pot depista din timp atacuri tip ransomware, evitand astfel daunele severe la nivelul resurselor si reputatiei companiei.
ESET PROTECT Advanced este o solutie antivirus si anti-malware destinata nevoilor IMM-urilor si ofera, prin layer-ul ESET Dynamic Threat Defense protectie de tip cloud-sandbox pentru sisteme (impotriva ransomware-ului si amenintarilor de tip zero-day) dar si protectie dedicata a datelor la acces neautorizat in caz de furt sau pierdere echipamente, prin criptarea completa a hard disk-urilor (pentru datele stocate pe laptopuri). Produsul raspunde, asadar, provocarii de a gestiona si proteja retelele IT business in fata amenintarilor informatice tot mai dinamice.
Solutia poate fi testata gratuit, in infrastructura din compania dumneavoastra, fara nicio obligatie ulterioara. Pentru mai multe detalii ai pentru descarcarea unei variante de test, da?i click aici.
Ultimele NOUTATI
10 skill-uri cheie pe care orice manager de top ar trebui sa le stapaneasca in 2025
Romanii isi vor goli buzunarele de peste 1,2 miliarde de euro, pe cumparaturi de Black Friday. Ce se afla pe lista de dorinte?
Vreti sa concediati un salariat pentru necorespundere profesionala? Atentie la acest aspect!
In Romania amnistiilor fiscale exista si firme care-si platesc cu sfintenie taxele si impozitele. ANAF ii face cunoscuti pe patroni!
Partenerii nostri
Agent de munca temporara. CONDITII de autorizare, pas cu pas
cerere concediu fara plata model
Sanctionarea concedierilor NELEGALE - cauzele de nulitate si despagubiri pentru salariati
Lichidare societate comerciala: formulare si monografie contabila
Tratamentul TVA in cazul vanzarii bunurilor imobile: exemple detaliate
TOP 3 greseli intalnite in balanta de verificare si cum sa le eviti
Te-ar putea interesa si