Jak zarządzać zagrożeniami związanymi z shadow IT?

Podczas pandemii wiele organizacji priorytetowo traktuje ciągłość biznesową kosztem cyberbezpieczeństwa, skupiając się na szybkim przechodzeniu w tryb pracy zdalnej i poszukiwaniu nowych sposobów docierania do klientów. Efektem zmian jest narastające zjawisko shadow IT, czyli wykorzystywania niezatwierdzonego przez pracodawcę czy dział bezpieczeństwa IT sprzętu i oprogramowania. To problem, z którym możemy zetknąć się praktycznie w każdej organizacji prywatnej czy publicznej. W rzeczywistości pracy hybrydowej powstała dodatkowa przestrzeń dla rozwoju shadow IT, a tym samym wzrosło ryzyko ataków nowymi kanałami. Sytuację pogarsza rozluźnianie polityki bezpieczeństwa IT.

Czym jest shadow IT?

Zjawisko shadow IT istnieje od lat. Termin ten odnosi się do używanych przez pracowników bez zgody i kontroli działu IT lub pracodawcy aplikacji, oprogramowania lub podłączonego do firmowej sieci sprzętu. Najczęściej są to urządzenia i oprogramowanie dla użytkowników indywidualnych, które używane w środowisku firmowym mogą narazić organizację na dodatkowe ryzyko w obszarze cyberbezpieczeństwa.

Zjawisko shadow IT zwykle pojawia się, gdy pracownicy mają dość nieefektywnych korporacyjnych narzędzi informatycznych, które ich zdaniem blokują produktywność lub proces pracy jest zaburzony. Wraz z pandemią wiele organizacji zostało zmuszonych do umożliwienia pracownikom korzystania z urządzeń prywatnych do wykonywania pracy w domu. To otworzyło drzwi do pobierania i wykorzystywania niezatwierdzonych aplikacji na telefonach i komputerach – mówi Beniamin Szczepankiewicz, starszy specjalista ds. cyberbezpieczeństwa w ESET.

Pandemia wzmacnia zjawisko shadow IT także ponieważ zespoły IT – za sprawą zdalnego trybu pracy – mogą być w mniejszym stopniu dostępne dla pracowników i proces weryfikacji może trwać o wiele dłużej. Utrudnia to sprawdzanie nowych narzędzi przed ich użyciem w ramach firmowej sieci i może przyczyniać się do łamania obowiązującej polityki bezpieczeństwa.

Chociaż rozpowszechniony w czasie pandemii trend „Bring your own device” (BYOD), czyli wykorzystywanie prywatnych urządzeń do celów służbowych, może częściowo wyjaśniać ryzyko związane z shadow IT, nie jest to pełen obraz problemu. Zagrożenie związane jest także z hostowaniem firmowych zasobów na prywatnych dyskach chmurowych, np. Dropbox itp. Problemem jest brak zrozumienia przez pracowników istoty problemu jakim jest przechowywanie na przykład firmowych dokumentów lub kontaktów w prywatnych serwisach. Zagrożeniem jest założenie, że dostawca usług dba o bezpieczeństwo zasobów na tym samym poziomie jak w organizacji, w której pracujemy. W rzeczywistości zabezpieczenie aplikacji i danych zależy od pracownika. A dział bezpieczeństwa IT nie może chronić zasobów shadow IT, gdy ich nie widzi – przestrzega Beniamin Szczepankiewicz z ESET.

Sytuację pogarsza rozluźnienie polityki bezpieczeństwa IT, która w czasach pandemii ma miejsce w wielu firmach. Choć 83% przebadanych przez Hewlett Packard specjalistów z działów IT uważa pracę zdalną za tykającą bombę dla zagrożeń sieci, to jednocześnie 76% przyznało, że podczas pandemii bezpieczeństwo straciło priorytet na rzecz ciągłości biznesowej, a 91% twierdzi, że odczuwa presję, by rozluźniać politykę bezpieczeństwa.

Dlaczego shadow IT jest groźne?

Nie ma wątpliwości, że zjawisko shadow IT stanowi zagrożenie dla organizacji. Potencjalne ryzyko może obejmować następujące aspekty:

  • brak kontroli działu IT oznacza, że używane przez pracowników oprogramowanie może zostać źle skonfigurowane lub zabezpieczone zbyt słabymi hasłami, co wzmaga zagrożenie cyberatakami,
  • brak stosowania firmowych rozwiązań przeciw złośliwemu oprogramowaniu lub innych narzędzi zabezpieczających zasoby sieci korporacyjnych,
  • brak kontroli nad przypadkowymi lub celowymi przypadkami wycieku lub udostępniania danych,
  • narażenie na utratę danych spowodowane brakiem firmowych procedur tworzenia kopii zapasowych dla aplikacji i narzędzi shadow IT,
  • wyzwania w zakresie procedur compliance i audytu,
  • szkody finansowe i wizerunkowe dla organizacji wynikające z poważnych naruszeń polityki bezpieczeństwa i wycieków danych.

Jak przeciwdziałać negatywnym skutkom shadow IT?

Pierwszym krokiem jest świadomość skali zagrożeń wynikających dla organizacji za sprawą shadow IT. Zdaniem ekspertów ESET ograniczeniu potencjalnego ryzyka pomóc może również:

  • wdrożenie kompleksowej polityki postępowania z shadow IT, która będzie między innymi zawierać listę zatwierdzonego i niezatwierdzonego w organizacji oprogramowania i sprzętu oraz jasno określony proces ubiegania się o zgodę na użycie rozwiązań spoza listy,
  • szkolenie pracowników z zakresu potencjalnego wpływu shadow IT na cyberbezpieczeństwo,
  • wsłuchiwanie się w opinie pracowników nt. skuteczności stosowanych w organizacji narzędzi oraz dostosowanie zasad, które zapewnią bezpieczeństwo i wygodę pracy,
  • korzystanie z narzędzi monitorujących wykorzystywanie shadow IT w organizacji – narzędzi oraz niebezpiecznego zachowania.

Leave a comment

Twój adres e-mail nie zostanie opublikowany.

Powiązane

Słuchawki odporne na pot

Opublikowane przez - 16 października 2015 0
Genius wprowadził do sprzedaży nowy model słuchawek dla aktywnych. Zdaniem producenta HS-M270 powinny zainteresować zarówno okazjonalnych biegaczy, jak i osoby, które…

Muzyka na lato od TIDAL i Orange

Opublikowane przez - 5 lipca 2019 0
Orange Polska oraz TIDAL przygotowali dla fanów muzyki specjalną, letnią promocję. Dzięki niej możesz słuchać swojej ulubionej muzyki w ramach…