Shadow IT: Riscos de segurança da informação ocultos

O uso de softwares e dispositivos sem o conhecimento da área de TI é chamado de TI invisível, e é responsável por oferecer brechas para invasões
Emilia Bertolli
2 minuto de leitura
Ultima atualização 29 de Junho de 2021

Empresas que mantém um bom diálogo com seus funcionários e criam diretrizes transparentes em relação à segurança da informação, podem encontrar um equilíbrio entre segurança e produtividade.

Quando isso não ocorre, os riscos de vazamento de informações são grandes. Um dos riscos é o uso de softwares e/ou dispositivos sem o conhecimento da área de TI. Ou seja, o uso de aplicativos e programas que não foram analisados e aprovados pela TI para trabalhar com os dados da empresa.

O problema não é novo. Na busca por mais produtividade, os funcionários acabam demonstrando impaciência em relação a uma suposta morosidade da área de TI em liberar o uso de novos aplicativos e dispositivos, com isso, a TI invisível (como é conhecida no Brasil) se faz presente em boa parte das empresas.

Um monstro que não para de crescer

Estudos do Gartner mostram que a TI invisível é responsável por 30% a 40% dos gastos com TI em grandes empresas. Boa parte devido à proliferação do SaaS (Software como serviço, em português). Ainda de acordo com o Gartner, até 2020, um terço dos ataques bem-sucedidos serão provenientes da TI invisível.

Mas, talvez o maior complicador, seja subestimar o alcance da TI invisível. Relatório Shadow IT, da Cisco, mostra que a maioria do CIOs não têm noção da quantidade de serviços em nuvem executados pela empresa. No levantamento, os CIOs estimaram em 51 esses serviços, sendo que o número real ultrapassou 700 serviços em nuvem sendo executados.

A realidade é simples: a área de TI não tem capacidade para responder a todos os requisitos de negócios. Normalmente ela é lenta e não atende aos anseios dos usuários corporativos. Com isso, esses usuários constroem uma nova rede de funcionalidades e capacidades por meio da TI invisível.

Os riscos

O risco mais claro é o roubo de dados, mesmo que essa não seja a intenção do funcionário. Se não houver cuidado, qualquer funcionário pode coletar dados e com o uso de um cartão de crédito e acesso à internet, pode realizar procedimentos sem a autorização da empresa.

Sem a orientação correta por parte da TI, esses dados coletados podem ser hackeados e causar grande prejuízo, não apenas para a empresa. Com o GDPR, dados que não estão em sistemas controlados pela empresa são ainda mais difíceis de serem recuperados e, caso o funcionário esteja realmente roubando essas informações, a área de TI pode nunca saber que elas foram vazadas.

As empresas seguem diretrizes na hora de implementar um novo software ou dispositivo. Há testes que precisam ser feitos para garantir a segurança cibernética. Os funcionários, ao ignorarem esses procedimentos, abrem as portas para ataques e o roubo de dados.

Para evitar, é preciso que as áreas de TI, negócios, e demais departamentos da empresa, trabalhem juntas, criem processos e procedimentos para o melhor aproveitamento da força de trabalho e da tecnologia disponível.  É preciso que a TI esteja, também, disposta a ouvir os funcionários, para entender quais suas necessidades de trabalho.

Com a solução Varonis DataPrivilege é possível gerenciar rapidamente o controle de acesso aos dados armazenados. Cada solicitação é encaminhada para o correto responsável, dentro dos fluxos de trabalho configurados anteriormente.

O que devo fazer agora?

Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

1

Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

2

Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

3

Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

Experimente Varonis gratuitamente.

Obtenha um relatório detalhado de risco de dados com base nos dados da sua empresa.
Implanta em minutos.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

processo-é-o-fator-mais-importante-na-prevenção-de-invasões
Processo é o fator mais importante na prevenção de invasões
Há quem diga que, quando se trata de segurança, as pessoas são mais importantes que o processo na prevenção de invasões. Mas isso está incorreto.
aventuras-em-ataques-sem-malware
Aventuras em ataques sem malware
Até um ataque livre de malware pode ser perigoso para a rede da sua empresa. Conheça os detalhes e evite o compartilhamento de dados de forma inadequada.
a-diferença-entre-o-provisionamento-de-usuários-e-o-gerenciamento-de-acesso-a-dados-do-identity-and-access-management-(iam)
A diferença entre o provisionamento de usuários e o gerenciamento de acesso a dados do Identity and Access Management (IAM)
O Identity and Access Management (IAM) é “peça-chave” na integração do provisionamento de usuários com o gerenciamento de acesso a dados. Conheça os motivos.
o-que-é-spear-phishing?
O que é Spear Phishing?
Spear Phishing é um subconjunto de ataques de Phishing e tem como objetivo roubar informações que ajudem a invadir redes de dados