Empresas que mantém um bom diálogo com seus funcionários e criam diretrizes transparentes em relação à segurança da informação, podem encontrar um equilíbrio entre segurança e produtividade.
Quando isso não ocorre, os riscos de vazamento de informações são grandes. Um dos riscos é o uso de softwares e/ou dispositivos sem o conhecimento da área de TI. Ou seja, o uso de aplicativos e programas que não foram analisados e aprovados pela TI para trabalhar com os dados da empresa.
O problema não é novo. Na busca por mais produtividade, os funcionários acabam demonstrando impaciência em relação a uma suposta morosidade da área de TI em liberar o uso de novos aplicativos e dispositivos, com isso, a TI invisível (como é conhecida no Brasil) se faz presente em boa parte das empresas.
Um monstro que não para de crescer
Estudos do Gartner mostram que a TI invisível é responsável por 30% a 40% dos gastos com TI em grandes empresas. Boa parte devido à proliferação do SaaS (Software como serviço, em português). Ainda de acordo com o Gartner, até 2020, um terço dos ataques bem-sucedidos serão provenientes da TI invisível.
Mas, talvez o maior complicador, seja subestimar o alcance da TI invisível. Relatório Shadow IT, da Cisco, mostra que a maioria do CIOs não têm noção da quantidade de serviços em nuvem executados pela empresa. No levantamento, os CIOs estimaram em 51 esses serviços, sendo que o número real ultrapassou 700 serviços em nuvem sendo executados.
A realidade é simples: a área de TI não tem capacidade para responder a todos os requisitos de negócios. Normalmente ela é lenta e não atende aos anseios dos usuários corporativos. Com isso, esses usuários constroem uma nova rede de funcionalidades e capacidades por meio da TI invisível.
Os riscos
O risco mais claro é o roubo de dados, mesmo que essa não seja a intenção do funcionário. Se não houver cuidado, qualquer funcionário pode coletar dados e com o uso de um cartão de crédito e acesso à internet, pode realizar procedimentos sem a autorização da empresa.
Sem a orientação correta por parte da TI, esses dados coletados podem ser hackeados e causar grande prejuízo, não apenas para a empresa. Com o GDPR, dados que não estão em sistemas controlados pela empresa são ainda mais difíceis de serem recuperados e, caso o funcionário esteja realmente roubando essas informações, a área de TI pode nunca saber que elas foram vazadas.
As empresas seguem diretrizes na hora de implementar um novo software ou dispositivo. Há testes que precisam ser feitos para garantir a segurança cibernética. Os funcionários, ao ignorarem esses procedimentos, abrem as portas para ataques e o roubo de dados.
Para evitar, é preciso que as áreas de TI, negócios, e demais departamentos da empresa, trabalhem juntas, criem processos e procedimentos para o melhor aproveitamento da força de trabalho e da tecnologia disponível. É preciso que a TI esteja, também, disposta a ouvir os funcionários, para entender quais suas necessidades de trabalho.
Com a solução Varonis DataPrivilege é possível gerenciar rapidamente o controle de acesso aos dados armazenados. Cada solicitação é encaminhada para o correto responsável, dentro dos fluxos de trabalho configurados anteriormente.