Sytuację pogarsza rozluźnianie polityki bezpieczeństwa IT. Według 76 procent zespołów IT uczestniczących w badaniu Hewlett Packard, w pandemicznej rzeczywistości bezpieczeństwo w ich organizacji straciło priorytet na rzecz ciągłości biznesowej, a 91 procent twierdzi, że odczuwa presję, by rozluźniać polityki bezpieczeństwa.
Czym jest shadow IT?
Zjawisko shadow IT istnieje od lat. Termin ten odnosi się do używanych przez pracowników bez zgody i kontroli działu IT lub pracodawcy aplikacji, oprogramowania lub podłączonego do firmowej sieci sprzętu. Najczęściej są to urządzenia i oprogramowanie dla użytkowników indywidualnych, które używane w środowisku firmowym mogą narazić organizację na dodatkowe ryzyko w obszarze cyberbezpieczeństwa.
Pandemia wzmacnia zjawisko shadow IT także ponieważ zespoły IT – za sprawą zdalnego trybu pracy – mogą być w mniejszym stopniu dostępne dla pracowników i proces weryfikacji może trwać o wiele dłużej. Utrudnia to sprawdzanie nowych narzędzi przed ich użyciem w ramach firmowej sieci i może przyczyniać się do łamania obowiązującej polityki bezpieczeństwa.
Sytuację pogarsza rozluźnienie polityki bezpieczeństwa IT, która w czasach pandemii koronawirusa ma miejsce w wielu firmach. Choć 83 proc. przebadanych przez Hewlett Packard specjalistów z działów IT uważa pracę zdalną za tykającą bombę dla zagrożeń sieci, to jednocześnie 76 proc. przyznało, że podczas pandemii bezpieczeństwo straciło priorytet na rzecz ciągłości biznesowej, a 91 procent twierdzi, że odczuwa presję, by rozluźniać politykę bezpieczeństwa.
Dlaczego shadow IT jest groźne?
Nie ma wątpliwości, że zjawisko shadow IT stanowi zagrożenie dla organizacji. Potencjalne ryzyko może obejmować następujące aspekty:
- brak kontroli działu IT oznacza, że używane przez pracowników oprogramowanie może zostać źle skonfigurowane lub zabezpieczone zbyt słabymi hasłami, co wzmaga zagrożenie cyberatakami brak stosowania firmowych rozwiązań przeciw złośliwemu oprogramowaniu lub innych narzędzi zabezpieczających zasoby sieci korporacyjnych
- brak kontroli nad przypadkowymi lub celowymi przypadkami wycieku lub udostępniania danych
- narażenie na utratę danych spowodowane brakiem firmowych procedur tworzenia kopii zapasowych dla aplikacji i narzędzi shadow IT
- wyzwania w zakresie procedur compliance i audytu
- szkody finansowe i wizerunkowe dla organizacji wynikające z poważnych naruszeń polityki bezpieczeństwa i wycieków danych.
Jak przeciwdziałać negatywnym skutkom shadow IT?
Pierwszym krokiem jest świadomość skali zagrożeń wynikających dla organizacji za sprawą shadow IT. Zdaniem ekspertów ESET ograniczeniu potencjalnego ryzyka pomóc może również:
- wdrożenie kompleksowej polityki postępowania z shadow IT, która będzie między innymi zawierać listę zatwierdzonego i niezatwierdzonego w organizacji oprogramowania i sprzętu oraz jasno określony proces ubiegania się o zgodę na użycie rozwiązań spoza listy
- szkolenie pracowników z zakresu potencjalnego wpływu shadow IT na cyberbezpieczeństwo
- wsłuchiwanie się w opinie pracowników nt. skuteczności stosowanych w organizacji narzędzi oraz dostosowanie zasad, które zapewnią bezpieczeństwo i wygodę pracy
- korzystanie z narzędzi monitorujących wykorzystywanie shadow IT w organizacji - narzędzi oraz niebezpiecznego zachowania.
Źródło: Eset