Imagine a seguinte situação. Você está trabalhando com uma agência que o está ajudando a criar uma coleção de folhetos que você levará para uma feira comercial. A gráfica precisa dos arquivos amanhã, mas o link que você forneceu à agência para a sua área segura de upload não está funcionando. O designer sugere que você faça o download de um aplicativo que facilite o compartilhamento de arquivos grandes. Devido à pressão da gerência, você faz o download do aplicativo porque absolutamente deve cumprir o prazo de impressão.
Parece familiar? Se essa situação não é difícil de imaginar, é porque acontece o tempo todo em empresas de todos os lugares. Embora a maioria das pessoas raramente admita que contornou o departamento de TI corporativo e instalou malware, elas o fazem. Estatisticamente 82% de violações envolvem um elemento humano. Erros como o download de software arriscado, clicar em links de phishing ou um simples erro humano desempenham um papel importante nos incidentes e violações de segurança cibernética.
O mais complicado é que, muitas vezes, nada acontece quando os funcionários se tornam desonestos. O software que você usou para compartilhar esses folhetos é legítimo, seu fornecedor imprime o material de apoio, você não introduz novos riscos e nada muda. Não se preocupe.
Mas, em outras ocasiões, os funcionários não têm tanta sorte. Denominado TI sombra, Se o departamento de TI corporativo não oferecer suporte a qualquer hardware ou software, isso pode representar um risco à segurança.
Basta um download de software repleto de malware ou o acesso a um aplicativo SaaS com segurança de nuvem deficiente para infectar sistemas críticos. Entretanto, mesmo com essas oportunidades de risco sempre presentes, a maioria das organizações não leva em conta a TI invisível ao desenvolver suas estratégias de segurança.
Para reduzir o risco, é importante pensar no motivo pelo qual os funcionários recorrem à TI invisível em primeiro lugar. Na maioria das vezes, a TI invisível preenche lacunas que o hardware ou o software aprovado pela TI não resolve ou não funciona muito bem. Ou, às vezes, as pessoas recorrem a soluções ad hoc porque a aprovação de qualquer coisa leva tanto tempo que elas nem se dão ao trabalho. Do ponto de vista do funcionário, é muito mais fácil simplesmente carregar um software e evitar ser repreendido por não cumprir um prazo do que enfrentar a burocracia ou discutir com a TI sobre aquisições e orçamentos.
Se os funcionários forem obrigados a encontrar suas próprias soluções para os problemas de TI, isso indica um problema maior do que qualquer aplicativo ou recurso individual de TI oculto. Em vez disso, é um indicativo de falhas de comunicação entre o departamento de TI e outras equipes da organização.
O departamento de TI não deve ser o inimigo. Os gerentes devem investigar os gargalos e incentivar a comunicação entre os departamentos de TI e os usuários. No nível executivo, educar os usuários sobre os riscos associados à TI invisível também precisa ser uma prioridade. Para os usuários, a aquisição das ferramentas para realizar seu trabalho deve ser perfeita para que eles não se sintam obrigados a encontrar soluções alternativas. Lembre-se sempre do ditado: a melhor segurança é aquela que as pessoas usarão. A tecnologia muda rapidamente e as organizações também devem estabelecer procedimentos para agilizar o processo de revisões de segurança e provisionamento rápido de novas soluções tecnológicas.
Entender quem tem acesso ao quê é fundamental, portanto, as organizações precisam garantir que tenham uma governança em vigor. A segurança começa com a identidade e, com a autenticação moderna e as opções sem senha, provar que você é quem diz ser não deve ser um problema. As soluções de identidade devem se concentrar nas melhores práticas de segurança da categoria, como os padrões FIDO2, a autenticação baseada em riscos e os insights inteligentes em tempo real que reduzem continuamente os riscos.
A conclusão das solicitações de acesso de rotina nem sempre deve exigir o envolvimento da TI, e os recursos de autoatendimento e o logon único permitem que os usuários trabalhem sem interrupções. Do lado da TI, os administradores também precisam de soluções perfeitas que incluam ferramentas de administração e governança de identidade.
Nossa arquitetura de governança de acesso a dados Governance & Lifecycle oferece visibilidade em toda a empresa para que você possa saber quem é o proprietário dos dados corporativos, quem tem acesso aos recursos de dados, como eles obtiveram acesso e se deveriam ter acesso aos compartilhamentos de arquivos. O processo de certificação automatizado gera análises acionáveis que são simples, intuitivas e eficazes para que os usuários corporativos forneçam evidências para as equipes de auditoria.
Nem todas as ameaças são externas, e as equipes de TI precisam encontrar novas maneiras de garantir a segurança do acesso e a conformidade e, ao mesmo tempo, continuar a dar suporte às necessidades tecnológicas dos usuários. Ao simplificar as operações de TI, educar os usuários e adotar a governança de identidade e acesso, as organizações podem reduzir os riscos da TI invisível.
