Zagrożenia ze strony Shadow IT

Korzystanie z serwisów i programów, o których nie wie dział IT, to źródło wielu problemów. Jak ich uniknąć?

Narzędzie, które lubią wszyscy, praktycznie istnieje. Co najmniej jeden pracownik zna jakąś darmową usługę, która jest dziesięć razy lepsza niż to, co wybrała firma. Jeśli ta jedna osoba zacznie używać i aktywnie poleci alternatywę kolegom z pracy, pojawia się zjawisko znane pod nazwą Shadow IT. Czasami dzięki niemu firma znajduje rozwiązanie, które lepiej spełnia jej potrzeby, jednak częściej wywołuje to ogromne zamieszanie.

Jeśli ktoś zna lepsze rozwiązanie, powinien najpierw przeanalizować je pod kątem bezpieczeństwa. Jednak żyjemy w świecie niedoskonałym, w którym pracownicy często bezmyślnie używają serwisów służących do udostępniania plików, aplikacji poczty internetowej, klientów sieci społecznościowych czy komunikatorów, a o konsekwencjach myślą później (o ile w ogóle).

Problemem nie jest fakt, że narzędziem takim może być nowy darmowy komunikator. Może być nim również dobrze znana usługa. Najgorsze w tej sytuacji jest to, że ani specjaliści ds. bezpieczeństwa, jeśli tacy są zatrudnieni w firmie, ani dział IT, nie wiedzą, co się dzieje. A to oznacza, że aplikacja ta wykracza poza modele zagrożeń dla infrastruktury, nie uwzględniają jej też wykresy przepływu danych i podstawowe decyzje w zakresie planowania. To z kolei przyciąga kłopoty.

Prawdopodobieństwo wycieku

Kto wie, jakie pułapki czekają na nas, gdy korzystamy z narzędzi firm zewnętrznych? Każda aplikacja, czy to w chmurze, czy lokalna, może oferować kontrolowanie swojej prywatności. Szkopuł w tym, że nie wszyscy pracownicy mają taką samą świadomość kwestii cyberbezpieczeństwa. Zdarza się na przykład, że pracownicy korzystają z tabeli zawierających dane osobowe, które nie są odpowiednio zabezpieczone, w Dokumentach Google.

Czasami też serwisy mogą zawierać luki w bezpieczeństwie, poprzez które podmioty trzecie mogą zdobyć dostęp do naszych danych. Ich właściciele mogą szybko zamykać luki, ale kto ma pewność, że pracownicy zainstalują wszystkie niezbędne poprawki dla aplikacji klienckich na czas? Czasami trudno nawet określić, czy dostają oni przypomnienie o aktualizacji. Co więcej, rzadko kiedy ktoś bierze odpowiedzialność za zarządzanie uprawnieniami dostępowymi w nieautoryzowanych aplikacjach i usługach — na przykład poprzez cofnięcie uprawnień po zwolnieniu — o ile taka funkcja w ogóle jest dostępna. Mówiąc w skrócie, nikt nie jest odpowiedzialny za bezpieczeństwo danych przesyłanych lub przetwarzanych za pomocą serwisów niezaakceptowanych przez dział IT lub bezpieczeństwa.

Naruszenie wymogów prawnych

Dziś firmy na całym świecie stosują własne przepisy prawa określające sposób, w jaki firmy powinny obchodzić się z danymi osobowymi. Należy tu jeszcze wspomnieć o wielu standardach branżowych. Firmy muszą przechodzić okresowo audyty, aby spełnić wymogi różnych organów regulacyjnych. Jeśli w wyniku audytu okaże się, że dane osobowe klientów i pracowników zostały wysłane za pośrednictwem zawodnych serwisów, a dział IT był tego nieświadomy, w takim wypadku firma mogłaby otrzymać wysoką grzywnę. Innymi słowy, nie trzeba doświadczyć wycieku danych, aby wpaść w kłopoty.

Pieniądze w błoto

Korzystanie z alternatywnych narzędzi zamiast zalecanych może wydawać się fanaberią, jednak w przypadku firmy oznacza to stratę pieniędzy. W końcu jeśli dział IT zakupił licencje dla każdego zatwierdzonego uczestnika, ale w rzeczywistości nikt ich nie używa, pieniądze poszły w błoto.

Jak poradzić sobie ze zjawiskiem Shadow IT

Trendem Shadow IT trzeba zarządzać, a nie walczyć z nim. Jeśli masz nad nim kontrolę, możesz nie tylko zwiększyć bezpieczeństwo danych w firmie, ale także dowiedzieć się o naprawdę popularnych i przydatnych narzędziach, których można użyć w całej firmie.

Teraz, gdy pracujemy z domu z powodu pandemii, rośnie liczba zagrożeń wynikających z używania niewspieranych aplikacji i serwisów. Pracownicy są zmuszeni do dostosowania się do nowych warunków i próbują znaleźć nowe narzędzia, które wg nich lepiej sprawdzają się w pracy zdalnej. Dlatego najnowsza wersja naszego rozwiązania Kaspersky Endpoint Security Cloud zawiera teraz funkcje, które wykrywają korzystanie z niezatwierdzonych usług chmurowych i aplikacji.

Co więcej, Kaspersky Endpoint Security Cloud Plus może również blokować używanie takich usług i aplikacji. Ponadto najnowsza wersja tego oprogramowania daje firmie dostęp do pakietu Kaspersky Security for Microsoft Office 365, co zapewnia dodatkową warstwę ochrony podczas korzystania z Exchange Online, OneDrive, SharePoint Online i Microsoft Teams.

Więcej informacji na temat rozwiązania znajduje się na oficjalnej stronie Kaspersky Endpoint Security Cloud.

Porady