O que é TI Invisível?

A TI Invisível ocorre quando os funcionários acessam e compartilham dados por meio de hardware ou software não aprovado, expondo as organizações a riscos.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Defina a TI Invisível
  • Explique os riscos introduzidos pela TI Invisível
  • Aprenda estratégias para o gerenciamento eficaz da TI Invisível

Copiar o link do artigo

O que é TI Invisível?

"TI Invisível" se refere ao uso não autorizado de softwares, hardwares ou de outros sistemas e serviços em uma organização, muitas vezes sem o conhecimento do departamento de tecnologia da informação (TI) dessa organização. Ao contrário da infraestrutura padrão de TI, a "TI Invisível" não é gerenciada internamente por uma organização. A "TI Invisível" pode entrar em uma organização de diferentes formas, mas normalmente isso ocorre por meio de uma dessas duas ações:
  1. Utilizando uma ferramenta não aprovada para acessar, armazenar ou compartilhar dados corporativos. Por exemplo, se uma organização tiver aprovado exclusivamente o Google Workspace para compartilhamento de arquivos, um funcionário pode introduzir a "TI invisível" na empresa ao optar por compartilhar arquivos pelo Microsoft 365.
  2. Acessando uma ferramenta aprovada de forma não autorizada. Usando o mesmo exemplo, se um departamento de TI aprovou o uso do Google Workspace por meio de contas gerenciadas pela empresa, um funcionário pode introduzir a "TI invisível" na empresa ao optar por acessar o Google Workspace por meio de uma conta pessoal não gerenciada.
Seja a adoção da "TI invisível" intencional ou não, ela cria sérias preocupações e custos de segurança. Aumenta o risco de invasão de dados, roubo e outros ataques cibernéticos, ao mesmo tempo em que evita que as equipes de TI tomem medidas essenciais para minimizar os danos que estes possam causar.

Por que os usuários adotam a "TI invisível"?

Dada a miríade de riscos de segurança que a TI apresenta, pode parecer surpreendente que os funcionários optem por ignorar a aprovação do departamento de TI ao adotar novas ferramentas. Os motivos para que façam isso podem incluir os seguintes:
  • Os funcionários não estão cientes dos riscos de segurança inerentes à "TI invisível". Os funcionários podem não estar tentando ignorar deliberadamente os controles que seu departamento de TI implantou, mas o fazem simplesmente porque não sabem que suas ações podem comprometer dados corporativos sensíveis e aumentar o risco de invasões de dados e de ataques.
  • Os funcionários estão mais concentrados nos benefícios decorrentes do uso de ferramentas não aprovadas. As melhores ferramentas para o trabalho podem não ser aquelas que foram explicitamente aprovadas pelo departamento de TI de uma organização. Isso frequentemente leva os funcionários a adotar serviços adicionais que os ajudem a atender a uma necessidade específica do negócio, a obter uma vantagem competitiva em seu mercado ou a colaborar de forma mais eficiente.
  • Os funcionários estão usando ferramentas não aprovadas para realizar atividades maliciosas. A maioria das "TIs invisíveis" não são adotadas para fins maliciosos; entretanto, alguns funcionários podem optar por adotar aplicativos e ferramentas não aprovadas para roubar dados, acessar informações confidenciais ou introduzir outros riscos na organização.

Quais são os riscos da "TI invisível"?

Embora a "TI invisível" possa facilitar o trabalho de alguns funcionários, seus inconvenientes superam em muito seus benefícios. Se as equipes de TI não puderem controlar como as ferramentas e serviços são utilizados em toda a organização, podem não saber até que ponto ela está infiltrada na organização e não têm ideia de como os dados corporativos estão sendo acessados, armazenados e transferidos. O uso da "TI invisível" faz com que as equipes de TI percam o controle sobre o gerenciamento e a movimentação de dados. Quando os funcionários implementam serviços não aprovados ou trabalham com serviços aprovados usando métodos não aprovados, pode ser que eles consigam visualizar e movimentar dados sensíveis sem a supervisão apropriada do departamento de TI. Essa falta de visibilidade e controle faz com que a "TI invisível" possa criar riscos adicionais, que incluem os seguintes:
  • Dados sensíveis podem ser comprometidos ou roubados. Os invasores podem explorar erros de configuração e vulnerabilidades dos serviços hospedados na nuvem, abrindo a porta para invasões de dados e outros ataques cibernéticos. Esses ataques podem ser realizados sem o conhecimento do departamento de TI, especialmente quando visam aplicativos e ferramentas não aprovadas (e possivelmente inseguras). E reparar as consequências desses ataques pode sair caro: em um estudo de 2020, a IBM estimou que as invasões de dados causadas por configurações incorretas da nuvem custam em média 4,41 milhões de dólares.
  • As organizações podem, inconscientemente, violar as leis de proteção de dados. Para as organizações que precisam cumprir os regulamentos de proteção de dados (por exemplo, o GDPR), é imperativo que elas tenham capacidade para rastrear e controlar a forma como os dados são processados e compartilhados. Quando os funcionários usam ferramentas não autorizadas para lidar com dados sensíveis, eles podem inadvertidamente colocar sua organização em risco de violar essas leis, o que pode resultar em penalidades e multas pesadas.

Como as organizações podem detectar e resolver o problema da "TI invisível"?

Há várias medidas que uma equipe de TI pode tomar para minimizar os efeitos da "TI invisível" dentro de sua organização:
  • Implementar a detecção de "TI invisível". Usar uma ferramenta para descobrir "TIs invisíveis" pode ajudar as equipes de TI a descobrir, rastrear e analisar todos os sistemas e serviços, tanto os aprovados como os não aprovados, que os funcionários estão usando atualmente. Assim, as equipes de TI podem criar políticas para permitir, restringir ou bloquear o uso dessas ferramentas conforme necessário.
  • Usar um agente de segurança de acesso à nuvem (CASB) . Um CASB ajuda a proteger aplicativos e serviços hospedados na nuvem por meio de pacotes de tecnologias de segurança, que incluem a descoberta de "TIs invisíveis", controle de acesso, prevenção contra perda de dados (DLP), isolamento do navegador, e muito mais.
  • Melhorar o treinamento de gerenciamento de riscos para os funcionários. Os funcionários podem não estar cientes dos riscos de segurança da "TI invisível". Treinar os usuários sobre as melhores práticas, como não usar o e-mail pessoal para acessar recursos corporativos, revelar o uso de qualquer hardware ou software não aprovado, relatar invasão de dados, etc., pode ajudar a evitar a probabilidade de comprometimento ou roubo de dados.
  • Conversar com os funcionários sobre quais ferramentas eles necessitam. Os funcionários muitas vezes sabem quais ferramentas funcionam melhor em seu trabalho, mas podem não se sentir à vontade para pedir a aprovação explícita do departamento de TI devido a restrições orçamentárias ou a outras preocupações. Iniciar essas conversas e implementar uma cultura de ausência de culpa (para aqueles que podem já ter adotado a TI invisível) pode ajudar a promover um ambiente de trabalho mais aberto e seguro.

O que é uma política para TI invisível?

Uma política para TI invisível ajuda a estabelecer protocolos para a adoção, aprovação e gerenciamento de hardwares e softwares novos dentro de uma organização. Os departamentos de TI criam essas políticas e podem adaptá-las de acordo com a evolução dos riscos de segurança e as necessidades da empresa. As políticas para TI invisível são um dos vários passos necessários para controlar e gerenciar sistemas e serviços dentro de uma organização, evitando a introdução de qualquer ferramenta não autorizada. Entretanto, muitas organizações ainda não padronizaram as políticas para TI invisível; em uma pesquisa feita com 1.000 profissionais de TI dos EUA, a Entrust descobriu que 37% dos entrevistados disseram que suas organizações não haviam estabelecido consequências claras para o uso da TI invisível.

Como a Cloudflare protege contra a TI invisível?

O serviço de segurança Zero Trust ajuda os departamentos de TI a descobrir, catalogar e gerenciar facilmente ferramentas não autorizadas em suas organizações. Saiba mais sobre como a Cloudflare detecta a TI invisível.