O que é TI Invisível?
"TI Invisível" se refere ao uso não autorizado de softwares, hardwares ou de outros sistemas e serviços em uma organização, muitas vezes sem o conhecimento do departamento de tecnologia da informação (TI) dessa organização. Ao contrário da infraestrutura padrão de TI, a TI Invisível não é gerenciada internamente por uma organização.
A TI Invisível pode entrar em uma organização de maneiras diferentes, mas normalmente ocorre através de uma de duas ações:
- Utilizando uma ferramenta não aprovada para acessar, armazenar ou compartilhar dados corporativos. Por exemplo, se uma organização tiver aprovado exclusivamente o Google Workspace para compartilhamento de arquivos, um funcionário pode introduzir a "TI invisível" na empresa ao optar por compartilhar arquivos pelo Microsoft 365.
- Acessando uma ferramenta aprovada de forma não autorizada. Usando o mesmo exemplo, se um departamento de TI aprovou o uso do Google Workspace por meio de contas gerenciadas pela empresa, um funcionário pode introduzir a "TI invisível" na empresa ao optar por acessar o Google Workspace por meio de uma conta pessoal não gerenciada.
Seja a adoção da "TI invisível" intencional ou não, ela cria sérias preocupações e custos de segurança. Aumenta o risco de invasão de dados, roubo e outros ataques cibernéticos, ao mesmo tempo em que evita que as equipes de TI tomem medidas essenciais para minimizar os danos que estes possam causar.
Por que os usuários adotam a "TI invisível"?
Dada a miríade de riscos de segurança que a TI apresenta, pode parecer surpreendente que os funcionários optem por ignorar a aprovação do departamento de TI ao adotar novas ferramentas. Os motivos para que façam isso podem incluir os seguintes:
- Os funcionários não estão cientes dos riscos de segurança inerentes à "TI invisível". Os funcionários podem não estar tentando ignorar deliberadamente os controles que seu departamento de TI implantou, mas o fazem simplesmente porque não sabem que suas ações podem comprometer dados corporativos sensíveis e aumentar o risco de invasões de dados e de ataques.
- Os funcionários estão mais concentrados nos benefícios decorrentes do uso de ferramentas não aprovadas. As melhores ferramentas para o trabalho podem não ser aquelas que foram explicitamente aprovadas pelo departamento de TI de uma organização. Isso frequentemente leva os funcionários a adotar serviços adicionais que os ajudem a atender a uma necessidade específica do negócio, a obter uma vantagem competitiva em seu mercado ou a colaborar de forma mais eficiente.
- Os funcionários estão usando ferramentas não aprovadas para realizar atividades maliciosas. A maioria das "TIs invisíveis" não são adotadas para fins maliciosos; entretanto, alguns funcionários podem optar por adotar aplicativos e ferramentas não aprovadas para roubar dados, acessar informações confidenciais ou introduzir outros riscos na organização.
Quais são os riscos da "TI invisível"?
Embora a TI invisível possa facilitar o trabalho de alguns funcionários, seus inconvenientes superam em muito seus benefícios. Se as equipes de TI não puderem acompanhar como as ferramentas e serviços são utilizados em toda a organização, elas podem não saber até que ponto a TI invisível a impregnou — e não têm ideia de como os dados corporativos estão sendo acessados, armazenados e transferidos.
O uso de TI invisível também faz com que as equipes de TI percam o controle sobre o gerenciamento e a movimentação de dados. Quando os funcionários implementam serviços não aprovados ou trabalham em serviços aprovados por meio de métodos não aprovados, eles podem visualizar e mover dados sensíveis sem a supervisão apropriada do departamento de TI. Como resultado dessa falta de visibilidade e controle, a TI invisível pode criar riscos adicionais, incluindo os seguintes:
- Dados sensíveis podem ser comprometidos ou roubados. Os invasores podem explorar erros de configuração e vulnerabilidades dos serviços hospedados na nuvem, abrindo a porta para invasões de dados e outros ataques cibernéticos. Esses ataques podem ser realizados sem o conhecimento do departamento de TI, especialmente quando visam aplicativos e ferramentas não aprovadas (e possivelmente inseguras). E reparar as consequências desses ataques pode sair caro: em um estudo de 2020, a IBM estimou que as invasões de dados causadas por configurações incorretas da nuvem custam em média 4,41 milhões de dólares.
- As organizações podem, inconscientemente, violar as leis de proteção de dados. Para as organizações que precisam cumprir os regulamentos de proteção de dados (por exemplo, o RGPD), é imperativo que elas tenham capacidade para rastrear e controlar a forma como os dados são processados e compartilhados. Quando os funcionários usam ferramentas não autorizadas para lidar com dados confidenciais, eles podem inadvertidamente colocar suas organizações em risco de violar essas leis, o que pode resultar em penalidades e multas pesadas.
Como as organizações podem detectar e resolver o problema da "TI invisível"?
Há várias medidas que uma equipe de TI pode tomar para minimizar os efeitos da "TI invisível" dentro de sua organização:
- Implementar a detecção de "TI invisível". Usar uma ferramenta para descobrir "TIs invisíveis" pode ajudar as equipes de TI a descobrir, rastrear e analisar todos os sistemas e serviços, tanto os aprovados como os não aprovados, que os funcionários estão usando atualmente. Assim, as equipes de TI podem criar políticas para permitir, restringir ou bloquear o uso dessas ferramentas conforme necessário.
- Usar um agente de segurança de acesso à nuvem (CASB) . Um CASB ajuda a proteger aplicativos e serviços hospedados na nuvem por meio de pacotes de tecnologias de segurança, que incluem a descoberta de "TIs invisíveis", controle de acesso, prevenção contra perda de dados (DLP), isolamento do navegador, e muito mais.
- Melhorar o treinamento de gerenciamento de riscos para os funcionários. Os funcionários podem não estar cientes dos riscos de segurança da "TI invisível". Treinar os usuários sobre as melhores práticas, como não usar o e-mail pessoal para acessar recursos corporativos, revelar o uso de qualquer hardware ou software não aprovado, relatar invasão de dados, etc., pode ajudar a evitar a probabilidade de comprometimento ou roubo de dados.
- Conversar com os funcionários sobre quais ferramentas eles necessitam. Os funcionários muitas vezes sabem quais ferramentas funcionam melhor em seu trabalho, mas podem não se sentir à vontade para pedir a aprovação explícita do departamento de TI devido a restrições orçamentárias ou a outras preocupações. Iniciar essas conversas e implementar uma cultura de ausência de culpa (para aqueles que podem já ter adotado a TI invisível) pode ajudar a promover um ambiente de trabalho mais aberto e seguro.
O que é uma política para TI invisível?
Uma política de TI invisível ajuda a estabelecer protocolos para a adoção, aprovação e gerenciamento de novos hardwares e softwares dentro de uma organização. Os departamentos de TI criam essas políticas e podem adaptá-las de acordo com a evolução dos riscos de segurança e as necessidades da empresa.
As políticas de TI invisível são uma das várias etapas necessárias para controlar e gerenciar sistemas e serviços em uma organização, evitando a introdução de ferramentas não autorizadas. No entanto, muitas organizações ainda não padronizaram as políticas de TI invisível. Em uma pesquisa com 1.000 profissionais de TI dos EUA, a Entrust descobriu que 37% dos entrevistados disseram que suas organizações não sabiam exatamente as consequências do uso de TI invisível.
Como a Cloudflare protege contra a TI invisível?
O serviço de segurança Zero Trust ajuda os departamentos de TI a descobrir, catalogar e gerenciar facilmente ferramentas não autorizadas em suas organizações. Saiba mais sobre como a Cloudflare detecta a TI invisível.