Shadow IT expõe dados sensíveis. Como CISOs podem mitigar os riscos

Uso de serviços não autorizados resultou em exposição de dados de alto nível. CISOs precisam entender a shadow IT antes que tenham que lidar com isso

Author Photo
9:36 am - 13 de agosto de 2021

Mencionar a frase “shadow IT” para os CISOs geralmente resulta em uma revirada de olhos ou uma careta. Como alguém que passou a maior parte de sua vida adulta no governo lidando com recursos de TI domésticos que superavam, em muito, os do escritório, conheço esse sentimento.

Operar dentro de um sistema delimitado significa que o acesso direto do usuário a tecnologias mais avançadas a partir de suas estações de trabalho não estava acontecendo. Entidades comerciais não têm o luxo de um ambiente fechado. Eles têm o desafio de funcionários que usam tecnologia e aplicativos com recursos que superam em muito sua capacidade de manter o ritmo.

Pergunte como é fácil lidar com shadow IT e o consenso é que é tão fácil quanto pregar gelatina na parede.

O que é shadow IT?

Se você é o CISO que não encontrou a shadow IT, você é realmente afortunado ou talvez tenha um ponto cego. Os CISOs e suas equipes de infosec implementam processos, procedimentos, aplicativos e infraestrutura para fornecer à força de trabalho as ferramentas necessárias para serem eficazes em suas tarefas.

A shadow IT ocorre em algumas circunstâncias: O cenário benevolente tem usuários individuais decidindo sair do ecossistema fornecido e usar outros métodos para fazer seu trabalho. O cenário malévolo é quando um usuário opta por ignorar o ecossistema fornecido para mover/pegar dados para fins danosos.

Quem é o culpado pela shadow IT?

O usuário? Gestão? A equipe infosec? A equipe e a administração da infosec devem reconhecer que arcam com grande parte da culpa, com as escolhas feitas por indivíduos e equipes internas/externas de sair do ecossistema fornecido arcando com o restante. Durante uma conversa recente com Joe Payne, CEO da Code42, ele observou a ironia da infosec, a entidade responsável por manter os dados protegidos e dentro de um ecossistema, quando eles tornam difícil para os funcionários realizarem suas tarefas. As ferramentas usadas para proteger os dados diminuem o fluxo natural das tarefas em questão.

Payne comparou os funcionários e suas ações à água que desce uma colina: mesmo com restrições e dados de afunilamento, os funcionários que operam dentro de um prazo operacional encontrarão uma maneira. Ele sugere monitorar a atividade de movimentação de dados para onde não deveria e, em seguida, determinar a intenção.

Exemplos de shadow IT: o mau, o inocente e o determinado

Agora, com a Covid mudando o ambiente de trabalho de cabeça para baixo, os usuários e as empresas foram forçados a se ajustar para se manter à tona e manter sua força de trabalho segura. As antigas discussões BYOD (traga seu próprio dispositivo) agora são ainda mais importantes, especialmente com a oportunidade de combinar informações comerciais com informações pessoais. O risco constante é que um aplicativo pessoal no dispositivo de um funcionário possa comprometer o dispositivo e, por extensão, a empresa, por meio de sua conexão de rede.

Conseguir que os funcionários tenham acesso ao ambiente de trabalho é um desafio. Em um caso, como compartilhou Lynsey Wolf, Analista de Segurança e Especialista em Ameaças Internas da DTEX Systems, os engenheiros implementaram uma “ferramenta de suporte remoto (TeamViewer)”. A ferramenta foi configurada para permitir acesso “a qualquer hora”. A investigação mostrou que ele foi configurado como uma solução alternativa sem intenção maliciosa, mas para permitir que os engenheiros obtivessem acesso remoto de casa durante o bloqueio da Covid. “No entanto, a detecção e mitigação bem-sucedidas dessas ferramentas, que não requerem instalação, muitas vezes não são verificadas e podem resultar em violações de alto perfil, como o hack do Tratamento de Água na Flórida”.

Um exemplo do uso malévolo dos recursos da shadow IT pode ser encontrado no recente caso de roubo de segredo comercial da Coca-Cola. Uma engenheira usou um dos muitos serviços de nuvem comercial onipresentes para facilitar seu roubo de propriedade intelectual: o Google Drive.

Nem todas as ocorrências são de roubo, mesmo que o resultado final seja ruim, como prova o exemplo fornecido por Eddy Bobritsky, CEO da Minerva Labs. Bobritsky compartilhou como um funcionário de uma organização de infraestrutura baixou um aplicativo para facilitar a conclusão de seu trabalho. Esse aplicativo, sem o conhecimento do funcionário, carregava uma carga contendo malware. Sem dúvida, o custo para limpar o malware excedeu a economia de tempo produzida pelo aplicativo não autorizado.

Payne compartilhou um exemplo de uma exposição inocente que aconteceu dentro da Code42. Uma nova funcionária recebeu seu laptop e, durante o curso normal dos eventos, incluindo a criação do dispositivo, ela se inscreveu em sua conta da Apple. A natureza onipresente do iCloud inesperadamente alcançou seus backups no iCloud e baixou arquivos, atualizando sua nova máquina. O aplicativo de backup do iCloud não sabia/se importava com a mudança de empregador. Os dados foram movidos e os arquivos de outra empresa foram movidos para o dispositivo da funcionária. Ela estava alheia ao que tinha ocorrido.

A equipe da infosec observou o download de dados de outra empresa e se comprometeu. Eles descobriram a sequência de eventos, contataram a empresa cujos dados estavam em suas mãos para devolvê-los e aconselhá-los. A empresa cujos dados estavam sendo devolvidos não sabia que seus usuários da Apple estavam inconscientemente fazendo backup dos dados da empresa quando seus dispositivos (que tinham dados pessoais e comerciais presentes) foram armazenados no iCloud.

Às vezes é difícil determinar se alguém está só tentando fazer seu trabalho ou se está disposto a fazer algo ruim. Um exemplo disso é fornecido por Chris Owen, Diretor de Gerenciamento de Produtos da Saviynt, ele compartilhou como um funcionário carregou um arquivo confidencial da empresa em um aplicativo de armazenamento de terceiros (por exemplo, DropBox ou OneDrive) para compartilhar com outro indivíduo, uma vez que o e-mail corporativo restringiu o tamanho do arquivo ou o compartilhamento de informações confidenciais.

Como Payne observou, se os funcionários tiverem uma necessidade, eles encontrarão uma maneira.

Como os CISOs podem se opor à shadow IT

Dito isso, as empresas podem reduzir a probabilidade de shadow IT ser a “solução ideal” para as barreiras que os funcionários encontram ao tentar operar com as ferramentas e processos fornecidos. Phil Strazzulla, CEO da Select Software, recomenda ter um diálogo aberto sobre o porquê por trás das regras que restringem a movimentação de dados ou instalação de aplicativos. Nesse diálogo, ele sugere a criação de “um canal que pode agilizar novas solicitações de software”. Este diálogo aberto leva “em última análise, a menos frustração e mais responsabilidade pessoal”.

A experiência mostra que o que é medido e monitorado chama a atenção dos colaboradores. Como Payne observou, ter uma capacidade de monitoramento de informações e ser transparente de que quando os dados forem movidos para um ambiente não aprovado, eles serão vistos e investigados (o exemplo do iCloud) irá minimizar o fluxo de dados fora dos canais aprovados.

A shadow IT é onipresente e não vai a lugar nenhum em breve. O desafio do CISO é trabalhar com ele e controlar a intenção ao mesmo tempo em que adota os recursos que seus funcionários querem/precisam/desejam.

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.