Recomendações para combater a prática de Shadow IT

0

Uma pesquisa veiculada recentemente pela Computerworld destaca que 88% dos CIOs brasileiros percebem a existência da "Shadow IT" (ou "TI Invisível", como é usado em português) em suas empresas. O número é um pouco superior à média global, que atualmente é de 76%, isso demostra que não é um fenômeno local – ainda que essa prática seja mais comum no Brasil do que no exterior.

Apenas para lembrar, Shadow IT é o nome dado à prática adotada por empresas de médio e grande porte que adotam soluções de TI com recursos próprios, indo diretamente ao mercado sem depender do orçamento do Departamento de TI, sem passar por uma avaliação no momento da compra e sem contar com seu apoio para a gestão, tampouco são avaliadas pela Equipe de Segurança. Assim, aos olhos do CIO ou do CISO, são sistemas que não existem.

Em arquiteturas anteriores de TI, como o modelo cliente-servidor, a Shadow IT foi um modo encontrado pelas áreas de negócio para inovar rapidamente quando o Departamento de TI (responsável pela entrega de todos os serviços que fornecia) não podia atender com agilidade as demandas de negócio. A Computação em Nuvem deu ainda mais ferramentas para áreas de negócio irem diretamente ao mercado em busca de soluções.

Mas a existência dessas ilhas desconhecidas ao resolver um problema (agilidade com eficiência, cria inúmeros outros tipos de ilhas, como a Governança, Segurança, Conformidade, menor eficiência na alocação de recursos, falta de integração de dados etc. Assim, embora no curto prazo os ganhos possam parecer evidentes, em longo prazo é improvável que valha a pena. São novos riscos, novos custos e novas ineficiências, perigosamente escondidas e percebidas tardiamente. Por esta razão, o modelo não é um problema apenas do CIO ou do CISO, mas de toda a empresa. Não há mais espaço para atalhos no mundo corporativo atual. O risco de um pequeno incidente em uma ilha de informações escondida pode custar muito caro para a reputação de toda a organização, e comprometer carreiras.

Felizmente, cada vez mais temos ferramentas que podem ajudar a combater a prática de Shadow IT. Trataremos de dois aqui, diretamente relacionados ao tema de Segurança da Informação, um diz respeito à identificação de recursos de Shadow IT e o outro endereça a causa raiz do problema.

Em termos de identificação e detecção de Shadow IT, as ferramentas poderosas de Data Analytics vêm sendo usadas para analisar tráfegos em redes corporativas e observar seus comportamentos. A identificação de tráfegos entre equipamentos internos e externos pode detectar o uso de sistemas não autorizados. Por exemplo, é possível detectar o uso de e-mails pessoais (como ocorrido há poucos anos com a então Secretaria de Estado dos Estados Unidos, Hillary Clinton). Também pode-se detectar o uso de sites de armazenamento e compartilhamento de informações, e o uso de recursos em nuvem pública (em suas diferentes modalidades: SaaS, IaaS, PaaS etc). Com essa informação valiosa em mãos, CIOs e CISOs poderão ter uma fotografia do uso de recursos de fora da empresa e conferir quais destes não são conhecidos ou homologados.

Há ainda benefícios adicionais do uso de técnicas de Cybersecurity Analytics: a garantia de conformidade (verificar se as informações que trafegam na rede estão de acordo com as políticas e regulamentações); a proteção de perda de dados (Data Loss Prevention – DLP), na medida em que pode-se detectar documentos anexados a e-mails ou enviados por HTTP – assim como seu conteúdo – visando seu eventual bloqueio; identificação de comportamentos maliciosos, complementando com técnicas de Machine Learning o trabalho de correlação de eventos (ferramentas de SIEM); entre outros.

Do ponto de vista da prevenção, sabe-se que uma das principais razões para a prática de Shadow IT é a falta de agilidade e rigidez dos controles de TI e de segurança. Isso ocorre porque alguns controles simplesmente não se adaptam à realidade atual onde Computação em Nuvem, Mobilidade, Internet das Coisas, Data Analytics e Redes Sociais são tecnologias imperativas na estratégia de Transformação Digital das empresas. É necessário adotar mecanismos de segurança que sejam tão fluidos, inovadores e ágeis quanto as tecnologias que sustentam a Transformação Digital e que, ainda assim, sejam consistentes e protejam os dados, independentemente de onde estejam.

A microssegmentação é uma abordagem que atende essa demanda atual. Esta inovadora solução permite estender a proteção dos elementos da TI tradicional para os novos ambientes e tecnologias emergentes. Ela segue o conceito de Rede (segura) definida por software, dentro do Data Center corporativo com custo e risco de implementação baixos, podendo ser paulatinamente instalada sem mudanças na infraestrutura subjacente. Aliás, aproveita o investimento já realizado em hardware ou software, mesmo em um ambiente heterogêneo com equipamentos de distintos fabricantes. Esta abordagem vai muito além do Data Center, pois a infraestrutura subjacente é tão transparente na microssegmentação que usuários autorizados enxergam os recursos em Nuvem e dispositivos móveis da mesma forma que aqueles que estão no Data Center corporativo. Assim, pode-se estender de forma transparente a segurança para qualquer lugar onde estejam os dados. Tudo isso com agilidade, tornando o Departamento de Segurança um aliado – ao invés de um inibidor da inovação – e eliminando a motivação de sistemas em Shadow IT.

Atender às demandas de agilidade e segurança dos negócios nos dias de hoje é um desafio. A Shadow IT tornou-se uma resposta prática de áreas de negócios ao tema da agilidade. Infelizmente, traz um custo muito alto do ponto de vista de segurança, pois representa riscos elevados e invisíveis. Usar tecnologias de Security Analytics para identificar recursos de Shadow IT, um verdadeiro passivo desconhecido ao CIO e ao CISO, bem como adotar microssegmentação para tornar a segurança mais fluida e ágil, são alternativas recomendadas para obter-se o melhor dos dois mundos. Combater a Shadow IT, sem perder a agilidade e a segurança que os negócios requerem.

Leonardo Carissimi, lidera a Prática de Segurança da Unisys na América Latina.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.