Gestão de Saas
Como gerir e atenuar os riscos
de Shadow IT na sua empresa
A Shadow IT - as aplicações não autorizadas que se escondem no seu portfólio empresarial - pode estar a expor a sua empresa a riscos ocultos. Detecte-a agora, antes que se torne numa surpresa dispendiosa.
É fácil ignorar a TI sombra, que inclui software não autorizado e serviços em nuvem que os funcionários adoptam sem a aprovação da TI. Mas quanto mais tempo essas ferramentas passam despercebidas, mais perigosas elas se tornam.
Muitos funcionários inscrevem-se nestas aplicações sem pedir autorização, pensando que vão aumentar a produtividade ou servir melhor as suas necessidades. Embora isso possa funcionar a curto prazo, abre a porta a sérios riscos de segurança.
Estas ferramentas não aprovadas não são monitorizadas para detetar vulnerabilidades ou verificadas em relação aos protocolos de segurança da empresa. Como resultado, tornam-se alvos privilegiados para violações de dados e ciberataques.
De facto, um recente Gestão de serviços de ataque descobriu que cerca de 70% das organizações sofreram incidentes de segurança relacionados com tecnologia não autorizada. Neste artigo, analisaremos exemplos comuns de TI sombra, os riscos envolvidos e como geri-los de forma eficaz.
O que é o Shadow IT?
A Shadow IT ocorre quando os funcionários utilizam tecnologia não aprovada - software, dispositivos ou serviços - sem o consentimento das TI. Isto inclui frequentemente ferramentas SaaS que adoptam por conta própria para simplificar o trabalho.
Embora estas aplicações possam aumentar a produtividade a curto prazo, têm graves desvantagens: lacunas de segurança, riscos de conformidade e custos ocultos devido à falta de supervisão por parte das TI.
Mesmo com boas intenções, os funcionários que recorrem a ferramentas externas expõem, sem saber, a empresa a violações de dados e falhas de conformidade ao trabalharem fora das medidas de segurança aprovadas.
De seguida, analisaremos exemplos comuns de TI sombra que passam frequentemente despercebidos nos locais de trabalho actuais.
Tipos comuns de Shadow IT
O Shadow IT divide-se normalmente em três categorias principais: software não autorizado, serviços de nuvem não autorizados e dispositivos pessoais ligados a redes empresariais. Estas são as áreas em que os departamentos de TI perdem frequentemente visibilidade, aumentando o risco de violações de dados e de violações de conformidade.
Para além destas formas comuns, o armazenamento pessoal na nuvem e as plataformas de mensagens estão a tornar-se mais comuns, uma vez que os funcionários procuram formas rápidas e convenientes de colaborar e partilhar ficheiros.
Com o aumento do trabalho remoto, é ainda mais fácil para o pessoal introduzir estas ferramentas, aumentando as hipóteses de os dados sensíveis acabarem em locais não seguros fora do controlo das TI.
As organizações sem uma forte governação de TI são especialmente vulneráveis, uma vez que os funcionários recorrem a estas aplicações não aprovadas para obterem mais flexibilidade nos seus fluxos de trabalho. Identificar e gerir estas ameaças de TI sombra é o primeiro passo para reduzir os seus riscos.
Riscos de TI sombra que não pode ignorar
Com o aumento das aplicações baseadas na nuvem, o software não aprovado está a tornar-se uma preocupação crescente para organizações de todas as dimensões. De facto, a Gartner informou que o As despesas com SaaS ultrapassaram os $195 mil milhões em 2023 - um aumento de 16,7% em relação ao ano anterior.
Esta dependência crescente dos serviços na nuvem realça a necessidade urgente de abordar os riscos colocados por aplicações não autorizadas e não geridas. À medida que mais funcionários recorrem a estas ferramentas para tarefas diárias, as hipóteses de vulnerabilidades de segurança e ineficiências financeiras só aumentam.
Identificámos cinco grandes riscos associados à TI sombra que todas as organizações devem ter em conta. Estes riscos podem afetar gravemente a segurança dos dados, a conformidade e a gestão do orçamento.
Risco #1: Aumento do potencial de violação de dados
Um dos riscos mais graves da TI sombra é o aumento da probabilidade de violações de dados. Quando os funcionários utilizam aplicações não aprovadas, muitas vezes contornam as medidas de segurança estabelecidas pela TI.
Em 2023, o o custo médio de uma violação de dados atingiu $9,44 milhõesDe acordo com a IBM, muitos dos incidentes foram provocados por software não autorizado e não testado, sem a segurança adequada.
Estas aplicações não autorizadas podem expor dados empresariais sensíveis - como informações de identificação pessoal (PII) ou propriedade intelectual - aos hackers. Sem salvaguardas como o início de sessão único (SSO) ou a autenticação multi-fator (MFA), estas ferramentas tornam-se alvos fáceis para ciberataques.
Risco #2: Diminuição da conformidade com a regulamentação em matéria de dados e privacidade
Para os setores regidos por leis rigorosas de privacidade de dados, como GDPR, HIPAA ou a Lei de Privacidade do Consumidor da Califórnia (CCPA), o uso de software não aprovado pode ser um grande risco de conformidade. Os funcionários podem, sem saber, armazenar informações confidenciais em serviços de nuvem não autorizados, violando regulamentos e expondo a empresa a multas que podem chegar a milhões.
De acordo com a Gartner, as violações de conformidade associadas a aplicações SaaS não aprovadas tornar-se-ão mais comuns à medida que as empresas adoptam cada vez mais ferramentas baseadas na nuvem sem supervisão de TI.
Regulamentos como o GDPR exigem visibilidade e controlo totais sobre a forma como os dados pessoais são recolhidos, armazenados e processados. As aplicações não autorizadas põem em risco esse controlo, tornando mais difícil para as empresas manterem-se em conformidade e evitarem penalizações dispendiosas
Risco #3: Custos não controlados e não monitorizados
A IDC estima que 70% de todas as compras de SaaS são feitas fora dos orçamentos de TI. Esta mudança significa que mais departamentos e funcionários estão a adquirir e a gastar software por conta própria, alimentando o aumento da tecnologia não autorizada.
O resultado? As organizações pagam frequentemente por serviços redundantes ou subscrições que passam despercebidas. Em empresas com mais de 50 funcionários, é comum que diferentes departamentos subscrevam inadvertidamente o mesmo software, causando custos duplicados desnecessários.
Sem um sistema centralizado para gestão de fornecedores (B2B SaaS)Se o software não for utilizado, torna-se difícil acompanhar as subscrições, as datas de renovação e a utilização efectiva, o que leva ao desperdício de recursos e a orçamentos de software inflacionados.
Risco #4: Aumento dos custos devido à duplicação de despesas
A duplicação de despesas é um efeito secundário comum da utilização não autorizada de software. Quando diferentes departamentos ou funcionários compram as mesmas ferramentas de forma independente, a empresa perde descontos por volume e a oportunidade de negociar contratos a nível empresarial.
Esta sobreposição acontece frequentemente com ferramentas como plataformas de comunicação, software de gestão de projectos ou armazenamento na nuvem - em que os funcionários optam pelas suas soluções preferidas em vez de se cingirem à pilha aprovada pela organização.
Para além da despesa ineficiente em software, esta situação pode causar fricção entre equipas que utilizam ferramentas diferentes, tornando a colaboração mais difícil e menos eficiente.
Risco #5: Renovações automáticas não planeadas
Muitos contratos SaaS vêm com cláusulas de renovação automática. Sem uma supervisão adequada, as aplicações não aprovadas podem ser renovadas automaticamente, acumulando custos inesperados.
Em média, uma empresa enfrenta várias renovações todos os meses e, quando ferramentas não autorizadas são incluídas, as despesas podem rapidamente ficar fora de controlo. Se a TI não estiver ciente dessas renovações, é impossível avaliar se as ferramentas ainda são necessárias ou relevantes para o negócio.
Quando os líderes de TI compreenderem os riscos da tecnologia não autorizada, podem começar a resolver o problema.
Exemplos perigosos de TI sombra
A Shadow IT pode assumir muitas formas, desde software não aprovado a dispositivos pessoais utilizados para tarefas profissionais. Embora alguns casos possam parecer inofensivos, outros podem expor a organização a grandes riscos de segurança, violações de dados e consequências financeiras.
Eis alguns exemplos reais que ilustram os perigos da tecnologia não autorizada e a forma como esta pode prejudicar os esforços de segurança e conformidade de uma organização.
Aplicações Shadow IT comummente vulneráveis
Algumas das aplicações não autorizadas mais vulneráveis e mais frequentemente utilizadas incluem:
- Aplicações de produtividade: Ferramentas como o Slack, o Asana e o Trello podem expor as comunicações sensíveis a ameaças à segurança quando utilizadas sem supervisão de TI.
- Armazenamento em nuvem: Os serviços não aprovados, como o Google Drive, Dropbox e OneDrive, podem contornar as medidas de segurança, conduzindo a uma potencial fuga de dados.
- Ferramentas de comunicação: Plataformas como o WhatsApp e contas de correio eletrónico pessoais não cumprem frequentemente os protocolos de segurança das empresas, criando lacunas significativas.
- Ferramentas de gestão de projectos: Aplicações como o Monday.com e o Jira podem armazenar dados de projectos sensíveis, que podem estar inadequadamente protegidos fora da pilha de tecnologia aprovada.
- Dispositivos pessoais: Os computadores portáteis, smartphones e tablets acedidos sem a aprovação da empresa representam sérios riscos se não forem geridos de acordo com as políticas de segurança da organização.
Embora estas aplicações possam aumentar a produtividade, a sua utilização não gerida representa ameaças substanciais para as operações da empresa, tal como destacado pelos seguintes exemplos reais.
Exemplos reais de riscos de Shadow IT
A violação de dados da Truecaller
- Vítimas: 47,5 milhões de utilizadores
- Questão: Uma vulnerabilidade na aplicação permitia que os cibercriminosos modificassem os perfis dos utilizadores, inserindo ligações maliciosas que executavam scripts de malware sem o consentimento do utilizador.
- Resultado: Informações de identificação pessoal (PII), incluindo nomes, endereços de correio eletrónico e números de telefone, foram vendidas na dark web, expondo os utilizadores a potenciais ataques de phishing e roubo de identidade.
Este caso sublinha os perigos das aplicações não autorizadas que lidam com informações sensíveis dos clientes. Sem a verificação das TI, aplicações como a Truecaller podem introduzir vulnerabilidades que conduzem a graves violações de dados.
Violação de credenciais do Docker
- Vítimas: 190 000 programadores
- Questão: Uma violação de dados permitiu que os piratas informáticos roubassem as credenciais dos utilizadores, permitindo potencialmente que os cibercriminosos alterassem ou comprometessem as aplicações criadas na plataforma.
- Resultado: A violação põe em perigo os dados dos programadores e coloca em risco as aplicações que estes criaram, o que pode ter efeitos em cascata para os utilizadores finais.
Esta violação destaca a forma como as aplicações não autorizadas podem existir mesmo em ambientes de desenvolvimento onde a segurança deve ser uma prioridade máxima. Sem monitorização de TI, ferramentas de desenvolvimento como o Docker podem levar a vulnerabilidades em grande escala.
A histórica violação de dados do Yahoo
- Vítimas: 3 mil milhões de utilizadores
- Questão: Uma série de violações de dados entre 2012 e 2016 expôs dados pessoais devido a ataques de phishing e más práticas de segurança.
- Resultado: A Yahoo teve de pagar $117,5 milhões de euros e perdeu a sua posição como principal fornecedor de serviços Web, o que mostra como as vulnerabilidades podem contribuir para danos financeiros e de reputação a longo prazo.
Neste caso, os fracos protocolos de segurança permitiram que os cibercriminosos explorassem as vulnerabilidades das TI paralelas, conduzindo a uma das maiores violações de dados da história.
Os cinco tipos mais perigosos de Shadow IT
Para além destes exemplos do mundo real, o software não aprovado apresenta riscos em várias áreas fundamentais:
- Gestão de vulnerabilidades. As aplicações não aprovadas carecem frequentemente de um controlo adequado das vulnerabilidades e da gestão de patches. Sem a supervisão das TI, estas aplicações podem não receber actualizações de segurança críticas, o que as torna alvos privilegiados para os cibercriminosos.
- Gestão de Identidade e Acesso (IAM). O software não autorizado pode levar a contas de utilizador não geridas, incluindo contas órfãs de antigos funcionários. Estas contas não autorizadas criam oportunidades de acesso não autorizado, aumentando o risco de ameaças internas e violações externas.
- Gestão de Acesso Privilegiado (PAM). As aplicações não conformes podem conceder aos funcionários acesso privilegiado sem o conhecimento das TI. Isto pode resultar em permissões excessivas para utilizadores que não precisam delas, aumentando a probabilidade de violações de segurança.
- Perda de dados e violações de conformidade. Muitas aplicações não autorizadas não cumprem as políticas de segurança da empresa ou as normas regulamentares, como o RGPD e a HIPAA. Esta situação pode levar ao tratamento incorreto de dados sensíveis, resultando em multas, perda de dados e danos para a reputação.
- Riscos de renovação automática. Muitas aplicações não autorizadas vêm com funcionalidades de renovação automática que podem passar despercebidas, levando a custos desnecessários. Sem supervisão de TI, as empresas podem continuar a pagar por serviços que já não estão a ser utilizados, drenando recursos financeiros valiosos.
Como detetar e prevenir a Shadow IT
Detetar e gerir tecnologia não conforme é crucial para manter os dados da sua empresa seguros e em conformidade. As ferramentas não aprovadas podem infiltrar-se facilmente nas operações diárias, conduzindo a falhas de segurança e desperdício financeiro. Eis como identificar e evitar software não autorizado na sua organização.
Auditorias regulares de software. Comece por auditar todo o software utilizado na empresa. Este processo ajuda a identificar quaisquer aplicações não autorizadas que os funcionários possam ter descarregado sem a aprovação das TI. As revisões regulares mantêm a lista de ferramentas actualizada, permitindo às equipas de TI acompanhar todas as aplicações em utilização.
Educar e envolver os funcionários. Os funcionários recorrem frequentemente a aplicações não autorizadas quando sentem que as ferramentas aprovadas pela empresa não satisfazem as suas necessidades. É essencial educar a equipa sobre os riscos do software não aprovado. Certifique-se de que compreendem as consequências das violações de dados e de conformidade e incentive-os a consultar as TI antes de adoptarem novas ferramentas. Uma comunicação clara pode reduzir significativamente a vontade de procurar soluções não aprovadas.
Utilizar ferramentas de gestão SaaS. Software de gestão B2B SaaS fornece visibilidade em tempo real de todas as aplicações utilizadas pela empresa. Ferramentas como o Spendbase para Chrome monitorizam a utilização de aplicações sempre que os funcionários iniciam sessão com as respectivas contas empresariais, assinalando instantaneamente software não autorizado. Isto permite que as equipas de TI façam a gestão de tecnologia não autorizada à medida que esta surge, evitando riscos antes que estes aumentem.
Base de dados de despesas também oferece informações sobre a adoção de aplicações, ajudando-o a decidir se deve renovar ou cancelar subscrições com base em dados de utilização reais.
Ao manter auditorias regulares, promover uma comunicação aberta com os funcionários e utilizar ferramentas como o Spendbase para Chrome, pode detetar e impedir eficazmente as TI sombra, garantindo que a sua empresa se mantém segura e em conformidade.
Conclusões
A gestão da TI sombra é essencial para proteger a sua empresa contra riscos ocultos e custos inesperados. Ao compreender os desafios e tomar medidas proactivas, pode atenuar as potenciais ameaças colocadas por aplicações e serviços não autorizados.
- Mais de 70% das empresas registaram incidentes de segurança relacionados com as TI sombratornando-a uma ameaça crescente para organizações de todas as dimensões.
- As aplicações não autorizadas e os dispositivos pessoais contornam frequentemente as medidas críticas de segurança informáticaexpondo dados sensíveis a violações e violações de conformidade.
- As compras duplicadas de software e as renovações automáticas de aplicações não autorizadas podem inflacionar os orçamentos de TI, conduzindo a uma situação de descontrolo edespesas necessárias.
- O software não monitorizado leva à perda de patches de segurança e a contas órfãsque pode criar vulnerabilidades perigosas na sua rede.
- A formação e as auditorias regulares de software, combinadas com ferramentas de gestão de SaaS, são chave para controlar as TI sombra e prevenir riscos futuros.
Ao adotar uma abordagem proactiva, as organizações podem garantir que a TI sombra não compromete a sua segurança, conformidade ou saúde financeira.
Talvez queira ler
Gestão de Saas
Superar a dispersão de SaaS:
Desafios e métodos para os vencer
30% dos gastos com SaaS são desperdiçados em subscrições não utilizadas, ferramentas redundantes ou licenças duplicadas. Mais vale estar a gastar o seu dinheiro - é a mesma coisa.
Gestão de Saas
O desperdício de SaaS não é um risco profissional:
saiba como o evitar
Desnecessário. Ineficiente. Não é assim que quer que o seu serviço seja descrito. Mas com o SaaS a crescer 20% por ano, o desperdício está a tornar-se uma questão urgente.
Gestão de Saas
É a primeira vez que lidera uma equipa de TI? Ouvir muito e criar confiança rapidamente: dicas de J. Travaglione
Uma entrevista exclusiva com Joe Travaglione, CISO e CIO da Future State Cyber, revela o lado da liderança em TI que nenhum manual lhe ensinará.
Gestão de Saas
Os primeiros 90 dias como CIO: O plano que os especialistas gostariam de ter tido quando começaram
85% dos CIOs são vistos como decisivos para a mudança - mas como é que pode provar o seu valor em apenas 90 dias? A sua estratégia pode definir o seu legado de liderança.