theNet by CLOUDFLARE

O custo crescente da TI invisível

Como os aplicativos não sancionados afetam os resultados

A adoção da TI invisível está se espalhando e seus riscos também

TI invisível — a adoção de hardware, software, aplicativos e serviços não sancionados dentro de uma organização, há muito tempo atormenta a TI.Um recente relatório de pesquisa da CORE descobriu que o uso da TI invisível explodiu em 59% desde que as organizações adotaram amplamente o modelo de trabalho remoto, com 54% das equipes de TI descrevendo suas organizações como “estando significativamente mais em risco de violação de dados” devido a esse aumento.

O que está impulsionando o aumento a TI invisível e como as organizações podem proteger seus funcionários e redes dos riscos que ela introduz?

Dois culpados são o crescimento da adoção de nuvem e o aumento do trabalho remoto. A força de trabalho moderna está cada vez mais ágil e dispersa, operando em locais e dispositivos sobre os quais a TI tem visibilidade e controle limitados. Os funcionários, trabalhando no local ou remotamente, têm preferências por ferramentas que os ajudam a realizar o trabalho. Quando essas ferramentas não se alinham com a lista de aplicativos que a TI já aprovou, ou são usadas para preencher lacunas onde nenhuma ferramenta foi fornecida, isso significa problemas para muitas organizações.

De acordo com uma pesquisa da Stratecast e da Frost & Sullivan, 80% dos funcionários adotam aplicativos SaaS sem a aprovação da TI, expondo sua rede corporativa a uma infinidade de ameaças e vulnerabilidades de segurança.

Antes que as organizações possam impedir a disseminação da TI invisível, no entanto, elas devem primeiro entender a) quanto ela está custando, b) por que seus funcionários ainda a usam e c) quais ferramentas de descoberta e correção podem ajudar.


O custo real da TI invisível

Em 2021, a empresa de gerenciamento de TI, Insight Global, sofreu uma violação de dados que expôs as informações pessoais de aproximadamente 70 mil residentes da Pensilvânia.A empresa foi contratada para ajudar nos esforços de rastreamento de contatos da COVID-19 do departamento de saúde do estado, mas comprometeu as informações coletadas quando os funcionários iniciaram “várias contas do Google para compartilhar informações como parte de um 'canal de colaboração não autorizado'”.

Embora o departamento de saúde da Pensilvânia não tenha conseguido rastrear os dados vazados para qualquer uso indevido grave, o incidente ainda ressalta a facilidade com que a TI invisível pode enfraquecer a postura de segurança de uma organização.

Quando a TI não tem visibilidade das ferramentas e contas que os funcionários estão usando, eles não têm como garantir que os dados e recursos confidenciais permaneçam dentro do perímetro corporativo. Como resultado, eles não podem avaliar ferramentas em relação a falhas de segurança, impor controles de segurança adequados, monitorar e restringir a movimentação de dados, atender aos requisitos de conformidade ou antecipar violações de dados e ataques desencadeados por vulnerabilidades nesses aplicativos e serviços não gerenciados.

Ao contrário da violação de dados da Insight Global, a correção da maioria dos ataques é cara e demorada (média de US$ 4,24 milhões por violação de dados, de acordo com a IBM), especialmente quando a TI não está ciente dos aplicativos ou contas que foram comprometidos. Em um estudo da Forbes Insights, uma em cada cinco organizações pesquisadas sofreu um ataque cibernético devido à TI invisível, enquanto menos da metade dos entrevistados se sentia confiante de que sua organização poderia se recuperar de um incidente cibernético sem impacto comercial significativo.

Se não for controlada, a TI invisível não apenas aumenta os riscos de ataques cibernéticos, mas também aumenta outros custos. Dada a expansão do trabalho remoto e a proliferação de ferramentas e serviços baseados em nuvem, a adoção da TI invisível representa uma porcentagem significativa dos gastos com TI em grandes organizações. Em uma pesquisa da NetEnrich, 59% dos tomadores de decisão de TI disseram que os gastos e excessos de TI eram uma grande preocupação para o futuro.


O que impulsiona o uso de aplicativos não sancionados

Controlar a TI invisível pode ser um processo árduo, mesmo para o departamento de TI mais diligente. De acordo com a Productiv, as empresas empregam em média entre 270 e 364 aplicativos SaaS, sendo que os aplicativos não sancionados representam 52%.

Antes que as organizações possam tomar medidas para identificar e remediar os riscos introduzidos pela TI invisível, elas precisam entender por que os funcionários ainda a adotam. Frequentemente, os funcionários não sabem que o uso de ferramentas, dispositivos e contas não gerenciados pode criar lacunas de segurança consideráveis. Em vez disso, seus motivos para adotar a TI invisível normalmente se enquadram em uma das três categorias:

  • Os funcionários gravitam em torno de ferramentas que são convenientes, eficazes e resolvem para fins corporativos específicos.E se uma organização não fornecer as ferramentas e os recursos de que os funcionários precisam, eles encontrarão os seus próprios.De acordo com a IBM, 67% dos funcionários das empresas da Fortune 1000 usam aplicativos SaaS que não foram explicitamente aprovados pelos departamentos internos.

  • Os funcionários podem não entender os riscos de segurança cibernética da TI invisível.Os funcionários podem não estar cientes de que precisam obter aprovação da TI para novas ferramentas ou perceber o quanto estão arriscando ao introduzir aplicativos e serviços não aprovados na rede.

  • As políticas de TI e os processos de aprovação podem não ser claros ou inexistentes.Obter aprovação da TI pode ser desafiador, demorado ou mesmo impossível devido a restrições orçamentárias, questões de segurança ou outros motivos.E algumas organizações podem não ter estabelecido políticas sobre a adoção de aplicativos, incentivando inadvertidamente os funcionários a adotar novas ferramentas sem primeiro divulgar seu uso à TI.


Reduzindo os riscos da TI invisível

Devido à prevalência e à natureza mutável da TI invisível, não existe uma solução única que funcione para detectar e combater vulnerabilidades em ferramentas e serviços não gerenciados. No entanto, existem várias estratégias importantes que as organizações podem adotar para minimizar sua disseminação e impacto, incluindo as seguintes:

  1. Adotar uma solução de descoberta de TI invisível.A descoberta da TI invisível pode ajudar a TI a detectar e registrar todos os aplicativos em uso em sua rede, mesmo aqueles que os funcionários ainda não divulgaram.Depois de catalogar todas as ferramentas aprovadas e não aprovadas, a TI pode avaliá-las quanto a falhas de segurança ou configurações incorretas, colocar políticas de acesso e proteção de dados à sua frente e gerenciar com mais eficiência o acesso dos funcionários a elas.

  2. Educar os funcionários sobre segurança cibernética.Educar os funcionários sobre os riscos de ferramentas e contas não aprovadas pode ajudar muito a evitar a adoção da TI invisível.

  3. Estabelecer políticas internas de TI invisível.Criar políticas em torno da adoção de novas tecnologias e informar continuamente a organização sobre essas políticas permite que a TI examine minuciosamente novos aplicativos e serviços antes de serem implantados, retardando ou interrompendo efetivamente a disseminação da TI invisível.E ao estabelecer etapas concretas para a adoção e gerenciamento de novos aplicativos e ferramentas, as organizações podem diminuir a frustração dos funcionários e ajudá-los a trabalhar com mais eficiência com as ferramentas de que precisam para realizar o trabalho.


Combater a TI invisível com a Cloudflare

A montagem de uma defesa eficaz contra a TI invisível começa com Zero Trust: um modelo de segurança baseado no princípio de que nenhum usuário ou dispositivo deve ser inerentemente confiável para acessar recursos corporativos. Ao colocar os controles Zero Trust na frente dos recursos corporativos, as organizações podem garantir que seus funcionários tenham acesso apenas a aplicativos sancionados através de contas sancionadas, tornando mais difícil para os usuários visualizar, compartilhar e mover dados em aplicativos não sancionados.

O Cloudflare Zero Trust oferece total visibilidade e controle de TI sobre aplicativos aprovados e não aprovados e ajuda a minimizar os riscos de TI invisível e outras questões de segurança.

Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.


Principais conclusões

Após ler este artigo, você entenderá:

  • Por que a TI invisível explodiu em 59%

  • O que leva 80% dos funcionários a adotar aplicativos SaaS não sancionados

  • Como uma em cada cinco organizações sofre um ataque cibernético devido à TI invisível

  • Três estratégias principais para minimizar a adoção da TI invisível


Recursos relacionados


Saiba mais sobre esse assunto

Para saber mais sobre como a Cloudflare mitiga a TI invisível, acesse o resumo da solução de visibilidade e controle Zero Trust para todos os aplicativos SaaS.

Receba um resumo mensal das informações mais populares da internet.