8 passos para reaver controlo sobre “TI sombra”

Compreender as motivações dos utilizadores é a primeira etapa. Mas o processo também envolve restringir o acesso.

0_shadow_it_intro-100709139-pexels_large-3x2A utilização de “TI sombra” refere-se ao fenómeno em que os gestores de negócio recorrem a tecnologias ou serviços além daqueles disponibilizados pelo departamento de TI, sem conhecimento deste, e pode ser perigosa. Normalmente assentam no uso de cloud computing são passíveis de controlo, necessário para garantir conformidade face a directrizes de segurança.

A Gartner prevê que, até 2020, um terço das falhas de segurança surgirão desses serviços de TI usados em paralelo. O CEO da ValiMail, Alex Garcia-Tobar, esquematizou um processo para as empresas descobrirem o uso de serviços de “TI sombra”. E recuperar o controlo sobre eles.

Compreender as motivações dos seus utilizadores

Os funcionários não estão a seleccionar e a usar as  suas próprias soluções de cloud para dar dores de cabeça ou colocar a empresa em risco. Vêem esses serviços como formas seguras e fiáveis de tornar o seu trabalho mais eficaz, e nem sequer lhes ocorre que há uma boa razão para envolver o departamento de TI nessas decisões. Quanto mais se tiver isso em consideração, mais fácil será obter maior cooperação.

Saber que entidades estão a enviar emails

A maioria dos serviços de cloud empresariais acabam por enviar emails como como parte do seu fluxo de trabalho, geralmente com um dos seus nomes de domínio corporativos no endereço de proveniência. Isso é um factor favorável porque pode-se usar o padrão de autenticação de email aberto, DMARC, para obter visibilidade sobre todos a correspondência enviados usando os nomes de domínio que se controla, mesmo sendo os emails originários de serviço totalmente fora da rede da empresa.

É muito provável que serviços de cloud legítimos enviem emails com chancela dos clientes e sejam usados pelos funcionários. Se não estão no radar do departamento de TI, constituem “TI sombra”.

Alargar o âmbito da monitorização

Depois de conhecer os serviços de envio, será possível monitorizar a sua utilização. Para alguns, será fácil criar uma lista restrita, no serviço ao cliente procure por serviços de gestão de solicitações, ou no marketing, por serviços de envio em massa, por exemplo.

Para descobrir outros pode ser preciso pedir à equipa de finanças mais informações. Afinal, alguém está a paga pelos serviços.

Resolver os problemas de conformidade em cada serviço

Neste ponto do processo, será possível chegar aos utilizadores para perceber como os serviços estão a ser usados e se eles apresentam risco para a empresa. Ao adoptar uma abordagem razoável e tendo as necessidades do negócio em mente, é possível servir o negócio e ainda satisfazer os requisitos de segurança e conformidade da empresa.

O objectivo não é eliminar a utilização dos bons serviços de cloud pública. Pelo contrário, importa garantir que todos eles sejam bons.

Descobrir o que mais está a ser usado

Os gestores que estão a gastar dinheiro num serviço de cloud, muitas vezes se contentam com um. Quando já se identificou esses utilizadores é possível perceber que outros serviços ainda têm em uso.

Ser paciente

Alguns dos procedimentos vão demorar algum tempo. Será preciso tempo para transmitir a mensagem e talvez seja necessário mais para trabalhar com fornecedores e departamentos internos de modo a garantir que os serviços estejam em conformidade para uso.

Os funcionários provavelmente não sabem que a utilização dos serviços pode trazer riscos para a empresa. Terão de passar por um processo de aprendizagem.

Defina um prazo

A paciência é uma virtude mas no entanto não podemos deixar que a situação se arraste para sempre. Deixados sem qualquer pressão, alguns utilizadores não darão prioridade às pretensões do departamento de TI.

Será necessário estabelecer um prazo, após o qual os serviços não-compatíveis com a política adoptada serão desligados. Mas importa dar aos utilizadores todas as oportunidades de trabalhar com a equipa de TI, e em seguida, preparar a fase de execução.

Desligar os criminosos

A autenticação de emails entra em campo novamente noutra fase. Depois de usar o DMARC para identificar os emissores de email, isso significa que você também pode bloquear remetentes não autorizados. Esta imposição evitará email de remetentes não autorizados de aparecer em caixas de correio dentro e fora da rede empresarial. Às vezes, esta etapa poderá levar os utilizadores a agirem e às vezes a empresa poderá decidir que não quer que esses serviços funcionem em seu nome.

Oferecer novos serviços online

Os funcionários não vão deixar de querer novos serviços em cloud computing apenas porque se executou este processo de oito etapas. Será útil estabelecer um processo segundo o qual deverão colocar à consideração do departamento de TI a utilização dos serviços, para haver garantias de conformidade com políticas e necessidades de segurança.

Quando forem atendidas, o departamento de TI pode habilitar cada serviço individualmente para ser usado.




Deixe um comentário

O seu email não será publicado