Nel mondo fortemente digitale in cui viviamo, l’informatica è una parte fondamentale della nostra vita sia personale che professionale. Tuttavia, insieme all’innovazione tecnologica, si è fatto spazio un fenomeno noto come “Shadow IT”, termine che scaturisce forte preoccupazione tra i professionisti dell’IT e i dirigenti aziendali.
Cos’è lo Shadow IT?
Il concetto di Shadow IT include qualsiasi risorsa software, hardware o IT utilizzata in una rete aziendale senza l’approvazione del reparto IT e spesso senza la consapevolezza o la supervisione del reparto IT. La condivisione di file di lavoro su un account Dropbox personale o su una chiavetta USB, una riunione su Skype mentre l’azienda utilizza WebEx o l’avvio di una conversazione di gruppo su Slack senza l’approvazione del reparto IT sono tutti esempi di Shadow IT.
Le cause dello Shadow IT
Secondo Cisco, l’80 percento dei dipendenti delle aziende utilizza lo Shadow IT. I singoli dipendenti spesso adottano lo Shadow IT per comodità e per incrementare la produttività: ritengono di poter lavorare in modo più efficiente o efficace utilizzando i loro dispositivi personali e il software che preferiscono, invece delle risorse IT autorizzate dall’azienda.
La diffusione di questo fenomeno è incrementata con la consumerizzazione dell’IT e, più recentemente, con la crescita del lavoro in remoto. La modalità SaaS (Software-as-a-Service) consente a chiunque disponga di una carta di credito e un minimo di conoscenza tecnica di implementare sofisticati sistemi IT per la collaborazione, la gestione di progetti, la creazione di contenuti e molto altro. Le politiche BYOD (Bring Your Own Device) consentono ai dipendenti di utilizzare i propri computer e dispositivi mobili sulla rete aziendale. Ma, anche quando è in effetto un programma BYOD formale, ai team IT spesso manca la visibilità del software e dei servizi utilizzati dai dipendenti sull’hardware BYOD e può risultare particolarmente complesso applicare politiche di sicurezza IT sui dispositivi personali dei dipendenti.
Vediamo alcune delle ragioni per cui lo Shadow IT si è diffuso nelle organizzazioni:
- Facilità d’uso: alcuni dipendenti ricorrono allo Shadow IT perché trovano più facile utilizzare servizi e applicazioni esterni piuttosto che seguire i processi ufficiali dell’azienda
- Necessità di produttività: in alcuni casi, i dipendenti adottano soluzioni IT non autorizzate perché credono che queste migliorino la loro produttività o consentano loro di svolgere il lavoro in modo più efficiente
- Mancanza di consapevolezza: talvolta, i dipendenti potrebbero non essere consapevoli delle politiche IT dell’azienda o delle possibili conseguenze legate all’uso di soluzioni non autorizzate.
Una nuova indagine di NinjaRMM mostra che molti dipendenti si sentono a loro agio aggirando le politiche di sicurezza della loro azienda per motivi semplici, come il fatto che alcune regole sono semplicemente scomode per loro. I lavoratori da remoto hanno identificato tre motivi chiave per cui si sottraggono alle regole sulla sicurezza:
- È più conveniente usare gli account personali per gestire i documenti di lavoro
- Il loro dipartimento IT è troppo lento nel rispondere ai loro bisogni
- Le regole sulla sicurezza sono troppo restrittive e limitano la loro produttività.
Rischi dell’Shadow IT
Sebbene i dipendenti normalmente adottino lo Shadow IT per i vantaggi che ne derivano, gli asset dello Shadow IT comportano potenziali rischi di sicurezza per l’organizzazione. Tali rischi includono:
- Perdita di visibilità e controllo dell’IT: poiché il team IT in genere non è consapevole degli specifici asset dello Shadow IT, le vulnerabilità di sicurezza in tali asset non vengono affrontate.
- Mancata sicurezza dei dati: i dispositivi e le app dello Shadow IT non sicuri possono essere utilizzati per accedere ai dati sensibili, archiviarli e trasmetterli, esponendo l’azienda al rischio di violazioni o divulgazione dei dati.
- Problemi di conformità: le normative come l’HIPAA (Health Insurance Portability and Accountability Act) e GDPR (General Data Protection Regulation) hanno requisiti stringenti per l’elaborazione delle informazioni di identificazione personale. Le soluzioni dello Shadow IT configurate dai dipendenti in materia di conformità non soddisfano questi standard di sicurezza, comportando sanzioni o azioni legali nei confronti dell’organizzazione.
- Inefficienze aziendali: le applicazioni dello Shadow IT non si integrano facilmente con l’infrastruttura IT autorizzata, ostacolando i flussi di lavoro che si basano su informazioni o asset condivisi.
Vantaggi dell’Shadow IT
In precedenza, le organizzazioni spesso tentavano di mitigare tali rischi vietando totalmente l’utilizzo dello Shadow IT. Tuttavia, i leader dell’IT hanno gradualmente iniziato a considerare inevitabile lo Shadow IT e molti di loro hanno anche cominciato a valutarne i vantaggi per l’azienda. Tali vantaggi includono:
- Rendere i team più agili nel rispondere ai cambiamenti nell’ambiente di business e all’evoluzione delle nuove tecnologie
- Consentire ai dipendenti di utilizzare gli strumenti più idonei per il loro lavoro
- Semplificare le operazioni IT riducendo i costi e le risorse richieste per l’approvvigionamento di nuovi asset IT
Per mitigare i rischi dello Shadow IT senza sacrificare tali vantaggi, molte organizzazioni tentano di allineare lo Shadow IT ai protocolli di sicurezza, piuttosto che proibirlo interamente. A tal fine, i team IT spesso implementano tecnologie di sicurezza informatica, ad esempio strumenti ASM (Attack Surface Management), che monitorano costantemente gli asset IT esposti su internet di un’organizzazione e identificano le risorse dello Shadow IT nel momento stesso in cui vengono adottate. Quindi, tali asset ombra possono essere valutati per rilevarne le vulnerabilità e correggerle.
Lo Shadow IT è una problematica che può inficiare la sicurezza e la gestione delle risorse IT all’interno di un’organizzazione. Fronteggiare questo problema richiede un approccio equilibrato che combini sensibilizzazione, monitoraggio e collaborazione tra i dipendenti e il dipartimento IT.
Fonti: Ninja Marketing, IBM
