La shadow IT e la minaccia per le imprese
Il panorama digitale è in continua evoluzione e, mentre le aziende accelerano l'adozione di tecnologie emergenti come l'intelligenza artificiale (AI), i big data e l'Internet of Things (IoT), anche i corrispondenti rischi informatici aumentano. Rimanere al passo con queste tecnologie non è mai stato così importante, ma cosa potrebbe succedere se i tuoi dipendenti mettessero a rischio la tua attività non seguendo le istruzioni del reparto IT, scaricando software obsoleti o utilizzando il proprio hardware?
Cos'è la shadow IT?
La shadow IT è l'uso di qualsiasi software o hardware non formalmente approvato e supportato dal reparto IT di un'azienda. Questi possono includere PC, laptop e altro hardware e servizi cloud come il software as a service (SaaS). L'aumento dell'uso della tecnologia cloud, in particolare, sta guidando la crescita della shadow IT all'interno delle organizzazioni. Questo perché i dipendenti spesso utilizzano strumenti con cui si sentono più confidenti rispetto a uno strumento approvato.
Uno scenario comune, ad esempio, vede un manager acquistare un'applicazione per realizzare un progetto con l'intenzione poi di annullarla dopo il completamento di questo. Senza notificare la transazione al reparto IT competente però, non vi è alcuna registrazione che il software sia stato acquistato o utilizzato e, di conseguenza, non verrà incluso nell'analisi della spesa SaaS dell'azienda.
Questo problema rappresenta una tendenza sempre più crescente. Un sondaggio di Gartner ha rilevato che un terzo dei cyber attacchi riusciti proveniva da una shadow IT, mentre Entrust ha rilevato che più di due terzi (77%) dei professionisti IT ritenevano che sarebbe diventato un problema importante. Per molte organizzazioni, la shadow IT è all'altezza del suo nome: si nasconde in bella vista, con la minaccia che aumenta in continuazione.
Come la shadow IT rappresenta una minaccia per le imprese
Sono due i modi in cui le imprese possono essere minacciate:
- In primo luogo, è molto difficile per un'azienda avere chiara visibilità su qualsiasi forma di shadow IT perché non arriva attraverso i processi formali di un'azienda.
- In secondo luogo, il software legacy che una volta era formalmente approvato dal reparto IT, ma non è più supportato dall'azienda, può anche causare problemi di sicurezza e continuità se non viene eliminato.
L'attrattiva per i dipendenti è evidente: la shadow IT può migliorare la velocità con cui possono svolgere il proprio lavoro. La maggior parte delle volte, un reparto avrà i propri requisiti per quanto riguarda il software o l'hardware di cui ha bisogno. La sfida è quindi quella di navigare nella burocrazia aziendale che spesso esiste per ottenere il via libera per un software o un hardware. Forse non sorprende che, quando il tempo è essenziale, i team possano sentirsi frustrati e siano inclini ad acquistarlo o scaricarlo da soli.
Come accennato in precedenza, gli utenti sono diventati più a loro agio nel scaricare e utilizzare app e servizi dal cloud per assisterli nel loro lavoro, una tendenza che ha subito un'accelerazione con l'aumento del lavoro da remoto dopo la pandemia. Nel caso di applicazioni basate su cloud o di altri servizi utilizzati dagli sviluppatori – la più grande categoria di shadow IT – gli asset possono contenere vulnerabilità e, di conseguenza, aumenta il rischio di violazioni dei dati e altre responsabilità.
Il rischio dello shadow IT è chiaro: se non si conosce l'ambito dell'IT dell'azienda, non è possibile proteggerlo o aggiornarlo. Per definizione, lo shadow IT non rientra nella visione della sicurezza IT, aumentando la probabilità che le vulnerabilità non vengano rilevate. Altri rischi dello shadow IT sono i rischi legati alla conformità, la perdita di produttività e continuità, la perdita e la perdita di dati e i rischi finanziari.
Come puoi mitigare il rischio?
Analogamente alle azioni preventive per altri tipi di minacce informatiche, l'educazione del personale dovrebbe essere in cima alla lista. Comunica, collabora e forma tutti i tuoi dipendenti sui pericoli dello shadow IT, oltre a rendere le procedure formali che devono seguire per ottenere il software o l'hardware di cui hanno bisogno nel modo più rapido e semplice possibile. Anche il monitoraggio del traffico di rete e la garanzia della visibilità e del controllo di tutti i dispositivi, le applicazioni e i sistemi dovrebbero avvenire costantemente.
È possibile mitigare il rischio da un punto di vista tecnico rendendo impossibile il download di software non approvato o la connessione alla rete senza un sistema di autenticazione ad hoc, ma questo è valido solo fino a un certo punto. È ancora molto facile per un dipendente scaricare un'applicazione cloud e utilizzarla senza che nessuno lo sappia e in questo caso è quindi necessario sapere se quell'app ha risorse che contengono vulnerabilità o meno. Altre misure per ridurre i rischi della shadow IT sono le consuete misure di sicurezza, come la segmentazione della rete e l'introduzione di politiche per il "bring your own device" (BYOD).Sebbene consentire al personale di scaricare il proprio software o utilizzare il proprio hardware possa essere liberatorio e accelerare i processi, se non gestito la minaccia che rappresenta è significativa. Per molte aziende, lo shadow IT deve uscire allo scoperto, e in fretta.
Leggi il report