Shadow IT: una minaccia alla sicurezza IT delle imprese?

Spesso si associano connotazioni negative al concetto di Shadow IT (detto anche "rogue IT"), e non a torto. In effetti, lo Shadow IT può avere conseguenze dannose per le aziende, in particolare per quanto riguarda la sicurezza e la salvaguardia dei loro sistemi di informazione.

Tuttavia, lo Shadow IT può essere utile per mettere in luce alcuni punti deboli dell’impresa, in quanto esso è spesso anche il riflesso di esigenze aziendali insoddisfatte.

Per questo è importante capire esattamente di cosa si tratta e conoscerne i pericoli, ma anche le potenzialità e gli eventuali vantaggi, così come le motivazioni che stanno dietro al suo grado di diffusione. Solo in questo modo le CIO saranno in grado di valutare adeguatamente se i sistemi Shadow IT costituiscano più un’occasione o un potenziale danno per l’azienda.

Letteralmente Shadow IT significa “tecnologia d’informazione d’ombra”. Tramite questa formulazione si intende definire l'utilizzo di sistemi di informazione e comunicazione in un contesto professionale senza l'approvazione della CIO.

Questa definizione piuttosto ampia comprende un gran numero di pratiche.

Grazie al notevole sviluppo degli ultimi anni, i dipendenti delle aziende tendono ad utilizzare volentieri l’insieme delle applicazioni gratuite di cloud. Sono particolarmente diffuse le soluzioni per la condivisione di documenti come Google Drive, o i servizi per il trasferimento di file come Wetransfer.

Nel caso dei fogli di calcolo (in particolare di Excel), lo Shadow IT si traduce nella presenza di macro, ovvero di un linguaggio di programmazione che traduce un’azione o un insieme di azioni eseguibili possibilmente per un numero illimitato di volte. Infatti, se le macro vengono create senza la supervisione del reparto IT dell’azienda, c'è il rischio che informazioni vengano perse, soprattutto nel caso in cui il dipendente che ha eseguito la programmazione lasci l'azienda.

Nel caso in cui un dipendente invii documenti aziendali al suo indirizzo di posta elettronico personale per continuare a lavorare da casa, egli sta compiendo un’azione di Shadow IT.

Oggigiorno il BYOD, o Bring Your Own Device, è una pratica sempre più diffusa. Si tratta in poche parole dell’utilizzo del proprio equipaggiamento personale (computer, smartphone, tablet, chiavi USB, ecc.) nell’ambito professionale.

Lo Shadow IT si manifesta anche tramite la navigazione su piattaforme di intrattenimento durante l'orario di lavoro. Alcuni dipendenti, ad esempio, trovano particolarmente produttivo lavorare con della musica in sottofondo e, quindi, visitano siti come Spotify o YouTube per accedervi.

Soprattutto LinkedIn, ma anche Facebook, sono social media regolarmente utilizzati dalle aziende per effettuare scambi in ambito professionale,come, ad esempio, per condividere documenti.

Secondo uno studio della società di consulenza Frost & Sullivan, oltre l’80% dei dipendenti ammette di utilizzare soluzioni IT senza l’autorizzazione formale della propria CIO/DSI. Inoltre, su circa 20 applicazioni utilizzate in azienda, sette di esse non sono state preventivamente approvate.

In effetti, il fenomeno dello Shadow IT è cresciuto in modo significativo nell'ultimo decennio.

Tuttavia, esso non è il risultato di una cattiva fede da parte del team delle aziende. I dipendenti sono, infatti, spinti soprattutto dall'intenzione di accrescere la loro produttività e migliorare la loro efficienza in ambito lavorativo: ricorrere a soluzioni di Shadow It consente loro di evitare l’utilizzo di processi effettivamente troppo dispendiosi in termini di tempo e carenti in termini di praticità.

Inoltre, nel nostro mondo sempre più digitalizzato, la tecnologia è ormai alla portata di tutti e sta diventando sempre più facile da usare, anche grazie allo sviluppo del Cloud Computing e del SaaS. Google Doc, Skype, Dropbox sono solo alcuni dei tanti esempi citabili.

I dipendenti rimangono, quindi, utenti di Internet abituati a scaricare o utilizzare applicazioni nella maggior parte dei casi gratuite che soddisfano immediatamente le loro esigenze.

In questo contesto, lo Shadow IT è più una risposta automatica o un riflesso che il desiderio di infrangere le regole stabilite dai CIO.

Lo Shadow IT può portare a problemi di conformità con alcuni standard informatici, come ad esempio ITIL.

In particolar modo, questa pratica non è molto conforme al RGPD. Infatti è difficile per l'azienda garantire il rispetto delle normative europee se manca la visibilità degli strumenti utilizzati dai suoi team e dei dati che li attraversano.

Si dice che lo Shadow IT sia responsabile di un numero significativo di minacce informatiche per le aziende, come, ad esempio, gli attacchi informatici tramite virus .

E a ragione: è impossibile per i CIO implementare misure di sicurezza su software o hardware di cui non sono a conoscenza.

L'uso di strumenti basati sul cloud può portare a fughe di dati altamente dannose per le aziende. La società Dropbox, ad esempio, ha già rivelato che sono stati rubati oltre 68 milioni di ID utenti.

Lo Shadow IT è, quindi, anche un gateway che consente a persone malintenzionate di accedere alle informazioni sensibili delle imprese e commettere dei crimini informatici.

Lo Shadow IT ha un impatto sulla standardizzazione e l'interoperabilità dei sistemi aziendali. L’utilizzo di una soluzione di Shadow IT da parte dei dipendenti, infatti, può influenzare in maniera decisiva il corretto fluire delle informazioni tra i diversi team e, di conseguenza, arrivare a compromettere la collaborazione all’interno dell’azienda.

D'altro canto la perdita di informazioni si verifica spesso quando un dipendente si dimette o viene licenziato. Ad esempio, se un dipendente era responsabile della gestione dei file dei clienti e svolgeva le sue mansioni da un'applicazione software o da un foglio di calcolo non noto al reparto IT, al momento del suo congedo può avvenire la perdita delle informazioni preziose che erano in suo possesso, ma che egli non condivideva con l’azienda.

Infine, le tecnologie utilizzate nello Shadow IT possono causare problemi operativi e di gestione, in particolare legati al consumo di banda.

Quando i dipartimenti IT non sono consapevoli della portata dello Shadow IT nell’azienda, è difficile per loro pianificare la capacità, gli aggiornamenti, ecc. che potrebbero portare a problemi operativi e di gestione.

Lo Shadow IT ha molti lati insidiosi, tuttavia esso non comporta solo rischi. Molti esperti concordano, infatti, sul fatto che esso offra molte opportunità per l’azienda, quali:

• il risparmio di tempo e l’incremento della produttività per i dipendenti e, per estensione, per i reparti IT;
• la semplificazione dell’identificazione delle esigenze aziendali da parte della CIO.

Mostrando un prospetto delle soluzioni a cui i dipendenti si rivolgono spontaneamente in caso di necessità, lo Shadow IT raccoglie e fornisce preziose informazioni che consentono un miglioramento della gestione del rischio, della risposta agli incidenti e delle politiche di sicurezza dell’azienda in generale. Queste informazioni possono essere utili per incentivare la riflessione della direzione aziendale sugli strumenti da utilizzare e sulle possibili alternative da proporre affinché l'intera impresa guadagni in prestazioni... e sicurezza!

Innanzitutto è necessario distinguere tra il tipo di Shadow IT innocuo, fonte di potenziali vantaggi per l’azienda, e quello dannoso, che costituisce, invece, una minaccia.

In questo modo, gli sforzi della CIO saranno concentrati laddove i rischi sono maggiori (protezione e riservatezza dei dati).

Una buona comunicazione rimane una delle migliori vie di miglioramento. È importante, quindi, prestare attenzione alle esigenze dei dipendenti e sentire cos’hanno da dire. Solo loro, infatti, hanno le conoscenze aziendali necessarie per identificare gli strumenti adeguati che possono permettere loro di svolgere le loro mansioni ottimizzando risultati e tempistica.

Allo stesso tempo, è necessario rimanere sempre reattivi e proattivi: informati sulle nuove tendenze del cyberspazio, impegnati per migliorare costantemente i sistemi di informazione e di comunicazione con il tuo team, abbi la volontà di ottimizzare le risorse informatiche a disposizione e non avere paura del cambiamento! In altre parole, dimostra ai tuoi dipendenti che il reparto IT non deve sentirsi frenato e non intende impedire la presa in considerazione e la presa in funzione di nuove soluzioni informatiche. Un tale approccio ti consentirà di diminuire la vulnerabilità del tuo business di fronte allo Shadow IT e, anzi, ti permetterà di conoscere e trarre vantaggio da soluzioni informatiche più innovative e vantaggiose.

Prendendo in considerazione le esigenze dei dipendenti, la CIO può arrivare a proporre strumenti simili a quelli utilizzati nell'ambito dello Shadow IT, ma rispettando comunque la roadmap aziendale in materia di sicurezza e conformità.

A titolo esemplificativo, il RGPD rappresenta un'opportunità per allinearsi alle normative tenendo conto delle pratiche commerciali. Offrendo delle alternative adeguate, la tua azienda si assumerà così la responsabilità di verificare e rispettare i requisiti normativi e ridurre il rischio di fughe di dati personali durante la condivisione esterna o interna.

È possibile impostare strumenti per rilevare la presenza di Shadow IT all'interno dell’azienda.

Tra queste soluzioni tecniche vi sono i CASB (Cloud Access Security Broker): software che, ad esempio, forniscono visibilità sui flussi cloud, monitorano e gestiscono l'accesso alle informazioni sensibili e garantiscono la conformità al RGPD. In aggiunta, essi rilevano anche i comportamenti a rischio e sono in grado di offrire all’utente un'alternativa.

La mancata conoscenza dei rischi dello Shadow IT rimane una delle ragioni principali della sua diffusione. A prova di ciò, secondo un sondaggio di Entrust Datacard, il 42% dei dipendenti afferma che sarebbe propenso a integrare nuovi strumenti conformi alle normative, se la politica della CIO in materia di Shadow IT fosse più chiara.

Di fondamentale importanza, quindi, è il fatto di prendersi il tempo necessario per sensibilizzare l’azienda riguardo ai pericoli di questa pratica, ma anche informarla delle regole e delle procedure che sono state messe in atto.

A questo scopo è utile organizzare sessioni di formazione sugli strumenti approvati dal dipartimento informatico: una mancata comprensione degli stessi da parte dei dipendenti comporterà una mancata adozione da parte loro. Ma una mancata adozione porterà a sua volta l’utente a ricercare una soluzione alternativa che consenta di raggiungere il medesimo scopo...