cybersecurity, Data Loss Prevention

Il fenomeno dello shadow IT tra rischi e vantaggi: cos’è e come affrontarlo nelle PMI

shadow IT: schermata pc con icona persona

Nell’ambito aziendale, è sempre più comune osservare l’utilizzo di applicazioni cloud da parte dei dipendenti, spesso motivati dalla scoperta di nuovi strumenti che rendono il lavoro più efficiente. Questa pratica, tuttavia, unita a quella di utilizzare dispositivi, software, applicazioni e servizi informatici al di fuori del controllo e delle procedure ufficiali del dipartimento IT aziendale, dà vita al fenomeno comunemente noto come “shadow IT”. Un fenomeno che negli ultimi anni è cresciuto esponenzialmente, seguendo la sempre maggior adozione di applicazioni e servizi basati sul cloud.
È quindi evidente che, in un’era come quella attuale, in cui la presenza del cloud è predominante, per le PMI regolare l’uso di applicazioni autorizzate da quelle che rientrano nella categoria dello shadow IT si fa fondamentale. Infatti, per quanto gli Amministratori IT credano che le app cloud usate in azienda si aggirino attorno alla quarantina, la verità è che la media effettiva supera le 1000 app e che l’80% dei dipendenti dichiara di usare app che non sono state esaminate dal reparto IT e, quindi, potenzialmente non in linea con i criteri di sicurezza e conformità definiti in azienda (fonte: Microsoft).
Con un numero così elevato di applicazioni shadow in uso, i rischi connessi a questa pratica aumentano. D’altronde, non si può proteggere efficacemente ciò di cui non si conosce l’esistenza. Ecco quindi che pur contribuendo a migliorare la produttività e a favorire l’innovazione, lo shadow IT introduce in azienda anche gravi rischi per la sicurezza, quali perdite di dati e potenziali violazioni della conformità. Non è un caso infatti che, secondo il report State of Attack Surface Management 2022 di Randori, circa il 70% delle organizzazioni ha subito violazioni a causa dell’“IT ombra”.

In questo articolo, esploreremo cos’è lo shadow IT e come gestirlo all’interno delle PMI conoscendone al meglio i rischi e le potenzialità.

Cos’è lo shadow IT

Lo shadow IT rappresenta la pratica diffusa all’interno delle imprese di utilizzare software, dispositivi, sistemi IT o applicazioni senza l’approvazione ufficiale del reparto IT aziendale. Questa abitudine, come abbiamo visto in apertura, si estende anche all’uso di servizi cloud e all’accesso ad account personali tramite sistemi aziendali, senza il consenso del dipartimento IT interno.

Il fenomeno dello shadow IT ha vissuto una crescita esponenziale negli ultimi anni, complice tra le altre cose la diffusione di servizi e applicazioni basate sul cloud, e dello smart working, che spinge molti dipendenti ad utilizzare dispositivi personali, strumenti di collaborazione e app di produttività anche al di fuori dell’ufficio.

Anche se in certi casi lo shadow IT è inoffensivo, e anzi aiuta ad accelerare la produttività e promuovere l’innovazione in azienda, esistono tutta una serie di rischi associati a questo fenomeno, soprattutto in termini di sicurezza informatica aziendale e conformità normativa.

Prima di procedere, è qui importante considerare che, generalmente, lo shadow IT nasce a partire da azioni in buona fede da parte dei dipendenti. Parliamo di lavoratori che scoprono software extra utili a portare a termine il lavoro in modo più veloce o efficiente, magari per modificare un file oppure per inviare un allegato di grandi dimensioni. Tuttavia, il rischio dell’IT ombra nasce dal fatto che tutti questi strumenti informatici non autorizzati costituiscono di fatto dei “luoghi” al di fuori del perimetro di sicurezza della rete aziendale che possono quindi trasformarsi da porta d’ingresso per virus o malware capaci poi di attaccare l’intero sistema informatico aziendale, procedendo magari con la divulgazione di dati sensibili o con l’esposizione di informazioni riservate.

Per chiarire, lo shadow IT può assumere forme e sfumature diverse ma, nel complesso, può essere distinto in due macrocategorie:

  • L’uso di programmi di terze parti, al di fuori delle piattaforme ufficialmente autorizzate dal reparto IT, per accedere, archiviare o distribuire informazioni aziendali. Ad esempio, la scelta di utilizzare Google Workspace nonostante la piattaforma riconosciuta dal reparto IT sia Microsoft 365.
  • L’uso improprio di risorse autorizzate, con l’accesso mediante account personali e non controllati.

IT ombra: persona che lavora usando il cellulare

Alcuni esempi di shadow IT

L’uso di account di posta elettronica personali per le attività aziendali, l’adozione di servizi SaaS non gestiti dal team IT aziendale e l’impiego di dispositivi personali non approvati sono tutti esempi comuni di shadow IT.

Scendendo nello specifico, rientrano nel fenomeno dell’IT ombra situazioni come:

  • L’uso non autorizzato di applicazioni per la gestione dei workflow o della produttività,
  • L’utilizzo di account e-mail personali per svolgere attività lavorative,
  • L’impiego non autorizzato di dispositivi personali (o BYOD, Bring Your Device),
  • L’uso di piattaforme di messaggistica personali come Whatsapp o Telegram per comunicazioni di lavoro,
  • L’esecuzione di software personalizzati sui dispositivi aziendali.

I rischi dell’IT ombra

Affrontare i rischi associati all’IT ombra è una grande sfida, spesso impossibile da vincere. Banalmente, proteggere i dati diventa complesso quando i dipendenti li archiviano in luoghi al di fuori del controllo aziendale.

Tra i principali rischi per la sicurezza derivati dall’IT ombra rientrano infatti:

  • Mancata sicurezza dei dati: l’incapacità di accedere ai dati salvati in account o dispositivi personali mette a rischio la sicurezza delle informazioni aziendali. I dati memorizzati su dispositivi o account cloud personali, non possono infatti essere sottoposti al normale backup e possono quindi essere persi quando il dipendente si dimette o semplicemente li cancella. In aggiunta, è chiaro che quando i dati vengono trattati attraverso dispositivi e applicazioni non autorizzate e potenzialmente non sicure, il rischio di violazioni o divulgazioni si accresce, così come la possibilità per i lavoratori di lavorare su dati incongruenti o obsoleti.
  • Perdita di visibilità e controllo: lo shadow IT comporta la perdita di visibilità e controllo sugli asset aziendali. Poiché il reparto IT aziendale non può essere a conoscenza degli specifici asset di IT ombra, le vulnerabilità di sicurezza in tali asset non vengono affrontate. Secondo il report di Randori citato in precedenza, questa mancata consapevolezza può portare a un aumento del 30% degli asset esposti rispetto a quelli rilevati dai programmi di gestione degli asset. A peggiorare la situazione concorrono poi le eventuali mancanze degli utenti, che possono infatti optare per password estremamente deboli, non prendersi cura degli aggiornamenti e delle configurazioni e non procedere con i controlli di sicurezza. Tutte attività, queste, che verrebbero tradizionalmente svolte dal reparto IT aziendale.
  • Maggiore vulnerabilità agli attacchi informatici: ogni istanza di IT ombra espande la superficie di attacco dell’organizzazione. Gli asset in shadow, non essendo visibili al reparto IT, non beneficiano delle soluzioni di sicurezza aziendale e possono essere ad esempio configurati con credenziali e maccanismi di accesso estremamente deboli e quindi violabili.
  • Problemi di conformità: normative come GDPR, ISO 27001 e NIS2, impongono rigorosi requisiti per la sicurezza dei dati, e le soluzioni in ombra create da dipendenti senza competenze in materia di conformità e sicurezza spesso non soddisfano tali standard. Ciò può portare a sanzioni o azioni legali contro l’organizzazione, mettendone a rischio la reputazione e l’integrità.

cos'è lo shadow IT: persona che lavora al pc

I vantaggi

Ma, se come abbiamo detto, il fenomeno dello shadow IT è così pericoloso per la sicurezza informatica delle imprese, come mai è così diffuso?

La verità è che nonostante i vari rischi, la diffusione dell’IT ombra trova giustificazione nei vantaggi che offre, soprattutto dal punto di vista dell’operatività.

Non sono rari, infatti, i casi in cui i dipendenti sentono di non essere dotati di strumenti efficaci per svolgere al meglio i propri compiti ed il risultato è che, spesso, questi finiscono per cercare soluzioni alternative in autonomia, senza aspettare l’approvazione del reparto IT che può richiedere tempi anche piuttosto lunghi.

Fino a qualche tempo fa, le organizzazioni avevano perciò stabilito di “fare guerra” al fenomeno dello shadow IT, vietando completamente l’uso di soluzioni alternative a quelle ufficiali. Oggi, invece, si sta assistendo a un progressivo cambiamento di prospettiva grazie a una crescente consapevolezza dei suoi vantaggi e della sua capacità di offrire flessibilità ai team operativi in un momento storico in cui la flessibilità aziendale è di estrema importanza.

Tra i vantaggi chiave dell’IT ombra possiamo citare:

  • Maggiore produttività: consentendo ai lavoratori di scegliere le soluzioni tecnologiche più adatte alle loro attività, l’IT ombra può aumentare la produttività complessiva. La possibilità di risolvere rapidamente le sfide quotidiane, senza attendere l’approvazione del reparto IT, consente ai dipendenti di essere più efficienti.
  • Maggiore innovazione: lo shadow IT può fungere da catalizzatore per l’innovazione. Quando i dipendenti identificano necessità specifiche e collaborano per trovare soluzioni tecnologiche capace di mitigarle, si crea un ambiente fertile per l’innovazione. Questo significa che la direzione può e deve considerare seriamente i software o le applicazioni scelte autonomamente dai dipendenti, poiché potrebbero rivelarsi soluzioni efficaci da far adottare formalmente a tutta l’azienda.
  • Coinvolgimento dei lavoratori: l’IT ombra può contribuire a coinvolgere i lavoratori, soprattutto in settori che dipendono fortemente dal software. Offrendo ai dipendenti la flessibilità di utilizzare gli strumenti che preferiscono, le aziende possono attrarre e trattenere talenti qualificati. I candidati, infatti, apprezzano l’opportunità di utilizzare strumenti che conoscono bene, piuttosto che dover imparare a utilizzare nuovi strumenti che potrebbero essere obsoleti o meno efficaci.

PMI: cosa fare di fronte al fenomeno del shadow IT

Per gestire i rischi associati all’IT ombra senza rinunciare ai suoi vantaggi, molte organizzazioni cercano di allineare queste pratiche ai protocolli di sicurezza, anziché vietarle completamente. Ecco perché i reparti IT implementano tecnologie di sicurezza informatica come gli ASM (Attack Surface Management), così da monitorare in modo continuo gli asset IT esposti dall’azienda e rilevare le risorse in ombra non appena vengono adottate. Questa soluzione permette non solo di valutare questi asset ma anche di rilevarne le vulnerabilità e gestirne le correzioni.

Insomma, sembra che la distinzione tra l’IT ombra “buono” e quello “cattivo” sia diventata più importante che mai e il raggiungimento dell’equilibrio il compromesso a cui aspirare. D’altronde, questo equilibrio consente agli utenti finali di identificare le soluzioni più adatte, lasciando al reparto IT il controllo su dati e autorizzazioni utente per le applicazioni. Una soluzione, questa, che riduce il carico di lavoro del reparto IT, consentendogli di concentrarsi su attività critiche per il business.

Tuttavia, per limitare i rischi legati all’IT ombra, le organizzazioni possono adottare le seguenti pratiche:

  • Formazione dei dipendenti: informare e formare i dipendenti sull’uso sicuro e corretto degli strumenti e delle tecnologie disponibili permette di sensibilizzare gli utenti sui rischi associati alle soluzioni IT ombra. È importante che ai dipendenti venga chiarito come l’azienda può soddisfare le loro esigenze e i requisiti tecnologici senza eludere le regole di governance.
  • Comunicazione e collaborazione: favorire una comunicazione aperta e una collaborazione efficace tra il reparto IT e gli utenti finali è fondamentale per aumentare la consapevolezza sui reali bisogni tecnologici aziendali. Comprendere appieno i requisiti, le esperienze e i feedback degli utenti può contribuire a una gestione più efficiente delle tecnologie attuali e future.

Intrusa: ecco come può aiutarti nella gestione dello shadow IT

Come abbiamo visto sin qui, con l’aumento dell’adozione di applicazioni non autorizzate e l’uso sempre più diffuso di dispositivi personali, diventa sempre più cruciale per le imprese mantenere il controllo e garantire la sicurezza dei propri dati e sistemi.
A supportare le PMI in questo c’è Intrusa, la piattaforma per la compliance informatica aziendale che consente di gestire in modo efficace lo shadow IT.

Grazie alle sue funzionalità di tracciamento e reportistica, le aziende possono sia monitorare gli accessi a dati e sistemi sia l’uso di dispositivi USB, ricevendo allarmi immediati in caso di attività sospette. Inoltre, Intrusa è dotata di funzionalità di verifica e reportistica dei software installati, garantendo alle imprese il massimo controllo sul proprio ambiente IT.

Intrusa offre anche la possibilità di rilevare e monitorare l’impiego di software specifici, come quelli per il controllo remoto (Anydesk, Teamviewer, Splashtop, etc), la messaggistica istantanea come WhatsApp e l’accesso a basso livello ai dati (Recuva, Ccleaner, etc), consentendo una veloce identificazione dei potenziali rischi legati all’uso di queste applicazioni.

Inoltre, grazie alle sue funzionalità di verifica dell’utilizzo dei sistemi cloud aziendali, le PMI possono tenere sotto controllo l’accesso alle applicazioni del pacchetto Microsoft 365 e ad altre piattaforme cloud, monitorando l’uso di applicazioni non ancora normate, l’accesso tramite dispositivi personali, anche quando questo avviene in smart working da casa o da sedi remote.

Contattaci per saperne di più.