Shadow IT: cos’è e come proteggere l’azienda

Shadow IT

Si definisce Shadow IT il fenomeno per cui un singolo individuo, gruppi di lavoro, business unit o interi dipartimenti utilizzano sistemi e soluzioni IT senza la condivisione, supervisione e approvazione dei responsabili del servizio IT.

Questo fenomeno può portare alla dispersione delle informazioni o all’apertura di falle di sicurezza derivanti dall’utilizzo di soluzioni informatiche non autorizzate, che non vengono testate e controllate in quanto sconosciute ai responsabili della gestione IT.

Risulta ovvio che per il reparto IT, a cui compete il controllo dell’infrastruttura aziendale, non è assolutamente possibile mettere in sicurezza qualcosa di cui non è al corrente.

Perché e come avviene lo Shadow IT?

Un’amplificazione del fenomeno si è riscontrata da quando le aziende si sono dovute adeguare all’emergenza pandemica e all’utilizzo dello smart working massivo. Per fronteggiare l’improvvisa ed enorme richiesta di strumenti di lavoro utilizzabili da remoto, le aziende sono dovute ricorrere all’autorizzazione dell’utilizzo del BYOD (Bring Your Own Device), cioè permettere l’utilizzo di dispositivi hardware e software personali per scopi lavorativi.  

Esempi di Shadow IT nelle Aziende

Ecco alcune pratiche comuni di Shadow IT che possono compromettere la sicurezza aziendale:

1. Condivisione e sincronizzazione di dati personali e aziendali fra le diverse tipologie di dispositivi aziendali e personali

La condivisione può avvenire tramite l’utilizzo di dispositivi di memorizzazione personali, quali smartphone, chiavette USB, hard disk esterni, o tramite l’utilizzo di servizi in cloud per lo scambio e la memorizzazione di dati fuori dal perimetro di controllo aziendale. L’utilizzo di sistemi di memorizzazione non esplicitamente approvati e senza il controllo del servizio IT aziendale può provocare una dispersione del know-how aziendale e introdurre confusione nella gestione dei dati e nel loro recupero, soprattutto a distanza di tempo.

2. Utilizzo di servizi di messagistica privati e/o eterogenei per lo scambio di informazioni e file aziendali fra colleghi e collaboratori

Questa abitudine introduce confusione e una pessima gestione delle informazioni, soprattutto in fase di condivisione fra team che utilizzano sistemi di comunicazione e condivisione non omogenei.

3. Utilizzo di risorse personali da parte di un dipendente per la memorizzazione di informazioni aziendali

L’adozione di strumenti personali per archiviare dati aziendali spesso causa perdite irreparabili, specialmente se un dipendente termina il rapporto di lavoro. L’assenza di una memorizzazione centralizzata impedisce una gestione efficace dei backup, lasciando l’azienda vulnerabile. Ad esempio, un dispositivo personale guasto o smarrito con dati aziendali porta a una perdita definitiva. Inoltre, il furto di tali dispositivi può configurarsi come una violazione dei dati personali (Data Breach) ai sensi del GDPR, con conseguenze dirette per l’azienda, indipendentemente dal comportamento negligente del dipendente.

Pratiche comuni di Shadow IT includono anche l’uso di dispositivi non autorizzati (smartphone, tablet, notebook) o l’aggiunta di hardware come switch e repeater Wi-Fi alla rete aziendale, che spesso risultano mal configurati e vulnerabili. Questo apre potenziali falle nel sistema di sicurezza, esponendo i dati aziendali ad accessi non autorizzati.

Un ulteriore rischio è rappresentato dall’uso di software non autorizzati, scaricati autonomamente dai dipendenti. Questi strumenti, se non controllati, potrebbero non rispettare i requisiti di sicurezza o contenere malware, compromettendo l’integrità della rete aziendale e i dati sensibili.

4. Utilizzo del protocollo OAuth per l’autenticazione a servizi o applicazioni

Il protocollo OAuth permette di utilizzare le credenziali di autenticazione di un servizio terzo (es. Google G Suite, Microsoft 365, Apple, Facebook, etc.) per accedere ai servizi o piattaforme esterne e non direttamente collegate con il servizio di autenticazione.

Quando si utilizza questo protocollo di autenticazione vi è uno scambio di dati fra chi gestisce l’account e il servizio. Se si utilizza un account aziendale (ad es. Google G Suite o Microsoft 365) per accedere ad una applicazione esterna al perimetro aziendale potenzialmente potrebbero essere scambiate informazioni che introducono rischi non mappati.

Nella maggioranza dei casi chi utilizza queste soluzioni “fai da te” agisce in buona fede e per scarsa informazione: l’utente cerca scorciatoie per risolvere problemi che gli impediscono di portare a termine velocemente il lavoro, senza considerare le implicazioni di sicurezza e di gestione efficiente dell’informazione.

 

I rischi dello Shadow IT per la sicurezza

I dispositivi e le applicazioni non monitorate possono aprire falle nella sicurezza, esponendo l’azienda a data breach e violazioni della normativa GDPR. In caso di attacco, la responsabilità della sicurezza dei dati ricade comunque sull’azienda, che deve rispondere delle eventuali falle nel sistema di protezione.

Come mitigare lo Shadow IT

Per combattere lo Shadow IT, è necessario adottare misure proattive e promuovere una cultura della sicurezza tra i dipendenti:

  • Definire politiche IT chiare: fornire regolamenti che specifichino software e dispositivi autorizzati per l’uso aziendale e stabiliscano le politiche di sicurezza minime.
  • Migliorare gli strumenti di lavoro: fornire strumenti che siano facili da usare e non limitino l’operatività, riducendo il ricorso a soluzioni esterne non autorizzate.
  • Formare i dipendenti: organizzare corsi periodici per aumentare la consapevolezza sui rischi di sicurezza e promuovere l’uso responsabile delle risorse aziendali.
  • Favorire il dialogo tra IT e dipendenti: incoraggiare i collaboratori a segnalare esigenze o difficoltà e valutare le loro proposte può migliorare l’efficacia degli strumenti aziendali, riducendo la necessità di soluzioni autonome.

Verso un IT collaborativo e sicuro

Lavorare in collaborazione con i dipendenti, ascoltando le loro necessità e fornendo soluzioni adeguate, è essenziale per ridurre lo Shadow IT. Un reparto IT che supporta attivamente i collaboratori, anziché bloccare le loro iniziative, può migliorare la sicurezza complessiva e l’efficienza dei processi aziendali, promuovendo un ambiente di lavoro più sicuro e produttivo.

Scopri il nostro servizio dedicato
al Risk Assessment

Gestiamo le esigenze di cybersecurity della tua azienda applicando le tecnologie più efficaci e meno invasive in circolazione, e garantendo le condizioni per lavorare in tutta sicurezza ma con la massima efficienza.

Aggiornati sul mondo IT!