È difficile da rilevare. È difficile da misurare. Ma c’è, nascosto nell’ombra dei sistemi IT utilizzati in azienda.
Si definisce Shadow IT il fenomeno per cui un singolo individuo, gruppi di lavoro, business unit o interi dipartimenti utilizzano sistemi e soluzioni IT senza la condivisione, supervisione e approvazione dei responsabili del servizio IT.
Questo fenomeno può portare alla dispersione delle informazioni o all’apertura di falle di sicurezza derivanti dall’utilizzo di soluzioni informatiche non autorizzate, che non vengono testate e controllate in quanto sconosciute ai responsabili della gestione IT.
Risulta ovvio che per il reparto IT, a cui compete il controllo dell’infrastruttura aziendale, non è assolutamente possibile mettere in sicurezza qualcosa di cui non è al corrente.
Perché e come avviene lo Shadow IT?
Un’amplificazione del fenomeno si è riscontrata da quando le aziende si sono dovute adeguare all’emergenza pandemica e all’utilizzo dello smart working massivo. Per fronteggiare l’improvvisa ed enorme richiesta di strumenti di lavoro utilizzabili da remoto, le aziende sono dovute ricorrere all’autorizzazione dell’utilizzo del BYOD (Bring Your Own Device), cioè permettere l’utilizzo di dispositivi hardware e software personali per scopi lavorativi.
Ecco alcuni esempi di Shadow IT.
1. Condivisione e sincronizzazione di dati personali e aziendali fra le diverse tipologie di dispositivi aziendali e personali
La condivisione può avvenire tramite l’utilizzo di dispositivi di memorizzazione personali, quali smartphone, chiavette USB, hard disk esterni, o tramite l’utilizzo di servizi in cloud per lo scambio e la memorizzazione di dati fuori dal perimetro di controllo aziendale. L’utilizzo di sistemi di memorizzazione non esplicitamente approvati e senza il controllo del servizio IT aziendale può provocare una dispersione del know-how aziendale e introdurre confusione nella gestione dei dati e nel loro recupero, soprattutto a distanza di tempo.
2. Utilizzo di servizi di messagistica privati e/o eterogenei per lo scambio di informazioni e file aziendali fra colleghi e collaboratori
Questa abitudine introduce confusione e una pessima gestione delle informazioni, soprattutto in fase di condivisione fra team che utilizzano sistemi di comunicazione e condivisione non omogenei.
3. Utilizzo di risorse personali da parte di un dipendente per la memorizzazione di informazioni aziendali
Questa pratica fa sì che queste informazioni siano irrimediabilmente perdute per l’azienda, soprattutto nel caso di cessazione del rapporto di lavoro. Inoltre, l’utilizzo di strumenti personali per la memorizzazione dei dati non permette la memorizzazione centralizzata dei dati e una gestione coordinata e unificata del backup.
Un dato aziendale memorizzato esclusivamente su un device o servizio personale in caso di guasto o smarrimento del dispositivo risulta definitivamente perso. Il furto o smarrimento di un device personale contenente una copia di dati personali aziendali, oltre alla perdita definitiva, potrebbe far ricadere l’evento nella fattispecie di violazione di dati personali (c.d. Data Breach).
Per il Regolamento U.E. 679/2016 (GDPR) si configura un Data Breach quando una “violazione di sicurezza comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati” (ex art 4, pt. 12 Reg. U.E. 679/2016).
Sebbene il possibile incidente derivi da un comportamento imprudente, e casomai non autorizzato del dipendente, i dati personali aziendali oggetto della violazione risultano comunque, in prima istanza, sotto la diretta responsabilità dell’azienda. Sarà quindi quest’ultima a rispondere al Garante o ai diretti interessati delle mancanze che hanno generato la violazione.
Ulteriori comportamenti che ricadono nella casistica di Shadow IT si rilevano non solo quando viene collegato alla rete aziendale un dispositivo personale, quali smartphone tablet o notebook, ma anche nel caso vengano aggiunti dispositivi di servizio quali switch, access point e repeater wi-fi.
Tutti questi dispositivi, non passando per il vaglio del reparto IT, potrebbero risultare mal configurati e, data la loro connessione direttamente alla rete aziendale più interna, aprire falle nel sistema di protezione del perimetro aziendale permettendo potenzialmente l’accesso non supervisionato ai dati lavorativi.
I dipendenti e collaboratori, per portare a temine i loro compiti di lavoro, spesso utilizzano software disponibili direttamente nel web (SaaS o PaaS) o scaricati e installati direttamente sul proprio PC lavorativo. Queste azioni effettuare in autonomia e solitamente non concordate con i responsabili IT non permettono di effettuare i dovuti controlli che garantiscano i requisiti minimi di sicurezza e di protezione dei dati aziendali. Nello scenario peggiore il dipendente potrebbe scaricare e utilizzare software non regolarmente licenziato o modificato da terzi in modo da bypassare le protezioni anticopia. Non vi è nessuna garanzia che questi software “piratati”, modificati e non distribuiti direttamente dal produttore, non veicolino direttamente virus o malware.
4. Utilizzo del protocollo OAuth per l’autenticazione a servizi o applicazioni
Il protocollo OAuth permette di utilizzare le credenziali di autenticazione di un servizio terzo (es. Google G Suite, Microsoft 365, Apple, Facebook, etc.) per accedere ai servizi o piattaforme esterne e non direttamente collegate con il servizio di autenticazione.
Quando si utilizza questo protocollo di autenticazione vi è uno scambio di dati fra chi gestisce l’account e il servizio. Se si utilizza un account aziendale (ad es. Google G Suite o Microsoft 365) per accedere ad una applicazione esterna al perimetro aziendale potenzialmente potrebbero essere scambiate informazioni che introducono rischi non mappati.
Nella maggioranza dei casi chi utilizza queste soluzioni “fai da te” agisce in buona fede e per scarsa informazione: l’utente cerca scorciatoie per risolvere problemi che gli impediscono di portare a termine velocemente il lavoro, senza considerare le implicazioni di sicurezza e di gestione efficiente dell’informazione.
Come mitigare lo Shadow IT
I responsabili IT, oltre ad attuare tutte le contromisure tecniche e Best Practice per minimizzare lo Shadow IT, in accordo con la Direzione aziendale dovrebbero fornire ai dipendenti e ai collaboratori aziendali un regolamento IT dove sia chiaramente indicato quali siano le policy a cui l’utente si deve adeguare.
Nel regolamento deve essere chiaramente indicato quali sono i software aziendali autorizzati per svolgere l’attività lavorativa e quali sono le politiche di sicurezza minime da adottare per garantire un accettabile livello di sicurezza e resilienza dei dati aziendali.
Gli strumenti aziendali devono essere scelti in maniera che:
- facilitino lo svolgimento dell’attività lavorativa,
- on limitino l’operatività
- non inducano l’utilizzatore a cercare soluzioni alternative.
- un fattore chiave per la scelta dei software di produttività individuale sia l’utilizzo su dispositivi eterogenei e in mobilità.
Ma il punto cruciale per combattere il fenomeno dello Shadow IT è quello di incrementare negli utenti la cultura della sicurezza e della buona gestione del dato con corsi di formazione ripetuti ciclicamente.
Bisogna incoraggiare gli utenti a sottoporre al reparto IT le proprie problematiche o le mancanze che hanno i software utilizzati in azienda, invece di cercare soluzioni autonome.
Allo stesso tempo i responsabili del reparto IT debbono essere propensi ad ascoltare le richieste degli utenti per fornire soluzioni attraverso un migliore utilizzo dei software già presenti in azienda o, nel caso di mancanze nelle soluzioni già adottate, a valutare le proposte alternative suggerite dagli utenti. Un’efficace collaborazione fra utenti e reparto IT, con il vaglio di nuove soluzioni può essere anche uno stimolo per adottare soluzioni alternative più efficienti. L’atteggiamento del reparto IT deve essere di un ascolto attivo e ricettivo verso le richieste degli utenti. Un atteggiamento di chiusura verso i suggerimenti rischia solo di farsi etichettare come il “Reparto del NO”, e alimentare lo Shadow IT, con la pratica del “fai da te”.