Che cos'è l'IT ombra?

Che cos'è l'IT ombra?

Shadow IT è qualsiasi risorsa software, hardware o informatica (IT) utilizzata in una rete aziendale senza l'approvazione, la conoscenza o la supervisione del dipartimento IT.

Esempi di shadow IT includono la condivisione di file di lavoro su un account di storage cloud personale, lo svolgimento di riunioni tramite una piattaforma di videoconferenza non autorizzata quando l'azienda utilizza un servizio approvato diverso o la creazione di una chat di gruppo non ufficiale senza l'approvazione dell'IT.

Il concetto di shadow IT non include malware o altri asset dannosi installati dagli hacker. Si riferisce solo agli asset non autorizzati distribuiti dagli utenti finali autorizzati della rete.

Gli utenti finali e i team in genere adottano lo shadow IT perché possono iniziare a utilizzarlo senza attendere l'approvazione IT o perché ritengono che offra funzionalità migliori per i loro scopi rispetto a qualsiasi altra offerta IT alternativa. Ma nonostante questi vantaggi, lo shadow IT può comportare rischi significativi per la sicurezza. Poiché il team IT non è a conoscenza dello shadow IT, non monitora tali risorse né ne affronta le vulnerabilità. Lo shadow IT è particolarmente soggetto allo sfruttamento da parte degli hacker. 

Cause dello shadow IT

Secondo Cisco, l'80% dei dipendenti aziendali utilizza lo shadow IT. I singoli dipendenti adottano spesso lo shadow IT per la loro comodità e produttività: sentono di poter lavorare in modo più efficiente ed efficace utilizzando i propri dispositivi personali e il software preferito, anziché le risorse IT autorizzate dell'azienda. Un altro studio, citato dall'IBM Institute for Business Value, ha rilevato che il 41% dei dipendenti ha acquisito, modificato o creato tecnologia all'insaputa del proprio team IT/IS. 

Questo è aumentato solo con la consumerizzazione dell'IT e, più recentemente, con l'aumento del lavoro da remoto. Software-as-a-Service (SaaS) consente a chiunque disponga di una carta di credito e un minimo di conoscenze tecniche di implementare sofisticati sistemi IT per la collaborazione, la gestione dei progetti, la creazione di contenuti e altro ancora. Le politiche bring your own device (BYOD) delle organizzazioni consentono ai dipendenti di utilizzare i propri computer e dispositivi mobili sulla rete aziendale. Ma anche con un programma BYOD formale in atto, i team IT spesso non hanno visibilità sul software e sui servizi che i dipendenti utilizzano sull'hardware BYOD e può essere difficile applicare le politiche di sicurezza IT sui dispositivi personali dei dipendenti.

Ma lo shadow IT non è sempre il risultato di dipendenti che agiscono da soli: le applicazioni shadow IT vengono adottate anche dai team. Secondo Gartner, il 38% degli acquisti di tecnologia è gestito, definito e controllato dai dirigenti aziendali anziché dall'IT. I team vogliono adottare nuovi cloud service, applicazioni SaaS e altre tecnologie informatiche, ma spesso ritengono che i processi di procurement implementati dal reparto IT e dal CIO siano troppo onerosi o lenti. Così evitano l'IT per ottenere la nuova tecnologia che desiderano. Ad esempio, un team di sviluppo software potrebbe adottare un nuovo ambiente di sviluppo integrato senza consultare il reparto IT, perché il processo di approvazione formale ritarderebbe lo sviluppo e farebbe perdere all'azienda un'opportunità di mercato.

Newsletter Think

Il tuo team sarebbe in grado di rilevare in tempo il prossimo zero-day?

Unisciti ai leader della sicurezza che si affidano alla newsletter Think per ricevere notizie selezionate su AI, cybersecurity, dati e automazione. Impara velocemente da tutorial e articoli informativi consegnati direttamente nella tua casella di posta. Leggi l'Informativa sulla privacy IBM.

L'abbonamento sarà fornito in lingua inglese. Troverai un link per annullare l'iscrizione in tutte le newsletter. Puoi gestire i tuoi abbonamenti o annullarli qui. Per ulteriori informazioni, consulta l'informativa sulla privacy IBM.

https://www.ibm.com/it-it/privacy

Esempi di shadow IT

Software, app e servizi di terze parti non autorizzati sono forse la forma più pervasiva di shadow IT. Alcuni esempi comuni sono:

  • App per la produttività come Trello e Asana
     

  • Applicazioni di cloud storage, condivisione di file e modifica di documenti, come Dropbox, Google Docs, Google Drive e Microsoft OneDrive
     

  • App di comunicazione e messaggistica tra cui Skype, Slack, WhatsApp, Zoom, Signal, Telegram e account di e-mail personali

Questi servizi cloud e offerte SaaS sono spesso di facile accesso, intuitivi da usare e disponibili gratuitamente o a costi molto bassi, cosa che consente ai team di implementarli rapidamente in base alle necessità. Spesso, i dipendenti portano queste applicazioni shadow IT sul posto di lavoro perché le utilizzano già nella loro vita personale. I dipendenti possono anche essere invitati a utilizzare questi servizi da clienti, partner o fornitori di servizi: ad esempio, non è raro che i dipendenti si uniscano alle app di produttività dei clienti per collaborare a dei progetti.

I dispositivi personali dei dipendenti, smartphone, laptop e dispositivi di archiviazione come unità USB e dischi rigidi esterni, sono un'altra fonte comune di shadow IT. I dipendenti possono utilizzare i propri dispositivi per accedere, archiviare o trasmettere risorse di rete in remoto oppure possono utilizzare questi dispositivi on-premise come parte di un programma BYOD formale. In entrambi i casi, è spesso difficile per i reparti IT scoprire, monitorare e gestire questi dispositivi con i tradizionali sistemi di gestione degli asset.

Rischi dello shadow IT

Sebbene i dipendenti adottino lo shadow IT per i vantaggi che percepiscono, le risorse di shadow IT comportano potenziali rischi per la sicurezza dell'organizzazione. Questi rischi includono:

Perdita di visibilità e controllo sull'IT

Poiché il team IT generalmente non è a conoscenza degli asset di shadow IT, le vulnerabilità della sicurezza in questi asset non vengono risolte. Gli utenti finali o i team di reparto potrebbero non comprendere l'importanza di aggiornamenti, patch, configurazioni, autorizzazioni e controlli normativi e di sicurezza critici per questi asset, esacerbando ulteriormente l'esposizione dell'organizzazione.

Insicurezza dei dati

I dati sensibili possono essere archiviati, consultati o trasmessi tramite dispositivi e app shadow IT non protetti, esponendo così l'azienda al rischio di violazione o fuga di dati. I dati archiviati nelle applicazioni shadow IT non verranno rilevati durante i backup delle risorse IT ufficialmente autorizzate, il che rende difficile il recupero delle informazioni dopo la perdita dei dati. E lo shadow IT può anche contribuire all'incoerenza dei dati: quando i dati sono distribuiti su più risorse shadow IT senza alcuna gestione centralizzata, i dipendenti possono lavorare con informazioni non ufficiali, non valide o obsolete.

Problemi di conformità

Normative come l'Health Insurance Portability and Accountability Act, il Payment Card Industry Data Security Standard e il Regolamento generale sulla protezione dei dati hanno requisiti rigorosi per il trattamento delle informazioni di identificazione personale. Le soluzioni shadow IT sviluppate da dipendenti e dipartimenti senza competenze in materia di conformità potrebbero non soddisfare questi standard di sicurezza dei dati, con conseguenti multe o azioni legali contro l'organizzazione.

Inefficienze aziendali

Le applicazioni shadow IT potrebbero non integrarsi facilmente con l'infrastruttura IT autorizzata, ostacolando i workflow che si basano su informazioni o risorse condivise. È improbabile che il team IT tenga conto delle risorse shadow IT quando introduce nuove risorse autorizzate o fornisce l'infrastruttura IT per un determinato reparto. Di conseguenza, il reparto IT può apportare modifiche alla rete o alle risorse di rete in modi che interrompono la funzionalità delle risorse shadow IT su cui fanno affidamento i team.

Benefici dello shadow IT

In passato, le organizzazioni cercavano spesso di mitigare questi rischi vietando completamente lo shadow IT. Tuttavia, i leader IT hanno sempre più accettato lo shadow IT come un'inevitabilità e molti sono arrivati ad abbracciare i benfici dello shadow IT dal punto di vista aziendale. Questi benefici includono:

  • Consentire ai team di essere più agili nel rispondere ai cambiamenti nel landscape aziendale e all'evoluzione delle nuove tecnologie
     

  • Consentire ai dipendenti di utilizzare gli strumenti migliori per il proprio lavoro
     

  • Semplificare le operazioni IT riducendo i costi e le risorse necessarie per acquisire nuovi beni IT

Per mitigare i rischi dello shadow IT senza sacrificare questi benefici, molte organizzazioni puntano ad allineare lo shadow IT con i protocolli di sicurezza IT standard, anziché vietarlo del tutto. A tal fine, i team IT spesso implementano tecnologie di cybersecurity come gli strumenti di gestione della superficie di attacco, che monitorano continuamente gli asset IT dell'organizzazione connessi a Internet per scoprire e identificare lo shadow IT nel momento in cui viene adottato. Questi shadow asset possono quindi essere valutati per individuare le vulnerabilità e porvi rimedio. 

Le organizzazioni possono anche utilizzare il software Cloud Asset Security Broker (CASB), che garantisce connessioni sicure tra i dipendenti e tutte le risorse cloud che utilizzano, comprese le risorse note e sconosciute. I CASB possono scoprire i servizi cloud shadow e sottoporli a misure di sicurezza come crittografia, politiche di controllo degli accessi e rilevamento di malware. 
Soluzioni correlate
Soluzioni di sicurezza aziendale

Trasforma il tuo programma di sicurezza con le soluzioni offerte dal più grande provider di sicurezza aziendale.

 Esplora le soluzioni di cybersecurity
Servizi di cybersecurity

Trasforma il tuo business e gestisci i rischi con la consulenza sulla cybersecurity, il cloud e i servizi di sicurezza gestiti.

         Scopri i servizi di sicurezza informatica
    Cybersecurity dell'intelligenza artificiale (AI)

    Migliora la velocità, l'accuratezza e la produttività dei team di sicurezza con soluzioni di cybersecurity basate sull'AI.

         Esplora la cybersecurity dell'AI
    Fai il passo successivo

    Che tu abbia bisogno di soluzioni di sicurezza dei dati, di gestione degli endpoint, o di gestione delle identità e degli accessi (IAM), i nostri esperti sono pronti a collaborare con te per farti raggiungere un solido livello di sicurezza.Trasforma il tuo business e gestisci i rischi con un leader a livello globale nel campo della consulenza per la cybersecurity, del cloud e dei servizi di sicurezza gestiti.

         Esplora le soluzioni di cybersecurity Scopri i servizi di cybersecurity