Shadow IT è qualsiasi risorsa software, hardware o informatica (IT) utilizzata in una rete aziendale senza l'approvazione, la conoscenza o la supervisione del dipartimento IT.
Esempi di shadow IT includono la condivisione di file di lavoro su un account di storage cloud personale, lo svolgimento di riunioni tramite una piattaforma di videoconferenza non autorizzata quando l'azienda utilizza un servizio approvato diverso o la creazione di una chat di gruppo non ufficiale senza l'approvazione dell'IT.
Il concetto di shadow IT non include malware o altre risorse dannose installate dagli hacker. Si riferisce solo agli asset non autorizzati distribuiti dagli utenti finali autorizzati della rete.
Gli utenti finali e i team in genere adottano lo shadow IT perché possono iniziare a utilizzarlo senza attendere l'approvazione IT o perché ritengono che offra funzionalità migliori per i loro scopi rispetto a qualsiasi altra offerta IT alternativa. Ma nonostante questi vantaggi, lo shadow IT può comportare rischi significativi per la sicurezza. Poiché il team IT non è a conoscenza dello shadow IT, non monitora tali risorse né ne affronta le vulnerabilità. Lo shadow IT è particolarmente soggetto allo sfruttamento da parte degli hacker. Secondo il rapporto State of Attack Surface Management 2022 di ESG, quasi 7 organizzazioni su 10 sono state compromesse dallo shadow IT dal 2021 al 2022.
Secondo Cisco (link esterno a ibm.com), il 80% dei dipendenti aziendali utilizza lo shadow IT. I singoli dipendenti adottano spesso lo shadow IT per la loro comodità e produttività: sentono di poter lavorare in modo più efficiente ed efficace utilizzando i propri dispositivi personali e il software preferito, anziché le risorse IT autorizzate dell'azienda.
Questo è aumentato solo con la consumerizzazione dell'IT e, più recentemente, con l'aumento del lavoro a distanza. Software-as-a-Service (SaaS) consente a chiunque disponga di una carta di credito e un minimo di conoscenze tecniche di implementare sofisticati sistemi IT per la collaborazione, la gestione dei progetti, la creazione di contenuti e altro ancora. Le politiche BYOD delle organizzazioni consentono ai dipendenti di utilizzare i propri computer e dispositivi mobili sulla rete aziendale. Ma anche con un programma BYOD formale in atto, i team IT spesso non hanno visibilità sul software e sui servizi che i dipendenti utilizzano sull'hardware BYOD e può essere difficile applicare le politiche di sicurezza IT sui dispositivi personali dei dipendenti.
Ma lo shadow IT non è sempre il risultato di dipendenti che agiscono da soli: le applicazioni shadow IT vengono adottate anche dai team. Secondo Gartner (link esterno a ibm.com), il 38% degli acquisti di tecnologia è gestito, definito e controllato dai dirigenti aziendali anziché dall'IT. I team vogliono adottare nuovi servizi cloud, applicazioni SaaS e altre tecnologie informatiche, ma spesso ritengono che i processi di approvvigionamento implementati dal reparto IT e dal CIO siano troppo onerosi o lenti. Così evitano l'IT per ottenere la nuova tecnologia che desiderano. Ad esempio, un team di sviluppo software potrebbe adottare un nuovo ambiente di sviluppo integrato senza consultare il reparto IT, perché il processo di approvazione formale ritarderebbe lo sviluppo e farebbe perdere all'azienda un'opportunità di mercato.
Software, app e servizi di terze parti non autorizzati sono forse la forma più pervasiva di shadow IT. Alcuni esempi comuni sono:
App per la produttività come Trello e Asana
Applicazioni di cloud storage, condivisione di file e modifica di documenti, come Dropbox, Google Docs, Google Drive e Microsoft OneDrive.
App di comunicazione e messaggistica tra cui Skype, Slack, WhatsApp, Zoom, Signal, Telegram e account di e-mail personali
Questi servizi cloud e offerte SaaS sono spesso di facile accesso, intuitivi da usare e disponibili gratuitamente o a costi molto bassi, cosa che consente ai team di implementarli rapidamente in base alle necessità. Spesso, i dipendenti portano queste applicazioni shadow IT sul posto di lavoro perché le utilizzano già nella loro vita personale. I dipendenti possono anche essere invitati a utilizzare questi servizi da clienti, partner o fornitori di servizi: ad esempio, non è raro che i dipendenti si uniscano alle app di produttività dei clienti per collaborare a dei progetti.
I dispositivi personali dei dipendenti, smartphone, laptop e dispositivi di archiviazione come unità USB e dischi rigidi esterni, sono un'altra fonte comune di shadow IT. I dipendenti possono utilizzare i propri dispositivi per accedere, archiviare o trasmettere risorse di rete in remoto oppure possono utilizzare questi dispositivi on-premise come parte di un programma BYOD formale. In entrambi i casi, è spesso difficile per i reparti IT scoprire, monitorare e gestire questi dispositivi con i tradizionali sistemi di gestione degli asset.
Sebbene i dipendenti adottino lo shadow IT per i vantaggi che percepiscono, le risorse di shadow IT comportano potenziali rischi per la sicurezza dell'organizzazione. Questi rischi includono:
Perdita di visibilità e controllo sull'IT
Poiché il team IT generalmente non è a conoscenza delle risorse di shadow IT specifiche, le vulnerabilità della sicurezza in queste risorse non vengono risolte. Secondo il report IBM Security Randori State of Attack Surface Management 2022, un’organizzazione media ha il 30% in più di asset esposti rispetto a quanto identificato dai programmi di gestione degli asset. Gli utenti finali o i team di reparto potrebbero non comprendere l'importanza di aggiornamenti, patch, configurazioni, autorizzazioni e controlli normativi e di sicurezza critici per queste risorse, esacerbando ulteriormente l'esposizione dell'organizzazione.
Insicurezza dei dati
I dati sensibili possono essere archiviati, consultati o trasmessi tramite dispositivi e app shadow IT non protetti, esponendo così l'azienda al rischio di violazione o fuga di dati. I dati archiviati nelle applicazioni shadow IT non verranno rilevati durante i backup delle risorse IT ufficialmente autorizzate, il che rende difficile il recupero delle informazioni dopo la perdita dei dati. E lo shadow IT può anche contribuire all'incoerenza dei dati: quando i dati sono distribuiti su più risorse shadow IT senza alcuna gestione centralizzata, i dipendenti possono lavorare con informazioni non ufficiali, non valide o obsolete.
Problemi di conformità
Normative come l'Health Insurance Portability and Accountability Act, il Payment Card Industry Data Security Standard e il Regolamento generale sulla protezione dei dati hanno requisiti rigorosi per il trattamento delle informazioni di identificazione personale. Le soluzioni shadow IT sviluppate da dipendenti e dipartimenti senza competenze in materia di conformità potrebbero non soddisfare questi standard di sicurezza dei dati, con conseguenti multe o azioni legali contro l'organizzazione.
Inefficienze aziendali
Le applicazioni shadow IT potrebbero non integrarsi facilmente con l'infrastruttura IT autorizzata, ostacolando i workflow che si basano su informazioni o risorse condivise. È improbabile che il team IT tenga conto delle risorse shadow IT quando introduce nuove risorse autorizzate o fornisce l'infrastruttura IT per un determinato reparto. Di conseguenza, il reparto IT può apportare modifiche alla rete o alle risorse di rete in modi che interrompono la funzionalità delle risorse shadow IT su cui fanno affidamento i team.
In passato, le organizzazioni cercavano spesso di mitigare questi rischi vietando completamente lo shadow IT. Tuttavia, i leader IT hanno sempre più accettato lo shadow IT come un'inevitabilità e molti sono arrivati ad abbracciare i benfici dello shadow IT dal punto di vista aziendale. Questi benefici includono:
Consentire ai team di essere più agili nel rispondere ai cambiamenti nel panorama aziendale e all’evoluzione delle nuove tecnologie
Consentire ai dipendenti di utilizzare gli strumenti migliori per il proprio lavoro
Semplificare le operazioni IT riducendo i costi e le risorse necessarie per acquisire nuovi beni IT
Per mitigare i rischi dello shadow IT senza sacrificare questi vantaggi, molte organizzazioni puntano ad allineare lo shadow IT con i protocolli di sicurezza IT standard, anziché vietarlo del tutto. A tal fine, i team IT spesso implementano tecnologie di cybersecurity come gli strumenti di gestione della superficie di attacco, che monitorano continuamente le risorse IT dell'organizzazione connesse a Internet per scoprire e identificare lo shadow IT nel momento in cui viene adottato. Queste risorse shadow possono quindi essere valutate per individuare le vulnerabilità e porvi rimedio.
Le organizzazioni possono anche utilizzare il software Cloud Asset Security Broker (CASB), che garantisce connessioni sicure tra i dipendenti e tutte le risorse cloud che utilizzano, comprese le risorse note e sconosciute. I CASB possono scoprire i servizi cloud shadow e sottoporli a misure di sicurezza come crittografia, politiche di controllo degli accessi e rilevamento di malware.
Migliora la resilienza della tua azienda contro l'incertezza con il software completo per la cybersecurity IBM Security.
Proteggi i dati aziendali in ambienti diversi, soddisfa la conformità normativa e semplifica le complessità operative.
Integra i controlli, orchestra l'implementazione dei workload e gestisci efficacemente le minacce per il tuo programma di sicurezza ibrido e multicloud con i prodotti e le competenze di IBM Security.