Il concetto di IT ombra include qualsiasi risorsa software, hardware o IT utilizzata in una rete aziendale senza l'approvazione del reparto IT e spesso senza la consapevolezza o la supervisione del reparto IT. La condivisione di file di lavoro su un account Dropbox personale o su una chiavetta USB, una riunione su Skype mentre l'azienda utilizza WebEx o l'avvio di una conversazione di gruppo su Slack senza l'approvazione del reparto IT sono tutti esempi di IT ombra.

L'IT ombra non include il  malware  o altri asset dannosi impiegati da hacker. Fa riferimento solo agli asset non autorizzati impiegati dagli utenti finali che dispongono dell'autorizzazione alla rete.

Gli utenti finali e i team, di norma, impiegano l'IT ombra perché consente loro di non attendere l'approvazione da parte del reparto IT o perché ritengono che offra migliori funzionalità per i loro scopi rispetto alle alternative offerte dall'IT. Ma, a dispetto di questi vantaggi, l'IT ombra comporta significativi rischi di sicurezza. Poiché il team IT non è a conoscenza dell'IT ombra, non monitora tali asset e non impiega contromisure alle loro vulnerabilità. L'IT ombra è particolarmente suscettibile alle violazioni da parte degli hacker. In base al report  State of Attack Surface Management 2022  di Randori, circa 7 organizzazioni su 10 sono state violate a causa dell'IT ombra nell'ultimo anno.

Secondo Cisco, l'80 percento dei dipendenti delle aziende utilizza l'IT ombra. I singoli dipendenti spesso adottano l'IT ombra per comodità e per incrementare la produttività: ritengono di poter lavorare in modo più efficiente o efficace utilizzando i loro dispositivi personali e il software che preferiscono, invece delle risorse IT autorizzate dall'azienda.

La diffusione di questo fenomeno è incrementata con la consumerizzazione dell'IT e, più recentemente, con la crescita del lavoro in remoto. La modalità SaaS (Software-as-a-Service) consente a chiunque disponga di una carta di credito e un minimo di conoscenza tecnica di implementare sofisticati sistemi IT per la collaborazione, la gestione di progetti, la creazione di contenuti e molto altro. Le politiche BYOD (Bring Your Own Device) consentono ai dipendenti di utilizzare i propri computer e dispositivi mobili sulla rete aziendale. Ma, anche quando è in effetto un programma BYOD formale, ai team IT spesso manca la visibilità del software e dei servizi utilizzati dai dipendenti sull'hardware BYOD e può risultare particolarmente complesso applicare politiche di sicurezza IT sui dispositivi personali dei dipendenti.

Ma l'IT ombra non è sempre il risultato delle azioni dei singoli dipendenti: le applicazioni di IT ombra sono anche adottate dai team. Secondo Gartner, il 38 percento degli acquisti di tecnologia sono gestiti, definiti e controllati dai leader aziendali piuttosto che dall'IT. I team desiderano adottare nuovi servizi cloud, applicazioni SaaS e altre risorse IT, ma spesso ritengono che i processi di approvvigionamento implementati dal reparto IT e dal CIO siano troppo onerosi o lenti. Quindi decidono di aggirare il reparto IT per ottenere la tecnologia che desiderano. Ad esempio, un team di sviluppo di software potrebbe adottare un nuovo IDE (Integrated Development Environment) senza consultare il reparto IT perché il processo di approvazione formale comporterebbe un ritardo dello sviluppo e causerebbe la perdita di un'opportunità di mercato per l'azienda.

Software, app e servizi non autorizzati di terze parti rappresentano la forma più diffusa di IT ombra. Gli esempi più comuni includono:

• App per la produttività come Trello e Asana

• Applicazioni di storage su cloud, condivisione di file e modifica di documenti quali Dropbox, Google Docs, Google Drive e Microsoft OneDrive

• App di messaggistica e per la comunicazioni tra cui Skype, Slack, WhatsApp, Zoom, Signal, Telegram e gli account email personali

Questi servizi cloud e offerte SaaS sono spesso dotati di modalità di accesso semplici, sono intuitivi da utilizzare e disponibili gratuitamente o ad un costo estremamente ridotto, consentendo ai team di implementarli rapidamente quando necessario. Spesso i dipendenti utilizzano queste risorse IT ombra sul posto di lavoro perché ne fanno già un utilizzo personale. Inoltre, i dipendenti potrebbero essere invitati a utilizzare questi servizi da clienti, partner o provider di servizi; ad esempio, non è raro che i dipendenti si uniscano alle app di produttività dei clienti per collaborare su progetti.

I dispositivi personali dei dipendenti, ovvero gli smartphone, i computer portatili e i dispositivi di storage come le unità USB e i dischi fissi esterni sono un'altra fonte comune di IT ombra. I dipendenti possono utilizzare i loro dispositivi per accedere alle risorse di rete, archiviarle o trasmetterle in remoto oppure potrebbero utilizzare questi dispositivi on premise come parte di un programma BYOD formale. In ogni caso, spesso è difficile per i reparti IT rilevare, monitorare e gestire questi dispositivi con i sistemi di gestione degli asset tradizionali.

Sebbene i dipendenti normalmente adottino l'IT ombra per i vantaggi che ne derivano, gli asset di IT ombra comportano potenziali rischi di sicurezza per l'organizzazione. Tali rischi includono:

• Perdita di visibilità e controllo dell'IT: poiché il team IT in genere non è consapevole degli specifici asset di IT ombra, le vulnerabilità di sicurezza in tali asset non vengono affrontate. Secondo il report State of Attack Surface Management 2022 di Randori, la tipica organizzazione ha riscontrato un aumento del 30 percento degli asset esposti rispetto a quelli che i propri programmi di gestione degli asset hanno rilevato. Gli utenti finali o i team dipartimentali potrebbero non comprendere l'importanza degli aggiornamenti, delle patch, delle configurazioni, delle autorizzazioni e dei controlli critici di sicurezza e normativi per tali asset, rendendo ancora più significativa l'esposizione dell'organizzazione.

• Mancata sicurezza dei dati: i dispositivi e le app di IT ombra non sicuri possono essere utilizzati per accedere ai dati sensibili, archiviarli e trasmetterli, esponendo l'azienda al rischio di violazioni o divulgazione dei dati. I dati archiviati nelle applicazioni di IT ombra non verranno inclusi nei backup delle risorse IT ufficialmente autorizzate, rendendo più complesso il recupero delle informazioni nel caso di perdite di dati. Inoltre, l'IT ombra può contribuire alle incongruenze nei dati: quando i dati vengono diffusi su più asset di IT ombra senza alcuna gestione centralizzata, è possibile che i dipendenti si trovino a lavorare con informazioni non ufficiali, non valide od obsolete.

• Problemi di conformità: le normative come l'HIPAA (Health Insurance Portability and Accountability Act), PCI DSS (Payment Card Industry Data Security Standard) e GDPR (General Data Protection Regulation) hanno requisiti stringenti per l'elaborazione delle informazioni di identificazione personale (PII, Personally Identifiable Information). Le soluzioni di IT ombra configurate dai dipendenti e dai dipartimenti senza competenze in materia di conformità non soddisfano questi standard di sicurezza dei dati, comportando sanzioni o azioni legali nei confronti dell'organizzazione.

• Inefficienze aziendali: le applicazioni di IT ombra non si integrano facilmente con l'infrastruttura IT autorizzata, ostacolando i flussi di lavoro che si basano su informazioni o asset condivisi. È improbabile che, nell'introdurre nuovi asset autorizzati o nell'eseguire il provisioning dell'infrastruttura IT per un determinato reparto, i team IT tengano conto delle risorse di IT ombra. Di conseguenza, il reparto IT potrebbe apportare modifiche alla rete o alle risorse di rete in modi che comporterebbero interruzioni nelle funzionalità degli asset di IT ombra su cui i team fanno affidamento.

In precedenza, le organizzazioni spesso tentavano di mitigare tali rischi vietando totalmente l'utilizzo dell'IT ombra. Tuttavia, i leader dell'IT hanno gradualmente iniziato a considerare inevitabile l'IT ombra e molti di loro hanno anche cominciato a valutarne i vantaggi per l'azienda. Tali vantaggi includono:

• Rendere i team più agili nel rispondere ai cambiamenti nell'ambiente di business e all'evoluzione delle nuove tecnologie

• Consentire ai dipendenti di utilizzare gli strumenti più idonei per il loro lavoro

• Semplificare le operazioni IT riducendo i costi e le risorse richieste per l'approvvigionamento di nuovi asset IT

Per mitigare i rischi dell'IT ombra senza sacrificare tali vantaggi, molte organizzazioni tentano di allineare l'IT ombra ai protocolli di sicurezza, piuttosto che proibirlo interamente. A tal fine, i team IT spesso implementano tecnologie di sicurezza informatica, ad esempio strumenti ASM (Attack Surface Management), che monitorano costantemente gli asset IT esposti su internet di un'organizzazione e identificano le risorse di IT ombra nel momento stesso in cui vengono adottate. Quindi, tali asset ombra possono essere valutati per rilevarne le vulnerabilità e correggerle. 

Le organizzazioni possono anche utilizzare il software CASB (Cloud Asset Security Broker), che garantisce connessioni sicure tra i dipendenti e gli eventuali asset cloud, sia noti che sconosciuti, che utilizzano. I software CASB sono in grado di rilevare i servizi cloud ombra e sottoporli a misure di sicurezza come la crittografia, le politiche di controllo degli accessi e il rilevamento del malware.