Il livello di rischio della “Shadow IT” è difficile da determinare con esattezza poiché si tratta di un fenomeno estremamente diffuso e spesso di natura estemporanea, che però implica una perdita di controllo delle risorse informative della società da parte del reparto IT.
Che si tratti di perdita dei dati, di violazioni della sicurezza o esposizione a malware, questa pratica non è priva di rischi significativi: il numero di incidenti considerati a posteriori come minacce è cresciuto del 28% rispetto allo scorso anno, a fronte di un incremento del tasso di condivisione di dati sensibili tramite link pubblicamente accessibili del 23% in due anni.
“Se i dipendenti bypassano il reparto IT e si avvalgono di strumenti non monitorati diventano obiettivi privilegiati e indifesi”, afferma Franck Nielacny, CIO di Stormshield, che sottolinea come questa pratica trovi suolo fertile nell’adozione di nuovi modelli di business.
In organizzazioni più flessibili e aperte, dotate di staff primariamente itinerante o remoto, i dipendenti sono portati ad impiegare la propria attrezzatura digitale personale (laptop, smartphone privato, orologio connesso o assistenti vocali) per svolgere il proprio lavoro.
“Quando si utilizzano dispositivi personali, cambia la modalità di accesso e scambio delle informazioni a detrimento dell’uso delle infrastrutture aziendali protette, VPN incluse”, ricorda Nielacny.
Fattore finanziario e urgenze
Gli esperti di Stormshield concordano altresì sul fatto che la crescita della Shadow IT sia una conseguenza diretta delle politiche di riduzione dei costi aziendali. La gestione in-house dell’IT è stata a lungo considerata un gravoso centro di costo, motivo per cui sempre più spesso i servizi offerti dai dipartimenti IT vengono messi in competizione con servizi esterni i cui costi nominali risultano inferiori. E questo, senza necessariamente soppesare i rischi in cui si incorre.
La situazione si acutizza in presenza di una carente agilità da parte dei reparti IT: se i dipendenti necessitano di una nuova risorsa ma la scarsa flessibilità dei processi di gestione dell’infrastruttura IT ne rallenta l’implementazione, gli impiegati si avvarranno di terze parti. L’impressione generale è che l’IT interno reagisca con estrema lentezza, una percezione ulteriormente esacerbata dal fatto che spesso i sistemisti vengono coinvolti nel processo di adozione di nuove piattaforme quando è già troppo tardi.
Il carattere di urgenza conferito alla produttività aziendale e la rapidità con cui è possibile implementare e fruire di soluzioni esterne cozza inevitabilmente con l’esigenza di strutturare i servizi IT a lungo termine.
E tuttavia “le soluzioni di terze parti impiegate senza il coinvolgimento del reparto IT non sono mai soluzioni a lungo termine”, conferma Nielacny. “Anche se il dispositivo o il servizio funziona e viene adottato dallo staff, può risultare complicato incorporarlo a posteriori nel sistema informativo ufficiale dell’azienda. La modifica dei parametri di rete, le politiche di accesso e persino i requisiti di sicurezza sono tutti potenziali show stopper. Lo stesso vale per i dispositivi personali”.
Consapevolezza piuttosto che imposizione
Nielacny è dell’avviso che siano tre gli approcci adottabili per arginare il diffondersi di una infrastruttura IT ombra: prevenzione, cura e imposizione.
Nel primo caso, il reparto IT è garante della consapevolezza dei dipendenti. Il suo compito è attirare l’attenzione sulle pratiche da evitare o da adottare. “Il CIO deve trovare il modo di ‘infiltrarsi’ nelle conversazioni e nei progetti tra le business unit, al fine di ufficializzare e mettere in sicurezza le eventuali nuove piattaforme di scambio delle informazioni, che altrimenti concorrerebbero all’instaurarsi della Shadow IT, o di ottimizzare quelle esistenti in base alle esigenze dei diversi reparti”. Un’attività che, secondo Nielacny, va svolta nel modo più sottile possibile, perché spesso le misure di sicurezza aggiuntive apportate sono considerate scomode. La sfida, quindi, è quella di implementare le risorse in modo che diventino parte integrante della normale routine quotidiana del personale.
L’approccio “curativo” richiede che il reparto IT determini se servizi esterni che esulano dalle soluzioni ufficiali siano già utilizzati in azienda, analizzando i log e valutando come proteggere il traffico da e verso piattaforme di terzi o – qualora si riveli impossibile – eventuali misure per bloccare tale traffico.
Tale provvedimento ricade già nell’ultima tipologia di approccio, ovvero l’imposizione delle giuste pratiche dall’alto. Una modalità adottata da numerose aziende a fronte dell’introduzione del GDPR, con il conseguente inasprimento delle politiche di sicurezza.
“La Shadow IT rappresenta una vera sfida a livello normativo”, sottolinea Nielacny. “L’utilizzo di applicazioni o servizi di terze parti comporta il rischio di inadempienza ai dettami del GDPR, soprattutto in termini di corretta gestione dei dati personali”.
Incrementare la consapevolezza dei dipendenti è sempre preferibile a imposizioni di rado ben accette, perché l’esigenza di semplificare porterà comunque i dipendenti a trovare percorsi alternativi per accedere o scambiare informazioni più comodamente.