Header Navigation - IT
Background image for Che cos'è lo shadow IT? Mitigazione dei rischi e best practice
Cybersecurity 101/Sicurezza informatica/IT ombra

Che cos'è lo shadow IT? Mitigazione dei rischi e best practice

Lo shadow IT è la tecnologia utilizzata nell'organizzazione che non è approvata o autorizzata dal team IT centrale per l'uso e l'implementazione. Scopri come funzionano gli attacchi shadow IT in questa guida.

I dipendenti potrebbero non essere soddisfatti delle tecnologie o dei flussi di lavoro attuali. Alcuni di loro potrebbero non aver ancora espresso le loro preoccupazioni riguardo a problemi imminenti sul posto di lavoro. I rischi dello shadow IT non possono essere trascurati e spesso hanno origine proprio da queste emozioni. Un dipendente scontento che teme troppo la cultura aziendale potrebbe ricorrere all'uso di uno strumento di shadow IT per portare a termine il proprio lavoro.

Il motivo? Perché non vuole scontentare il capo e far sapere agli altri che i processi attuali sono inefficienti. Ma, a sua insaputa, quella piccola iniziativa personale può creare nuovi rischi. Il software che utilizzano potrebbe contenere codice dannoso o il software shadow IT potrebbe essere in fase di prototipo o beta. Questa guida spiegherà cos'è lo shadow IT nella sicurezza informatica. Di seguito potrete capire come funziona la sicurezza dello shadow IT, tutto ciò che riguarda gli strumenti shadow IT e molto altro ancora.

Che cos'è lo Shadow IT?

A volte gli strumenti di sicurezza tradizionali e i sistemi IT non sono sufficienti per svolgere determinati compiti. È in questi casi che alcuni dipendenti decidono di utilizzare software e strumenti specializzati non approvati dalle autorità e dai sistemi IT centrali. Lo Shadow IT sta diventando un grosso problema per le aziende non solo perché aggira i limiti, ma anche perché comporta diversi rischi per la sicurezza. Secondo uno studio di Gartner, in futuro i dipendenti continueranno a modificare o creare tecnologie che vanno oltre la visibilità dell'IT.

La maggior parte dei rischi per la sicurezza dello shadow IT sono nascosti in bella vista. Tuttavia, spesso passano inosservati e possono essere molto lenti da individuare. Strumenti SaaS sconosciuti, sistemi legacy che dovrebbero essere dismessi ma sono ancora in uso, database ridondanti e condivisione non autorizzata di file o collaborazione su piattaforme non approvate sono alcuni esempi di attività di shadow IT in ambienti on-premise, ibridi e multi-cloud.

Cause dello shadow IT

Le cause dello shadow IT possono essere ricondotte alla necessità di soddisfare esigenze lavorative specifiche dei dipendenti, che utilizzano questi strumenti per comodità. Ecco alcune delle cause principali:

  • Maggiore familiarità – I dipendenti possono sentirsi più a loro agio o produttivi sul posto di lavoro grazie all'uso di strumenti shadow IT. Possono ritenere che queste tecnologie li aiutino a portare a termine i loro compiti in modo più rapido e agevole.
  • Mancanza di consapevolezza dei rischi e della sicurezza – Alcuni dipendenti sono sinceramente ingenui e pensano che questi strumenti non autorizzati siano sicuri. Potrebbero non essere consapevoli del fatto che gli strumenti shadow IT possono contenere malware.
  • Processi di approvazione lenti – I dipendenti potrebbero stancarsi dei lunghi periodi di attesa per ottenere l'approvazione di software o strumenti approvati per le nuove tecnologie. Ricorrono quindi a pratiche di lavoro shadow IT all'insaputa degli altri membri dell'organizzazione.
  • Vincoli di budget – Alcuni strumenti shadow IT sono considerati alternative più convenienti, senza limiti o restrizioni d'uso, rispetto al software approvato all'interno dell'organizzazione. Ciò motiva i dipendenti a utilizzarli.

Impatto dello shadow IT

Lo shadow IT comporta rischi e pericoli reali che agiscono silenziosamente in background senza alcuna prova visibile.

Ecco alcuni degli impatti delle minacce dello shadow IT:

  • Lo Shadow IT può aggirare MFA e i controlli di accesso basati sui ruoli. I suoi sistemi possono comportare un aumento dei rischi di produzione come furto di dati, perdite, danni alle app e malware.
  • Gli utenti con accesso non autorizzato possono apportare modifiche critiche ai dati sensibili e ai database dei clienti. Potrebbero persino modificare le cartelle cliniche, manomettere le informazioni e influire sulle operazioni quotidiane dell'azienda.
  • Le attività di Shadow IT possono iniettare codice dannoso in qualsiasi parte del processo di produzione, sia involontariamente che intenzionalmente. Possono rendere le organizzazioni più vulnerabili agli attacchi zero-day e ransomware. Possono anche violare i firewall e aggirare i sistemi di rilevamento delle intrusioni e antivirus.

Come rilevare lo Shadow IT?

È possibile rilevare lo Shadow IT attraverso un monitoraggio e una verifica regolari della rete. Ecco alcuni modi:

  • È possibile condurre regolari audit di rete per identificare applicazioni e servizi non autorizzati in esecuzione sulla rete
  • È necessario implementare il monitoraggio del traffico di rete per individuare trasferimenti di dati insoliti o connessioni sospette
  • Se si dispone di note spese e dati di approvvigionamento, è possibile analizzarli per individuare acquisti di software non autorizzati
  • È necessario connettersi con i propri provider SSO e ID come Google Workspace o Azure Active Directory per tracciare gli utenti delle app
  • Esistono agenti di rilevamento ed estensioni del browser che è possibile implementare per individuare le app installate sugli endpoint
  • È necessario formare i dipendenti affinché segnalino le nuove applicazioni che utilizzano e che non sono state approvate
  • Se non si effettuano valutazioni periodiche della sicurezza, lo shadow IT continuerà a crescere senza essere rilevato
  • È possibile monitorare i modelli di utilizzo del cloud per identificare i servizi cloud non autorizzati a cui si accede
  • Prima di implementare qualsiasi soluzione, è necessario effettuare un inventario completo di tutte le applicazioni approvate
  • Sarà necessario utilizzare una combinazione di questi metodi per ottenere una visibilità completa

Come prevenire e controllare lo shadow IT?

Ecco come è possibile prevenire e controllare i rischi dello shadow IT:

  • Utilizzare strumenti di rilevamento dello shadow IT – Questi strumenti possono aiutare la vostra azienda a individuare e identificare le tecnologie shadow IT. Sono in grado di fornire una panoramica completa di tutti i rischi legati allo shadow IT e offrono funzionalità di monitoraggio in tempo reale. Il reparto IT otterrà la visibilità necessaria e sarà in grado di reagire prontamente ai problemi legati allo shadow IT.
  • Prova i Cloud Security Access Broker (CASB) – I Cloud Security Access Broker (CASBs) possono proteggere le reti della tua azienda e la sicurezza cloud. Possono essere utilizzati per implementare i migliori protocolli di crittografia, controlli di accesso e misure di prevenzione della perdita di dati (DLP). È inoltre possibile prevenire la fuga di dati e garantire che i dati sensibili rimangano protetti, oltre ad applicare le migliori pratiche di sicurezza SaaS utilizzando tali strumenti.
  • Incorporare la formazione sulla consapevolezza dello Shadow IT e sulla gestione dei rischi – Va da sé che la formazione è necessaria per tutti i dipendenti, indipendentemente dalla loro comprensione delle pratiche di shadow IT. Quando tutti sono sulla stessa lunghezza d'onda e sono consapevoli delle ultime innovazioni in materia di shadow IT, è meno probabile che vengano ingannati o colti di sorpresa. È importante condurre sessioni di formazione regolari e verificare di tanto in tanto le conoscenze dei dipendenti. Dovrebbero anche sapere quali alternative di shadow IT utilizzare nel caso in cui preferiscano altre soluzioni.

Vantaggi dello shadow IT

Gli strumenti di shadow IT offrono indubbi vantaggi agli utenti:

  • I dipendenti possono portare a termine i propri compiti in modo più efficace quando hanno accesso diretto al software necessario.
  • Le applicazioni shadow IT possono rendere la condivisione dei file molto più semplice e la messaggistica più comoda. Consentono una collaborazione più rapida tra i dipendenti e una comunicazione molto più efficiente tra i reparti.
  • Le tecnologie Shadow IT sono molto flessibili e facili da implementare. È possibile distribuirle rapidamente e garantiscono integrazioni perfette. Se la vostra organizzazione sta affrontando problemi di inefficienza o colli di bottiglia, possono anche risolverli.
  • Gli strumenti Shadow IT sono anche molto personalizzabili, il che significa che è possibile aggiungere o rimuovere funzionalità a proprio piacimento. Non sono soggetti a restrizioni come i software disponibili in commercio né hanno regole integrate come i servizi cloud. Alcune tecnologie Shadow IT sono completamente open source e gratuite, il che significa che consentono anche di risparmiare denaro.

Rischi e sfide dello Shadow IT

Ecco alcuni dei rischi e delle sfide dello Shadow IT:

Mancanza di visibilità

I reparti IT non sanno cosa succede dietro le quinte quando i dipendenti utilizzano strumenti non autorizzati e app basate sul cloud. Perdono il controllo e diventa difficile gestire la sicurezza. L'azienda perde la possibilità di monitorare gli ultimi aggiornamenti di sicurezza e non può applicare misure di sicurezza rigorose in modo efficace.

Scarsa sicurezza dei dati

Gli strumenti di shadow IT possono causare fughe di dati sensibili o condivisione di file non sicura. Poiché questi strumenti sono creati da fornitori non approvati, non si può sapere cosa può accadere ai dati che vengono memorizzati e trasmessi da essi. Ciò può potenzialmente causare gravi danni alla reputazione e alle finanze di un'organizzazione.

Crea lacune di conformità

Lo Shadow IT può creare nuove lacune di conformità e violare le normative esistenti in materia di protezione dei dati come CIS Benchmark, NIST, HIPAA o GDPR. Gli strumenti non autorizzati non sempre seguono gli standard del settore e possono rendere un'azienda più soggetta a multe, cause legali e altre sanzioni.

Inefficienze e flussi di lavoro frammentati

Le app di Shadow IT non si integrano facilmente nei sistemi IT. Possono causare flussi di lavoro frammentati, incongruenze nei dati e interruzioni operative. In definitiva, tutto ciò può influire sulla produttività dei dipendenti e, a lungo termine, sull'organizzazione nel suo complesso.

Best practice per la gestione dello Shadow IT

Ecco alcune delle best practice che è possibile implementare per gestire lo Shadow IT nella propria organizzazione:

  • Esaminate e sottoponete a verifica tutti gli account utente presenti all'interno delle organizzazioni, esaminate anche l'utilizzo delle applicazioni SaaS e verificate che siano in linea con i requisiti di utilizzo e tolleranza al rischio della vostra organizzazione.
  • Dovreste anche esaminare i controlli di accesso e rimanere in linea con gli obblighi di conformità legale e normativa. Esaminare tutte le transazioni associate ad applicazioni non autorizzate, effettuare un'analisi comparativa dei dati delle transazioni e prendere nota dei volumi di download e upload tra di esse.
  • Controllare i parametri di sicurezza e verificare se l'organizzazione utilizza gli standard di crittografia più recenti. Inoltre, se vi sono segni di sistemi non aggiornati o mancanza di aggiornamenti, intervenire immediatamente. Si consiglia inoltre di creare politiche dinamiche e renderle granulari in modo da poter controllare efficacemente il trasferimento di dati tra l'app e l'utente.
  • Adottare il principio dell'accesso con privilegi minimi e costruire un'architettura di sicurezza di rete zero-trust. Rivedere periodicamente le politiche e raccogliere il feedback degli utenti finali per verificarne l'efficacia.
  • Inoltre, create meccanismi di eccezione che possano rivelarsi utili quando la vostra organizzazione non desidera applicare politiche o controlli specifici. Ciò garantirà flessibilità e non renderà obbligatorio l'uso di tecnologie e strumenti di shadow IT.

Esempi di shadow IT

Ecco alcuni esempi di shadow IT in azione:

  • App di terze parti come Discord, Telegram, Signal e Slack possono essere utilizzate per crittografare le comunicazioni e diffondere la condivisione non autorizzata di file. Le organizzazioni non possono tracciare i flussi di informazioni attraverso questi servizi né monitorarli.
  • Il download di software specializzati senza la previa approvazione dell'organizzazione può introdurre rischi di shadow IT all'interno della rete aziendale. I dipendenti possono anche utilizzare strumenti di progettazione shadow IT, CRM, account e altre app SaaS che possono creare problemi di conformità e mancanza di controllo.
  • I dipendenti possono avvalersi dei controlli delle politiche IT ombra e personalizzare le politiche di sicurezza esistenti di un'organizzazione con essi, all'insaputa dei membri del consiglio di amministrazione e delle parti interessate. Quando si tratta di politiche BYOD (Bring Your Own Device), possono scegliere di ignorarle e lavorare utilizzando i propri laptop, telefoni e tablet personali, che non sono gestiti dal reparto IT e introducono diversi rischi di sicurezza informatica legati allo shadow IT.

Cybersicurezza alimentata dall'intelligenza artificiale

Elevate la vostra posizione di sicurezza con il rilevamento in tempo reale, la risposta automatica e la visibilità totale dell'intero ambiente digitale.

Richiedi una demo

Conclusione

Ecco come prevenire lo shadow IT e impedire l'uso di questi strumenti e tecnologie nella vostra organizzazione. Non stiamo dicendo che tutto lo shadow IT sia negativo, ma nella maggior parte dei casi può rivelarsi dannoso. Tutto dipende dalle esigenze della vostra organizzazione, dallo stato mentale dei vostri dipendenti e dalle prestazioni di ciascuno.

Una comunicazione trasparente è la chiave per un successo duraturo, motivo per cui dovreste incoraggiare un feedback aperto. Potete anche creare canali di segnalazione anonimi per i dipendenti che desiderano esprimere le loro preoccupazioni ma hanno troppa paura. Questo darà loro la possibilità di esprimere ciò che pensano senza dover ricorrere a pratiche di shadow IT.

FAQs

Lo Shadow IT è qualsiasi software, hardware o servizio digitale utilizzato all'insaputa o senza l'approvazione del reparto IT. Si verifica quando i dipendenti creano account cloud, scaricano app o utilizzano dispositivi personali per svolgere attività lavorative. In questo modo aggirano i canali ufficiali per svolgere il proprio lavoro più rapidamente. Quando ciò accade, la vostra organizzazione perde visibilità e controllo sulla destinazione dei dati aziendali e sulle modalità di accesso agli stessi. Non è possibile proteggere ciò di cui non si conosce l'esistenza.

Una politica sullo shadow IT stabilisce regole chiare sull'uso di tecnologie non autorizzate nella vostra organizzazione. Descrive quali strumenti possono utilizzare i dipendenti, come richiedere nuovi software e cosa succede se non seguono le regole. È possibile adottare un approccio graduale basato sui livelli di rischio: gli strumenti a basso rischio vengono approvati rapidamente, quelli a medio rischio richiedono correzioni e quelli ad alto rischio vengono immediatamente vietati. Se si crea una buona politica, è opportuno includere un periodo di tolleranza durante il quale i dipendenti possono dichiarare lo shadow IT esistente senza incorrere in sanzioni.

Lo shadow IT crea gravi lacune di sicurezza nella tua rete. Quando i dipendenti utilizzano strumenti non approvati, espongono i dati sensibili a potenziali violazioni. Non è possibile applicare patch o monitorare ciò che non si sa esistere. Se si utilizza lo Shadow IT, si dovranno sostenere costi più elevati a causa delle violazioni dei dati, pari in media a circa 4,24 milioni di dollari. Ciò comporterà anche violazioni della conformità a normative quali GDPR, HIPAA e PCI-DSS, con conseguenti sanzioni e multe severe.

I dipendenti ricorrono allo shadow IT quando gli strumenti ufficiali non soddisfano le loro esigenze. Cercheranno opzioni più veloci e semplici quando il software approvato risulta macchinoso o obsoleto. Se i processi di approvazione IT sono rigidi, i lavoratori li aggirano per evitare ritardi. Quando il personale non riesce a svolgere il proprio lavoro in modo efficiente con gli strumenti autorizzati, cerca delle alternative. Questo comportamento aumenta quando il lavoro da remoto richiede soluzioni rapide o quando i dipendenti hanno bisogno di funzionalità specifiche che non sono disponibili nelle opzioni approvate dall'azienda.

Lo Shadow IT si manifesta in molte forme all'interno della vostra organizzazione. I dipendenti utilizzano account Google Drive o Dropbox personali per condividere file di lavoro. Configurano carichi di lavoro cloud non autorizzati utilizzando credenziali personali. Controllando i loro dispositivi, potresti trovare app di messaggistica non approvate come WhatsApp o account Zoom non autorizzati. Acquistano abbonamenti SaaS che non raggiungono le soglie di acquisto IT. È inoltre possibile trovare dipendenti che utilizzano strumenti di produttività come Trello o Asana senza l'approvazione dell'IT.

È possibile individuare lo shadow IT utilizzando strumenti di rilevamento delle risorse che eseguono regolarmente la scansione della rete. Questi strumenti aiutano a individuare applicazioni e servizi cloud non autorizzati. Monitorando il traffico di rete, è possibile individuare modelli insoliti che segnalano l'utilizzo dello shadow IT. È opportuno implementare strumenti automatizzati di rilevamento del cloud che individuano quando i dipendenti accedono a servizi non autorizzati. Regolari controlli dell'inventario aiutano a identificare i dispositivi personali che accedono ai dati aziendali. È necessario mantenere un monitoraggio continuo delle applicazioni SaaS ad alto rischio per tracciare i modelli di accesso.

È necessario creare processi di approvazione chiari e semplici per le nuove tecnologie. Se si implementa un sistema di approvazione rapida per gli strumenti a basso rischio, i dipendenti non aggireranno l'IT. Discuti con il tuo personale i motivi per cui utilizzano strumenti non autorizzati e colma tali lacune. Dovresti implementare alternative sicure che soddisfino le loro esigenze: se utilizzano un'app di messaggistica non approvata, fornisci loro Microsoft Teams o Slack. Assicurati di istruire i dipendenti sui rischi per la sicurezza senza punirli per aver segnalato lo Shadow IT.

Il reparto IT è responsabile della gestione dello shadow IT, ma non può farlo da solo. Avrà bisogno del supporto dei responsabili di reparto che devono applicare le politiche. Se ti occupi di sicurezza, dovrai monitorare le reti e implementare strumenti di rilevamento. La dirigenza dovrebbe allocare risorse e supportare la creazione di politiche. È necessario che i dipendenti si assumano la responsabilità di segnalare gli strumenti non autorizzati che stanno utilizzando. Quando tutti lavorano insieme, si crea una cultura in cui lo shadow IT diventa visibile invece che nascosto.

Lo shadow IT mette a serio rischio la conformità. Quando i dati transitano attraverso canali non autorizzati, non si soddisfano i requisiti di normative come GDPR, HIPAA e SOX. Se si dispone di informazioni sui clienti in sistemi shadow, non è possibile applicare controlli di accesso o crittografia adeguati. Il tuo framework di governance dei dati viene compromesso quando i dati shadow esistono al di fuori della gestione centrale. Dovresti preoccuparti soprattutto delle copie di dati dimenticate negli ambienti di sviluppo o nelle applicazioni dismesse che contengono informazioni sensibili.

Scopri di più su Sicurezza informatica

Che cos'è una CDN (Content Delivery Network)?Sicurezza informatica

Che cos'è una CDN (Content Delivery Network)?

Le CDN vengono utilizzate per la condivisione globale dei contenuti e la sicurezza integrata. Questa guida illustra il funzionamento delle CDN, i diversi casi d'uso, i componenti e altro ancora.

Per saperne di più
Che cos'è la formazione sulla sicurezza informatica?Sicurezza informatica

Che cos'è la formazione sulla sicurezza informatica?

Il primo passo per proteggere la tua organizzazione è incorporare le migliori pratiche di sicurezza informatica. Si inizia con la formazione sulla sicurezza informatica, ed ecco come iniziare.

Per saperne di più
Che cos'è la gestione del rischio della catena di approvvigionamento (SCRM)?Sicurezza informatica

Che cos'è la gestione del rischio della catena di approvvigionamento (SCRM)?

Proteggi la tua organizzazione dalle minacce di terze parti con la gestione dei rischi della catena di approvvigionamento. Esplora i componenti chiave, le strategie e scopri come proteggere il tuo ecosistema.

Per saperne di più
Che cos'è il modello di maturità della gestione delle vulnerabilità?Sicurezza informatica

Che cos'è il modello di maturità della gestione delle vulnerabilità?

Questa guida approfondita spiega il modello di maturità della gestione delle vulnerabilità, coprendo le sue fasi, i vantaggi e le sfide. Scopri come misurare, migliorare e ottimizzare il tuo programma di vulnerabilità.

Per saperne di più
Provate la piattaforma di cybersecurity più avanzata

Provate la piattaforma di cybersecurity più avanzata

Scoprite come la piattaforma di cybersecurity più intelligente e autonoma al mondo può proteggere la vostra organizzazione oggi e in futuro.

Richiedi una demo