Shadow IT: perché e come può diventare un problema
Al giorno d’oggi c’è sempre almeno un dipendente che conosce un servizio gratuito dieci volte migliore del software scelto dall’azienda. Se quella persona inizia a utilizzare l’altra opzione e a raccomandarla attivamente ai colleghi, sarete coinvolti in un fenomeno noto come Shadow IT. A volte, in realtà, tale situazione aiuta l’azienda a trovare una soluzione IT che si adatti meglio alle proprie esigenze, ma il più delle volte provoca solo dei problemi, come dimostra la riflessione di Kaspersky su questo fenomeno.
Il problema dello Shadow IT non è necessariamente che il tool possa essere un nuovo servizio di messaggistica istantanea gratuito creato su due piedi. Il problema è che né gli esperti in sicurezza (se la vostra azienda ne ha), né il team IT sanno cosa sta succedendo. Questo significa che l’app non autorizzata viene lasciata fuori dai modelli di minacce all’infrastruttura, dai diagrammi di flusso dei dati e dalle decisioni base di pianificazione. E tutto ciò, di conseguenza, può causare problemi.
Probabilità di fughe di dati dovute allo Shadow IT
Qualsiasi applicazione, sia su cloud o in locale, può offrire diverse e minuziose impostazioni di controllo della privacy. E di certo non tutti i dipendenti sono equamente esperti in software. Abbondano i casi in cui un dipendente lascia dei file non protetti su Documenti Google che contengono dati personali, giusto per fare un esempio.
Dall’altro lato, i servizi in uso possono contenere delle vulnerabilità attraverso le quali degli intrusi potrebbero accedere ai vostri dati. Gli sviluppatori dei programmi possono sistemare tempestivamente le falle, ma chi si assicurerà che i dipendenti installino tutte le patch necessarie per le applicazioni? Senza il coinvolgimento del team IT, non si può essere nemmeno sicuri che ricevano un promemoria per l’aggiornamento.
Inoltre, è raro che una persona che non abbia la responsabilità di gestire i diritti di accesso ad applicazioni e servizi si prenda questo onere per programmi non autorizzati revocando, per esempio, gli accessi dopo un licenziamento, se tale funzionalità è disponibile. In breve, nessuno è responsabile della sicurezza dei dati trasmessi o trattati con servizi non autorizzati da IT o dal team esperto in sicurezza.
Violazione della compliance normativa
Al giorno d’oggi, i Paesi di tutto il mondo hanno le proprie leggi per la protezione dei dati che specificano come le aziende devono gestire i dati personali. A ciò si aggiungono i numerosi standard del settore in merito. Le aziende devono sottoporsi a controlli periodici per soddisfare i requisiti per la privacy dei dati imposti dei vari organismi regolatori. Se durante un audit si scoprisse improvvisamente che i dati personali di clienti e dipendenti sono stati inviati utilizzando servizi inaffidabili, e il team IT non ne fosse al corrente, l’azienda potrebbe incorrere in una multa salata. In altre parole, un’azienda non ha bisogno di una vera e propria fuga di dati per finire nei guai.
Soldi buttati
L’utilizzo di un tool alternativo al posto di quello consigliato può sembrare una cosa da nulla ma per l’azienda lo Shadow IT rappresenta, come minimo, uno spreco di denaro. Dopotutto, se il team IT acquista le licenze per ogni persona inclusa nel workflow ma non tutti se ne avvalgono, a conti fatti parliamo di soldi gettati al vento.
Gestire il problema dello Shadow IT
Lo Shadow IT deve essere gestito, non combattuto. Se riuscite a tenerlo sotto controllo, non solo potete migliorare la sicurezza dei dati nella vostra azienda, ma potete anche trovare strumenti veramente utili e conosciuti che possano essere impiegati da tutta l’azienda. In questo momento, nel bel mezzo della pandemia da COVID-19 e dello smart working, i rischi informatici associati all’utilizzo di applicazioni e servizi non supportati sono in aumento. I dipendenti sono costretti ad adattarsi a questa nuova condizione e di solito cercano nuovi strumenti che ritengono più adatti al proprio telelavoro.