Che cos'è lo Shadow IT? Esempi, rischi e soluzioni

Per Shadow IT si intende qualsiasi applicazione, hardware o software non autorizzato, implementato e gestito da dipartimenti diversi da quello IT. Con l'ascesa delle soluzioni SaaS basate sul cloud, l'utilizzo dell'IT ombra è esploso - e potrebbe essere fino a dieci volte superiore all'utilizzo dell'IT conosciuto.

Lo Shadow IT spesso sembra innocuo. Ma può lasciare l'azienda esposta a rischi significativi. Dalla non conformità normativa all'esfiltrazione dei dati, le organizzazioni hanno buoni motivi per voler prevenire lo shadow IT nei loro luoghi di lavoro digitali.

Perché le persone utilizzano lo shadow IT?

Per affrontare lo shadow IT, le organizzazioni devono prima capire cosa spinge i dipendenti a utilizzarlo. La maggior parte delle persone vuole svolgere il proprio lavoro nel modo più efficiente ed efficace possibile. Ciò significa utilizzare strumenti che aiutano a velocizzare i processi ripetitivi, a ridurre la burocrazia e a semplificare il lavoro. Se l'organizzazione non fornisce gli strumenti giusti per il lavoro, i dipendenti andranno a cercarli da soli.

Qualsiasi programma può diventare parte di una rete IT ombra se non è approvato e regolamentato dall'organizzazione. Anche - forse soprattutto - gli strumenti costruiti per l'uso aziendale. E a volte le decisioni sul software non sono altro che una questione di preferenze personali.

Se l'azienda utilizza Microsoft Teams per comunicare, ma il team di sviluppo decide unilateralmente di passare a Slack, allora Slack diventa parte dell'IT ombra dell'organizzazione. Se il Marketing usa Pages invece di O365, o le Vendite usano Dropbox invece della piattaforma di archiviazione file approvata dall'azienda, stanno introducendo lo shadow IT.

Altri esempi di shadow IT

Greg collega la sua e-mail di lavoro all'account Outlook sul suo telefono personale per aggirare i protocolli di sicurezza che gli impediscono di accedere ai messaggi in viaggio. Condivide questo consiglio con i suoi colleghi, che lo seguono tutti.

Sally preferisce gestire la sua agenda con Asana invece che con Basecamp. Invita i membri del suo team a unirsi al suo progetto e migrano dagli strumenti approvati dall'azienda.

Jose deve dividere un PDF per rimuovere le informazioni sensibili prima di una riunione importante. Carica il file su un sito web gratuito per modificare il documento. Il sito funziona così bene che scarica lo strumento freemium per un uso futuro e incoraggia il resto del suo reparto a fare lo stesso.

Il software Shadow IT entra tipicamente nel mondo del lavoro per soddisfare un'esigenza non soddisfatta. Quando cerca dove esiste nella sua azienda, consideri le attività comuni che i dipendenti svolgono e i potenziali ostacoli che rendono più difficile il loro lavoro.

• Dispongono di strumenti per creare e modificare i tipi di file più comuni?
• Riesce a comunicare efficacemente con i contatti interni ed esterni?
• È facile accedere, condividere e collaborare ai documenti?
• Quanti passaggi di sicurezza sono necessari per accedere ai programmi di tutti i giorni?

Le applicazioni basate sul cloud costituiscono la maggior parte dell'IT ombra nella maggior parte delle organizzazioni. Ogni reparto dell'azienda ha i propri ruoli e requisiti, e tutti hanno a disposizione soluzioni software dedicate. Dal Marketing alle Vendite alle Risorse Umane, è importante parlare con gli stakeholder dell'intera organizzazione per capire tutte le diverse soluzioni IT attualmente in uso.

Rischi di sicurezza dello Shadow IT 

Se lo scopo dell'IT ombra è quello di aiutare i dipendenti a lavorare meglio, qual è il problema? Soprattutto se i lavoratori utilizzano programmi progettati per l'uso aziendale. Si è tentati di liquidare l'IT ombra come una parte inevitabile del lavoro, e di considerare i suoi rischi eccessivamente gonfiati. 

Ma senza la supervisione dei responsabili legali, della compliance e dell'IT, le risorse IT ombra possono rendere l'organizzazione vulnerabile all'esfiltrazione dei dati, alla non conformità normativa e altro ancora.

Lacune nella sicurezza e infiltrazione dei dati

Forse il rischio maggiore rappresentato dall'IT ombra riguarda i dati della sua azienda. Quando i dipendenti utilizzano programmi non autorizzati per archiviare e condividere informazioni proprietarie, l'organizzazione perde il controllo su dove finiscono quei dati - o su chi finisce per vederli. Si tratta di un grosso problema, se l'83% dei professionisti IT riferisce che i loro colleghi memorizzano informazioni aziendali su piattaforme non autorizzate (G2).

Caso di studio sullo Shadow IT: L'aumento del lavoro a distanza dall'inizio della pandemia è andato di pari passo con un aumento delle fughe di dati. Gli incidenti sono in aumento del 63%, con l'esposizione delle risorse IT ombra che aumenterà del 40% solo nel 2021. Più della metà di tutti gli attacchi informatici provengono oggi dalla shadow IT.

Non conformità normativa

Un altro aspetto molto preoccupante per le aziende moderne è che l'IT ombra viene spesso utilizzato, intenzionalmente o meno, per aggirare le misure di conformità legale e normativa. I membri del personale che conservano o condividono PII/PCI/PHI attraverso canali privati non supereranno alcun audit.

Le aziende che devono attenersi a regole e normative come HIPAA, FINRA o CMMC 2.0 sono particolarmente vulnerabili, ma qualsiasi organizzazione può trovarsi in difficoltà a causa dello shadow IT. Se non ha la piena supervisione del luogo in cui i dipendenti creano o archiviano i dati, non può esercitare la conformità alla legislazione come il GDPR o il CCPA.

Caso di studio sullo Shadow IT: Il settore bancario è stato colpito da una serie di indagini di ampia portata - e da multe da record - dopo che la SEC e altre autorità di regolamentazione hanno iniziato a indagare sull'uso delle app di messaggistica per scopi aziendali. La SEC ha da tempo chiarito che le regole di conservazione del Securities and Exchange Act si applicano a qualsiasi forma di comunicazione moderna, comprese le app di collaborazione e di messaggistica. Le istituzioni che non riescono a comprendere tutti i modi in cui i loro dipendenti comunicano, si espongono a rischi enormi.

Inefficienze del sistema

Uno degli obiettivi di uno stack di soluzioni IT è quello di integrare i programmi in modo che i dipendenti possano lavorare in modo efficiente. Ma se un team passa a un'applicazione diversa, questo può creare problemi quando si lavora con gli altri. Le variazioni nell'accesso degli utenti e nei permessi di modifica tra i vari programmi possono creare barriere inutili che impediscono ai diversi reparti di collaborare in modo efficace.

Un impatto di più ampia portata dello shadow IT è quello di creare inefficienze nel più ampio stack tecnologico. Senza una supervisione completa, i reparti IT non possono valutare accuratamente la capacità e non possono pianificare le prestazioni e la sicurezza. Qualsiasi analisi della pila è incompleta e quindi imprecisa. Anche i rapporti sulle funzioni aziendali potrebbero essere incompleti. Questa perdita di controllo può portare a prendere decisioni importanti sulla base di dati errati.

Spesa sprecata

Il prezzo del software è in aumento. Con un numero sempre maggiore di aziende vincolate a contratti SaaS al posto delle licenze di acquisto una tantum, i dipartimenti IT devono gestire i costi con maggiore attenzione che mai. Eppure, oltre un terzo di tutta la spesa per il software viene sprecata, con un costo per le aziende statunitensi di oltre 30 miliardi di dollari all'anno.

Lo Shadow IT ha un impatto sulla spesa in diversi modi. In primo luogo, la maggior parte dei prodotti inizia a infiltrarsi nell'organizzazione attraverso gli account personali gratuiti. Ma per attivare un popolare programma di shadow IT per uso aziendale, in genere sono necessarie licenze aziendali che comportano spese considerevoli.

Il software esistente può anche rimanere inutilizzato se i dipendenti preferiscono le soluzioni IT ombra, contribuendo ai 30 miliardi di dollari sprecati ogni anno. E i programmi IT ombra non sempre si integrano bene con l'infrastruttura IT esistente dell'azienda. Questo crea costi aggiuntivi per la sicurezza e la compatibilità.

Vantaggi dello Shadow IT

Nonostante i suoi rischi, lo shadow IT può offrire diversi vantaggi se affrontato con consapevolezza e con una governance adeguata.

1. Aumenta la produttività e la flessibilità

I dipendenti spesso utilizzano applicazioni non autorizzate per semplificare i compiti, soprattutto quando gli strumenti ufficiali sono troppo rigidi o limitati. Adottando piattaforme più veloci o più intuitive come Google Drive, i team possono collaborare in modo più efficiente e mantenere lo slancio nei loro flussi di lavoro.

2. Incoraggia l'innovazione e l'agilità

Lo Shadow IT consente ai team di testare e adottare nuovi servizi cloud senza attendere i cicli di approvazione tradizionali. Questa esposizione agli strumenti emergenti può aiutare le organizzazioni a rimanere competitive e a scoprire modi migliori per risolvere i problemi.

3. Superfici con esigenze non soddisfatte

L'aumento delle applicazioni non autorizzate spesso evidenzia le lacune dell'infrastruttura IT aziendale esistente. Un team di sicurezza che monitora le tendenze dello shadow IT può capire meglio di cosa hanno bisogno gli utenti e aggiornare di conseguenza lo stack tecnologico approvato.

Perché lo Shadow IT è un problema e può davvero causare danni?

I suoi dipendenti vogliono svolgere il loro lavoro in modo efficace. Gli strumenti di collaborazione possono accelerare la comunicazione e rompere i silos interni che altrimenti rallentano il lavoro. Per questo motivo, l'implementazione dell'IT ombra è raramente dannosa. Tuttavia, può ancora causare gravi danni all'azienda e ai suoi dipendenti, aprendo la porta alla perdita di dati e alla non conformità normativa.

• Le multe HIPAA nel 2020-21 hanno raggiunto i massimi storici, e ad oggi le multe HIPAA sono costate ai professionisti non conformi più di 133 milioni di dollari.
• La non conformità PCI può comportare da $10k a $100k USD al mese, a seconda delle circostanze.
• La non conformità al GDPR può arrivare fino a 4% del fatturato globale di un'azienda o a 20 milioni di euro, a seconda di quale sia il valore maggiore.

Queste norme esistono per proteggere i consumatori, e i dipendenti possono inavvertitamente danneggiare loro o i loro colleghi utilizzando un software non approvato.

Come controllare l'IT ombra sul posto di lavoro

Anticipare l'utilizzo dello shadow IT è fondamentale per i leader IT che vogliono proteggere i dati aziendali e massimizzare i loro budget. Il passo più importante è quello di verificare lo stack tecnologico esistente per capire dove esiste già l'IT ombra all'interno dell'infrastruttura aziendale. Parlare con i diversi reparti dell'azienda è fondamentale, poiché ogni settore utilizza soluzioni software uniche.

Consideri come formulare le domande sull'uso dell'IT ombra per scoprire un quadro completo. Quattro dipendenti su cinque ammettono di utilizzare applicazioni informatiche non autorizzate per scopi lavorativi (G2). Alcuni potrebbero anche non considerare gli strumenti che utilizzano come shadow IT o non comprendere i rischi che hanno introdotto. Si concentri prima sulla scoperta e poi sulla rieducazione per controllare efficacemente l'IT ombra.

Come Mimecast aiuta le organizzazioni a gestire lo shadow IT

Mettere ordine nel caos degli ambienti di lavoro remoti è l'obiettivo di Mimecast Aware. La nostra piattaforma offre sicurezza e approfondimenti completi per le soluzioni di collaborazione come Slack, Microsoft Teams, Google Workspace e Yammer e Workplace di Meta.

Protegga la sua organizzazione con flussi di lavoro infarciti di AI/ML per monitorare la prevenzione della perdita di dati e la governance, il rischio e la conformità. Recinta più soluzioni di collaborazione con uno strumento che funziona in tutto il suo ecosistema. Semplifichi la gestione del suo stack IT con notifiche automatiche per attività non autorizzate. E gestire tutto da un'unica lastra di vetro.

Per saperne di più su altri rischi che si presentano sul posto di lavoro digitale, scarichi il nostro whitepaper gratuito. Scopra le principali minacce alla sicurezza dei dati che colpiscono le aziende moderne e come adottare un approccio proattivo per proteggere i dati aziendali.