Che cos'è lo Shadow IT?
Lo Shadow IT è qualsiasi tecnologia informatica che un dipendente utilizza senza l'approvazione dell'IT, compresi software, applicazioni, servizi o dispositivi.
Key Points
- Questo blog è stato originariamente pubblicato sul sito web di Code42, ma con l'acquisizione di Code42 da parte di Mimecast, ci assicuriamo che sia disponibile anche per i visitatori del sito web di Mimecast.
- Lo Shadow IT, pur essendo rischioso, può favorire la produttività se gestito con strumenti e formazione.
- Soluzioni come Code42 Incydr forniscono visibilità e controllo per mitigare efficacemente le minacce dell'IT ombra.
Lo Shadow IT è qualsiasi tecnologia informatica che un dipendente utilizza senza l'approvazione dell'IT, compresi software, applicazioni, servizi e dispositivi. Gli strumenti non autorizzati possono mettere l'azienda a rischio di violazioni della conformità o di violazioni dei dati.
Purtroppo, la rapida adozione dei servizi cloud ha reso più diffuso lo shadow IT, esponendo le organizzazioni a rischi di sicurezza.
Esempi di Shadow IT
Lo Shadow IT consiste in applicazioni e hardware non approvati, con il software che in genere è di marchi noti.
Alcuni esempi di applicazioni shadow IT e di servizi basati sul cloud sono:
- Slack, Trello e altri strumenti di produttività
- Gmail, Google Drive e altri elementi della Google Suite
- Dropbox, Box e altri strumenti di collaborazione peer-to-peer
- Apple AirDrop e altri strumenti di condivisione basati su Bluetooth
- WhatsApp e altre app di messaggistica
- Strumenti di Microsoft Office 365
- Strumenti di IA generativa
Un altro modo in cui l'IT ombra si insinua in un'organizzazione è attraverso i dispositivi. Alcuni esempi di hardware IT ombra sono:
- Computer portatili personali
- Compresse
- Smartphone
- Unità flash USB
- Unità disco rigido (HDD)
- PC
Perché si verifica lo Shadow IT?
Lo Shadow IT si verifica nelle aziende perché i dipendenti possono avere la necessità di lavorare in modo diverso da quello che gli strumenti attuali dell'organizzazione consentono loro di fare. Infatti, uno studio recente ha rilevato che il 32% dei lavoratori utilizza strumenti di comunicazione e collaborazione non approvati.
Ad esempio, un'organizzazione può bloccare azioni specifiche sulla propria applicazione di posta elettronica, in modo che un dipendente utilizzi il proprio Gmail personale per completare il lavoro. Un altro esempio potrebbe essere quello di un fornitore terzo che utilizza un particolare software di gestione dei progetti, per cui un dipendente vi accede sul proprio dispositivo per comunicare con loro.
Anche se l'accesso ad applicazioni e software non approvati non è tipicamente dannoso, lo shadow IT introduce diversi rischi.
La minaccia emergente del Mirror IT
Mentre lo shadow IT si concentra sulla tecnologia non approvata, una minaccia chiamata mirror IT sta emergendo nel software approvato dalla sua azienda.
Mirror IT è un'applicazione sanzionata in cui i dipendenti hanno account personali e professionali e utilizzano quello personale per condividere i dati in modo insicuro. Esempi di questa tecnologia sono Google Drive, Gmail, Slack e OneDrive.
Il modo migliore per rilevare l'IT speculare è una soluzione di protezione dei dati completa, che abbia una visibilità completa su tutti i movimenti dei dati e che dia automaticamente priorità ai rischi per la sicurezza in base al contesto del file e dell'utente, non solo alla destinazione in cui viene spostato.
Quali sono i rischi dello Shadow IT?
I rischi principali dello shadow IT sono quattro:
- Lacune nella sicurezza: La condivisione di file e gli strumenti di collaborazione non autorizzati possono creare situazioni in cui i dipendenti spostano l'IP intenzionalmente o non intenzionalmente, senza che la sicurezza se ne accorga.
- Problemi operativi o di sicurezza legati alle app vietate: la tecnologia vietata potrebbe non essere conforme alle leggi sulla privacy, alle normative o agli standard di protezione dei dati dell'azienda.
- Operazioni inefficienti: Se diversi dipendenti acquistano inconsapevolmente soluzioni duplicate o simili, si può creare una "dispersione di app", che fa perdere tempo e denaro all'azienda.
- Perdita di accesso ai dati: Se un dipendente archivia i file aziendali su un disco personale, l'azienda perde l'accesso a tali risorse.
Sebbene lo shadow IT possa rappresentare un grande rischio per la sicurezza, se un'azienda lo gestisce in modo appropriato, può favorire l'efficienza e le prestazioni dei dipendenti.
Quali sono i vantaggi dello Shadow IT?
Il principale vantaggio dello shadow IT è l'aumento della produttività e della collaborazione. I leader aziendali potrebbero anche considerare l'ingegnosità dei dipendenti come fondamentale per promuovere una cultura di velocità, agilità, flessibilità e innovazione.
I team di sicurezza possono sfruttare questo vantaggio dello shadow IT salvaguardando i dati aziendali:
- Snellire il processo di approvvigionamento della tecnologia per eliminare i colli di bottiglia.
- Utilizzando strumenti di sicurezza che li aiutino a mantenere il controllo sui permessi del sistema.
- Implementare una soluzione completa di protezione dei dati che abbia una visibilità completa del movimento dei dati, sia verso le applicazioni non autorizzate che verso quelle autorizzate.
- Educare i dipendenti sui rischi dello shadow IT
Stabilire modi costruttivi per affrontare l'IT ombra può promuovere l'efficienza e proteggere l'azienda.
Quali sono le sfide dello Shadow IT?
Nel panorama dinamico della forza lavoro moderna, lo shadow IT pone sfide significative alle organizzazioni. Un ostacolo importante è la mancanza di consapevolezza all'interno dei dipartimenti di sicurezza sulle applicazioni utilizzate dai dipendenti, che rende impossibile fornire un supporto e una protezione adeguati. Anche i rischi associati alle applicazioni non autorizzate, come la condivisione di file e gli strumenti di collaborazione, possono portare a fughe di dati sensibili.
Al di là dei problemi di sicurezza, l'IT ombra può portare a una "dispersione di applicazioni", in cui diversi reparti acquistano inconsapevolmente soluzioni duplicate, con conseguente perdita di tempo, denaro e inefficienze nella collaborazione.
Per mitigare le sfide dello shadow IT, le organizzazioni devono ottenere una visibilità completa del loro panorama di dati, monitorare i movimenti dei file per l'uso delle applicazioni autorizzate e non autorizzate, ed educare gli utenti finali alle best practice di sicurezza per garantire un ambiente sicuro e snello.
Protegga la sua organizzazione dai rischi dello Shadow IT
Affrontare l'IT ombra può intimorire. Da dove iniziare, quando potrebbero esserci piccole perdite da centinaia di applicazioni diverse? Il software tradizionale di protezione dei dati e le politiche sui dati coprono solo ciò che si pensa sia a rischio. Code42 offre una soluzione che rileva il movimento dei dati verso applicazioni sanzionate e non sanzionate.
Mimecast Incydr è una soluzione intelligente di protezione dei dati che identifica tutti i movimenti di dati a rischio - non solo le esfiltrazioni classificate dalla sicurezza - aiutandola a vedere e fermare le potenziali fughe di dati da parte dei dipendenti. Incydr rileva automaticamente i movimenti di dati verso applicazioni cloud non attendibili, blocca le esfiltrazioni inaccettabili e adatta la risposta della sicurezza in base al colpevole e al reato. Ai dipendenti che commettono errori di sicurezza viene inviata automaticamente una formazione educativa per correggere il comportamento dell'utente e ridurre il rischio di shadow IT nel tempo.
Si abboni a Cyber Resilience Insights per altri articoli come questi.
Riceva tutte le ultime notizie e le analisi del settore della cybersecurity direttamente nella sua casella di posta elettronica.
Iscriviti con successo
Grazie per essersi iscritto per ricevere gli aggiornamenti del nostro blog
Ci terremo in contatto!