Salve! Posso darti maggiori informazioni
o rispondere a qualche domanda?
Come possiamo esserti utili?
Seleziona uno dei nostri esperti
Alberto Bedin
Supporto Commerciale
Sono online
Luisa Soranno
Supporto Commerciale
Sono online

Shadow IT è un termine spesso usato per descrivere sistemi e soluzioni IT implementati e usati all’interno delle organizzazioni senza l'approvazione esplicita dell’organizzazione stessa.

Alcuni esempi di questi flussi di dati non ufficiali sono il trasferimento di dati su

  • chiavette USB
  • dispositivi mobile,
  • messaggistica online, Gmail o altri servizi di posta elettronica on line, Google Drive o altri sistemi di condivisione di documenti
  • Skype o altri software online
  • VOIP,
  • ma anche altri prodotti minori come database Access e fogli di calcolo e macro Excel.

Rischi alla sicurezza vengono introdotti ogni qualvolta avvengono movimenti di dati  verso l’esterno.

Un sondaggio francese riguardante 129 manager informatici ha rivelato alcuni esempi di Shadow IT.

  • macro Excel 19%
  • software 17%
  • soluzioni cloud 16%
  • ERP 12%
  • Sistemi BI (business Intelligence) 9%
  • siti web 8%

È inoltre usato per descrivere soluzioni implementate da reparti diversi da quello IT.

Uno Studio conferma che il

  • 35% dei dipendenti sente il bisogno di lavorare ignorando misure o protocolli di sicurezza per poter svolgere efficientemente il proprio lavoro.
  • 63% invia documenti al proprio indirizzo di posta elettronica personale per continuare il lavoro da casa, anche essendo consapevoli che probabilmente non sia consentito dall’azienda.

Quali rischi comporta per le aziende?

Furto di dati, multe per il mancato rispetto del GDPR e sicurezza aziendale compromessa sono alcuni dei rischi dello shadow IT.

Tipicamente la minaccia viene dai dipendenti intraprendenti, che desiderano aggirare i limiti e le complicazioni imposte all'azienda. Oppure che vogliono adottare le più recenti applicazioni cloud per supportare lo smart working. Nel periodo del lockdown e anche nella Fase 2 in cui molti dipendenti continuano a lavorare da casa, la diffusione dello shadow IT ha subito un'impennata.

In entrambi i casi, quello che fanno i lavoratori è aggirare gli amministratori IT e usare questi servizi senza autorizzazione alcuna. Quello di cui non si rendono conto è che mettono inconsapevolmente a rischio sé stessi e l'azienda

Risk Based Security ha scoperto che circa il 70% delle violazioni segnalate era dovuto a un accesso non autorizzato a sistemi o servizi. Circa il 90% dei record esposti era attribuibile all'esposizione o alla pubblicazione di dati online.

È quindi da mettere in conto che l'esposizione accidentale o la mancata protezione di un database sta aumentando il numero di record esposti.

Le soluzioni Shadow IT non sono spesso in linea con la richiesta da parte delle organizzazioni di controllo, documentazione, sicurezza, affidabilità ecc., problematiche invece applicate invece alle soluzioni IT autorizzate.

Perchè esiste lo Shadow IT ?

Il reparto IT, si trova ad affrontare infrastrutture datate e sfide sulla gestione dei dati, non può facilmente fornire servizi di analisi dati.

Con l’aumento di potenti CPU notebook, esperti di settore possono usare sistemi shadow IT per estrarre e manipolare complessi dataset senza dover chiedere l’aiuto dal reparto IT.

Gli utilizzatori di shadow IT si trovano nel bisogno di memorizzare separatamente i dati modificati (isolamento) che risulta in una perdita di integrità dei dati organizzativi.

La sfida per il reparto IT è di riconoscere questa attività e migliorare l’ambiente di controllo tecnico,

o di guidare l’azienda nella selezione di strumenti di analisi dei dati che siano robusti e scalabili per le grosse imprese.

Le best practice

Per evitare qualsiasi rischio, quello che si dovrebbe fare è usare solo app cloud verificate e approvate dal reparto IT

Il problema è che non tutti i lavoratori conoscono le politiche di standardizzazione del software. 

In merito, sarebbe bene aggiornare tutti i dipendenti con corsi di formazione che facciano comprendere le scelte aziendali e i motivi che ne sono alla base.
fortinet cloudcasb

A scanso di equivoci, le aziende tentano di bloccare l'accesso ai servizi cloud che non soddisfano gli standard di sicurezza e conformità.

Di recente abbiamo discusso con Fortinet di FortCASB. È uno strumento che interroga direttamente le app SaaS per capire chi ha postato cosa, chi sta scambiando file con chi, chi sta scaricando.

Promette grande efficienza, ma ha l'inconveniente di funzionare solo se l'utente lavora dall'interno dell'azienda. Quand'è in smart working non c'è nulla da fare.

Data Leak e conformità

Il primo rischio è che quando vengono usate soluzioni shadow IT da dipendenti o da interi dipartimenti, la superficie d'attacco aumenta enormemente. 

Molte non sono sicure o aggiornate all'ultima versione

Se gli addetti alla cyber security non sono a conoscenza dell'esistenza di un'app, non possono adottare misure per proteggere i dati aziendali o i suoi utenti.


data breach

 

Tratto da:

Articolo Openlab: Shadow IT, nella Fase 2 è una minaccia reale

Articolo Openlab: Data breach: +273% di dati esposti nel primo trimestre 2020

articolo di wikypedia Shadow IT

articolo di IT Jungle Top 11 Ways to Protect Your IBM i from Insider Threats