Molte organizzazioni dispongono di software, sistemi e soluzioni SaaS approvati per l'uso all'interno dell'azienda. Ad esempio, un'azienda può utilizzare ufficialmente i prodotti Microsoft come Office 365 e Azure per le operazioni commerciali.
Lo Shadow IT è quando un dipendente viola le politiche IT aziendali. Questo potrebbe includere l'utilizzo di un Google Drive personale per archiviare documenti aziendali, l'iscrizione a servizi SaaS non approvati o il download di dati aziendali su un computer portatile personale. Lo Shadow IT può introdurre rischi di sicurezza per un'organizzazione, perché queste soluzioni non sono state valutate per questioni di sicurezza o di Conformità, né integrate in un piano di gestione dei rischi aziendale.
Le aziende creano comunemente politiche IT aziendali come parte delle loro strategie di sicurezza. Definendo l'elenco dei software accettabili, un'organizzazione può ottenere visibilità e controllo sui suoi potenziali rischi di sicurezza e implementare soluzioni di sicurezza SaaS per mitigarli.
Tuttavia, le politiche IT aziendali possono causare attriti nel flusso di lavoro di un dipendente. Questo può essere semplice, come l'utilizzo da parte dell'azienda di Microsoft Office 365 quando un dipendente preferisce Google Docs, oppure può includere misure che rendono più difficile il lavoro dei dipendenti nel tentativo di migliorare la sicurezza.
Lo Shadow IT è un tentativo di eludere o superare queste restrizioni che sono viste come barriere alla capacità di un dipendente di svolgere il proprio lavoro. L'ascesa delle soluzioni SaaS ha contribuito alla crescita dello shadow IT, perché queste soluzioni offrono ai dipendenti alternative convenienti e facili da usare alle soluzioni aziendali approvate.
Lo Shadow IT può sembrare innocuo o addirittura vantaggioso per i dipendenti. Utilizzando piattaforme e strumenti che li rendono più produttivi, potrebbero migliorare l'efficienza e la redditività dell'azienda. Tuttavia, lo Shadow IT introduce anche rischi significativi per l'organizzazione.
Se i dati aziendali vengono collocati su servizi o piattaforme non approvati - come il cloud storage o una piattaforma di messaggistica come Slack - quei dati sono al di fuori della visibilità e del controllo dei team IT e di sicurezza aziendali. Se le impostazioni di sicurezza di questa piattaforma sono configurate in modo improprio - ad esempio rendendo visibili pubblicamente le unità di archiviazione cloud - i dati aziendali sensibili potrebbero essere violati. Lo Shadow IT può anche creare sfide di Conformità per un'organizzazione, se non può dimostrare di controllare l'accesso ai dati sensibili o se l'uso di una particolare piattaforma viola le regole di trasferimento dei dati, come quelle definite nel Regolamento generale sulla protezione dei dati dell'UE.
Lo Shadow IT è un rischio in qualsiasi organizzazione, poiché i dipendenti possono iscriversi a servizi non approvati e trasferirvi dati sensibili. La protezione dello Shadow IT è essenziale per ottenere visibilità su questo uso non autorizzato dei servizi IT e per proteggere i dati aziendali da accessi e divulgazioni non autorizzati.
Il rischio di Shadow IT è difficile da gestire per le organizzazioni perché, per definizione, coinvolge sistemi che sono al di fuori del controllo dell'organizzazione. I dipendenti possono inserire i dati aziendali in sistemi e servizi non autorizzati che li espongono a cyberattacchi.
Un approccio comune alla gestione del rischio di shadow IT è la formazione dei dipendenti. Spesso, i dipendenti vedono le politiche IT aziendali soprattutto come un ostacolo che rende più difficile il loro lavoro. Insegnando ai dipendenti le politiche aziendali e le loro motivazioni, le organizzazioni possono ridurre la probabilità che i dipendenti le violino.
Tuttavia, la formazione dei dipendenti è una soluzione imperfetta. Alcuni dipendenti che conoscono perfettamente le politiche aziendali IT e di sicurezza, nonché i loro razionali e benefici, cercheranno comunque di aggirarle. In queste situazioni, un'organizzazione può gestire i rischi dell'IT ombra solo implementando soluzioni in grado di identificare l'uso dell'IT ombra e di consentire all'azienda di rispondervi.
Una delle caratteristiche comuni delle soluzioni SaaS è quella di tracciare l'identità degli utenti in base ai loro account e-mail. Spesso, il nome utente di un account SaaS è l'indirizzo e-mail dell'utente, e il servizio invierà e-mail all'utente per verificare il suo account e notificare le attività sul suo account.
Mentre un'organizzazione può non avere visibilità sui servizi SaaS di terze parti non autorizzati a cui i dipendenti possono iscriversi, ha il controllo sugli account e-mail aziendali che i dipendenti utilizzeranno per iscriversi a questi servizi. Analizzando il traffico e-mail alla ricerca di messaggi relativi a servizi non autorizzati - come un messaggio di benvenuto, una notifica o un'e-mail su un messaggio ricevuto - un'organizzazione può identificare i casi in cui è probabile che un dipendente stia utilizzando servizi IT non autorizzati per scopi aziendali.
Check Point Harmony Email and Collaboration ha un supporto integrato per il rilevamento dello shadow IT. Mentre ispeziona il traffico e-mail alla ricerca di altre minacce, Harmony Email and Collaboration cerca anche questi segni rivelatori dello shadow IT. Se vengono rilevati, viene inviato un avviso al team di sicurezza per le indagini.
Lo Shadow IT rappresenta una minaccia significativa per la cybersecurity aziendale, la sicurezza dei dati e la Conformità normativa. Per sapere come gestire i rischi dell'IT ombra della sua organizzazione, si registri oggi stesso per una demo gratuita di Harmony Email and Collaboration. In alternativa, la provi lei stesso con una prova gratuita.