4ward PRO Blog

Shadow IT: cos'è, rischi per le aziende e come gestirli

Scritto da Airina Paccalini | Sep 26, 2019 10:00:00 PM

Sempre più spesso le aziende esternalizzano l’IT, ottenendo effetti positivi sul proprio Business. Secondo una recente ricerca WMware, il 57% delle aziende ritiene che la decentralizzazione dell’IT permetta di lanciare più velocemente nuovi prodotti e servizi sul mercato, il 54% ritiene che migliori la capacità di rispondere prontamente alle condizioni di mercato mentre per il 59% consente di innovare più velocemente. 

Le imprese scelgono quindi, sempre più spesso, di fare outsourcing per ottimizzare i processi e migliorare il servizio facendo affidamento su figure esterne già in possesso di tutte le skill necessarie, in modo da potersi concentrare maggiormente sul core business aziendale. Inoltre l’esternalizzazione permette di risparmiare su tempi e costi, soprattutto quelli per l’assunzione di personale specializzato o la formazione di quello interno.

Questa esternalizzazione però richiede un maggiore controllo: infatti il 56% delle aziende crede che porti ad una duplicazione dei costi per servizi IT e il 54% ammette una mancanza di proprietà e responsabilità sull’IT. Infine il 47% delle aziende ritiene che questa scelta abbia portato all’acquisto di soluzioni non sicure.

Shadow IT: cos'è?

Uno dei principali rischi dell’esternalizzazione dell’IT è il cosiddetto Shadow IT. Con questo termine si indicano tutti quei comportamenti di utilizzo, da parte dei dipendenti, di strumenti e servizi non esplicitamente autorizzati dal team IT, sia esso interno o esterno all’azienda. Ma quanto è diffuso questo fenomeno? Molto più di quanto si creda: basti pensare a quante volte i dipendenti salvano i dati aziendali su chiavi USB o Hard Disk esterni, e quante applicazioni vengono scaricate su pc e telefoni aziendali su iniziativa dei dipendenti, e così via. Come dimostra una survey Stratecast più dell’80% dei lavoratori ha ammesso di utilizzare app SaaS sul posto di lavoro senza l’approvazione del reparto IT.

Lo Shadow IT comporta rischi rilevanti per il business, tra questi vi è in primis la perdita o diffusione di dati aziendali, spesso confidenziali. Un recente studio Symantec ha dimostrato come la perdita di dati sensibili costa ad ogni azienda in media 4,2 milioni di dollari ogni anno.

 

Shadow IT: grossi rischi per aziende

Lo Shadow IT si dimostra quindi come una falla nella sicurezza aziendale, e ciò ha ovviamente effetti anche sulla compliance, soprattutto per quanto riguarda il nuovo General Data Protection Regulation (GDPR).

 

4 best bractices per gestire i rischi dello Shadow IT

Come possiamo quindi combattere, o almeno contenere, lo Shadow IT? Innanzitutto fornendo ai dipendenti tutti gli strumenti necessari, di modo che non debbano cercarseli da soli. Ma una differenza sostanziale si ha con soluzioni che permettono un controllo attivo, proattivo e analitico del fenomeno dello Shadow IT e che aumentino la sicurezza e la protezione di dati, identity, applicazioni e device. 4ward suggerisce, a questo scopo, l’Enterprise Mobility + Security (EMS), una soluzione gestita completa, sicura e intuitiva che comprende:

 

1. Monitoraggio dell’utilizzo delle applicazioni:

Grazie a EMS è possibile tenere traccia dell’utilizzo di applicazioni SaaS ed avere quindi un efficace strumento per il controllo e l’approvazione di applicazioni di terze parti evitando lo Shadow IT. Questo anche in ottica del GDPR che impone la consapevolezza di dove i dati si trovano diventa quanto mai indispensabile.

 

2. Segmentazione sui dispositivi tra le app consumer e quelle aziendali e gestione semplificata dei device mobili:

Indipendentemente che il dispositivo sia aziendale o personale (BYOD) i dispositivi mobili vengono quasi sempre utilizzati in modalità promiscua. EMS permette di evitare Data Leakage grazie ad un partizionamento tra dati/applicazioni aziendali (autorizzate) e personali. Un esempio classico è l’impossibilità di copiare parte di un contenuto di un documento allegato ad una mail aziendale su un’applicazione personale (ad es. Twitter). Inoltre è possibile gestire facilmente il Wipe dei dati aziendali sui dispositivi gestiti senza impattare sulla componente personale del dispositivo.

 

3. Sistemi di rights management:

La diffusione dei dati digitale e l’utilizzo di dispositivi mobili, nonché la diffusione di applicazione SaaS, cambiano il perimetro all’interno del quale l’azienda deve ragionare in termini di protezione e divulgazione del dato. Grazie a EMS le aziende possono aiutare i propri collaboratori a catalogare e classificare il contenuto dei documenti prodotti ed asseganre specifiche permission anche a persone esterne all’organizzazione, con la facoltà di modificare, tracciare e revocare questi permessi anche in un secondo momento, indipendentemente da dove questo file sia stato salvato (anche esternamente all’azienda).

 

4. Multi-factor autentication con un’unica password (single sign-on):

Il nuovo perimetro di sicurezza non è più il datacenter ma l’identità delle persone che accedono ai dati. In un’epoca dove le informazioni digitali sono distribuite, il numero di accessi e identità è esponenzialmente cresciuto. Ciò implica una complessa gestione di svariate username e password associate ad un singolo individuo. Grazie ai sistemi di single sign-on è possibile invece veicolare tutti gli accessi di applicazioni aziendali o di terze parti (SaaS) utilizzando e gestendo un’unica identity che semplifica la gestione e anche l’inibizione all’accesso. Questa singola identity, inoltre, può essere protetta da un’autenticazione multi-fattore, ovvero è possibile utilizzare un dispositivo mobile per validare l’accesso dopo l’inserimento di username e password. Tale soluzione aiuta ad aumentare notevolmente i livelli di sicurezza dell’azienda con un investimento di gestione contenuto.

 

Scopri la nostra soluzione 4secure o contattaci scoprire come 4ward può aiutarti a contenere lo Shadow IT e ad aumentare il livello di sicurezza della tua azienda.