Il tema dello “Shadow IT” sta guadagnando rapidamente spazio quando si parla di gestione della tecnologia a livello enterprise.
Con l’espressione “Shadow IT” si indicano applicazioni, dispositivi e servizi di cloud pubblico utilizzati al di fuori delle politiche di sicurezza aziendali, sfuggendo quindi ai tradizionali processi di approvvigionamento e approvazione del reparto IT. Con l’aumento dell’uso di dispositivi personali da parte dei dipendenti e l’adozione diffusa di applicazioni basate sul cloud, il rischio connesso al fenomeno del Shadow IT è in costante crescita.
Secondo un recente studio di Kaspersky, l’11% delle aziende di tutto il mondo ha subito incidenti informatici a causa dell’uso non autorizzato di applicazioni e dispositivi da parte dei propri dipendenti. Lo stesso studio identifica il settore IT come il più colpito, con il 16% degli incidenti derivanti dall’uso non autorizzato dello Shadow IT nel 2022 e 2023, seguito da quello delle infrastrutture critiche e dalle società di trasporto e logistica, con una incidenza del 13%. Non c’è un settore che possa dirsi immune rispetto a questo fenomeno.
I casi più diffusi sono quelli dei dipendenti che fanno uso della email privata per gestire il lavoro, o che salvano i file aziendali nel proprio cloud (Google Drive, Dropbox, Amazon Drive). Sono azioni fatte in buona fede, ma a seguito delle quali le aziende corrono seri rischi.
Gli esempi di Shadow IT sono molteplici e riguardano numerose categorie, tra cui:
– App di produttività: Trello, Asana, Monday
– App di messaggistica e collaborazione: Teams, Slack
– Dispositivi personali (BYOD): Smartphone e tablet
– Cloud storage e file sharing: Box, Onedrive, Wetransfer, Google Drive, Dropbox
– App di videoconferenza: Zoom, Skype, WebEx
Il pericolo per le imprese consiste nel fatto che i dipendenti potrebbero utilizzare tali servizi per condividere informazioni aziendali, eludendo così le misure di governance IT, o avvalersi di servizi online inserendo credenziali aziendali o installare software non legittimi, mascherati come app autorizzate.
Per affrontare efficacemente questo problema, è fondamentale offrire agli utenti i servizi IT di cui hanno bisogno per una gestione intelligente della attività, l’archiviazione sicura di dati provenienti da fonti terze e software per la conduzione di riunioni virtuali, oltre ovviamente a dispositivi autorizzati per lo svolgimento del proprio lavoro.
Una volta identificate le piattaforme legittime, è possibile limitare l’uso o l’accesso ad applicazioni non autorizzate attraverso tecnologie quali Endpoint Protection Platform (EPP), che consentono il controllo degli applicativi e la gestione dell’uso di dispositivi esterni, e Secure Access Service Edge (SASE), che identificano e bloccano l’accesso a specifici servizi DNS non autorizzati. Approccio che dovrebbe derivare da audit delle esigenze specifiche di ciascun dipartimento, anziché essere imposto da un fornitore esterno.
I Managed Security Service Provider (MSSP), come Axitea, possono fornire licenze, configurazioni ottimali e monitoraggio 24/7 di Endpoint Detection and Response (EDR), Security Information and Event Management (SIEM), SASE e Network Detection and Response (NDR) che rappresentano gli strumenti più efficaci per mantenere la governance dei log prodotti dalle diverse piattaforme, normalizzandoli per individuare schemi di azioni non autorizzate o sospette.
I sistemi di protezione basati su agenti presuppongono la conoscenza precisa degli asset da proteggere. Attraverso un processo di onboarding per i nuovi asset, la copertura può essere mantenuta in modo scalabile, ad esempio tramite software di propagazione o semplicemente attraverso Active Directory. Tuttavia, spesso gli ambienti presentano una varietà di dispositivi non inclusi nell’Asset Inventory. Un MSSP come Axitea, attraverso servizi di Asset Discovery e Vulnerability Management dedicati, può identificare tutti i singoli componenti da proteggere e fornire aggiornamenti in tempo reale al cliente in caso di attivazione di nuovi dispositivi.
La gestione della sicurezza aziendale è davvero efficace solo se è completa: deve considerare tutti gli strumenti utilizzati dai dipendenti, anche quelli non ufficiali. Per ottenere una visibilità estesa sugli strumenti, le applicazioni e i dispositivi utilizzati all’interno dell’organizzazione, è necessario utilizzare soluzioni dedicate.
Un soggetto terzo specializzato ha sia la competenza tecnologica che la visione di insieme per poter realizzare un monitoraggio efficace, sulla base del quale prendere eventuali misure correttive, sempre considerando sia le esigenze aziendali che le richieste degli utenti.
Cesare Di Lucchio, SOC Manager, Axitea
