Shadow IT: una minaccia per i dati aziendali

Utilizzare servizi e programmi di cui il team IT non è a conoscenza può portare a vari problemi. Vi spieghiamo come evitarli.

Scegliere strumenti software che piacciano a tutti è praticamente impossibile. C’è sempre almeno un dipendente che conosce un servizio gratuito dieci volte migliore del software scelto dall’azienda. Se quella persona inizia a utilizzare l’altra opzione e a raccomandarla attivamente ai colleghi, sarete coinvolti in un fenomeno noto come Shadow IT. A volte, in realtà, tale situazione aiuta l’azienda a trovare una soluzione IT che si adatti meglio alle proprie esigenze, ma il più delle volte provoca solo dei grattacapi.

Se le persone ne sapessero di più, si affiderebbero prima di tutto alla sicurezza informatica. Tuttavia, viviamo in un mondo imperfetto e spesso i dipendenti di tutte le età, senza pensarci due volte, utilizzano servizi di condivisione di file, applicazioni web di posta elettronica, social network o servizi di messaggistica istantanea per poi pensare solo più tardi alle conseguenze, se mai dovessero pensarci.

Il problema dello Shadow IT non è necessariamente che il tool possa essere un nuovo servizio di messaggistica istantanea gratuito creato su due piedi, potrebbe trattarsi anche di un servizio ben collaudato. Il problema è che né gli esperti in sicurezza (se la vostra azienda ne ha), né il team IT sanno cosa sta succedendo. Questo significa che l’app non autorizzata viene lasciata fuori dai modelli di minacce all’infrastruttura, dai diagrammi di flusso dei dati e dalle decisioni base di pianificazione. E tutto ciò, di conseguenza, può causare problemi.

Probabilità di fughe di dati dovute allo Shadow IT

Chissà quali insidie potrebbero presentarsi quando si utilizzano strumenti di terze parti! Qualsiasi applicazione, sia su cloud o in locale, può offrire diverse e minuziose impostazioni di controllo della privacy. E di certo non tutti i dipendenti sono equamente esperti in software. Abbondano i casi in cui un dipendente lascia dei file non protetti su Documenti Google che contengono dati personali, giusto per fare un esempio.

Dall’altro lato, i servizi in uso possono contenere delle vulnerabilità attraverso le quali degli intrusi potrebbero accedere ai vostri dati. Gli sviluppatori dei programmi possono sistemare tempestivamente le falle, ma chi si assicurerà che i dipendenti installino tutte le patch necessarie per le applicazioni? Senza il coinvolgimento del team IT, non si può essere nemmeno sicuri che ricevano un promemoria per l’aggiornamento. Inoltre, è raro che una persona che non abbia la responsabilità di gestire i diritti di accesso ad applicazioni e servizi si prenda questo onere per programmi non autorizzati revocando, per esempio, gli accessi dopo un licenziamento, se tale funzionalità è disponibile. In breve, nessuno è responsabile della sicurezza dei dati trasmessi o trattati con servizi non autorizzati da IT o dal team esperto in sicurezza.

Violazione della compliance normativa

Al giorno d’oggi, i paesi di tutto il mondo hanno le proprie leggi per la protezione dei dati che specificano come le aziende devono gestire i dati personali. A ciò si aggiungono i numerosi standard del settore in merito. Le aziende devono sottoporsi a controlli periodici per soddisfare i requisiti per la privacy dei dati imposti dei vari organismi regolatori. Se durante un audit si scoprisse improvvisamente che i dati personali di clienti e dipendenti sono stati inviati utilizzando servizi inaffidabili, e il team IT non ne fosse al corrente, l’azienda potrebbe incorrere in una multa salata. In altre parole, un’azienda non ha bisogno di una vera e propria fuga di dati per finire nei guai.

Soldi buttati

L’utilizzo di un tool alternativo al posto di quello consigliato può sembrare una cosa da nulla ma per l’azienda lo Shadow IT rappresenta, come minimo, uno spreco di denaro. Dopotutto, se il team IT acquista le licenze per ogni persona inclusa nel workflow ma non tutti se ne avvalgono, a conti fatti parliamo di soldi gettati al vento.

Come gestire il problema dello Shadow IT

Lo Shadow IT deve essere gestito, non combattuto. Se riuscite a tenerlo sotto controllo, non solo potete migliorare la sicurezza dei dati nella vostra azienda, ma potete anche trovare strumenti veramente utili e conosciuti che possano essere impiegati da tutta l’azienda.

In questo momento, nel bel mezzo della pandemia da COVID-19 e dello smart working, i rischi informatici associati all’utilizzo di applicazioni e servizi non supportati sono in aumento. I dipendenti sono costretti ad adattarsi a questa nuova condizione e di solito cercano nuovi strumenti che ritengono più adatti al proprio telelavoro.

Per questo motivo, abbiamo aggiunto alcune funzionalità alla versione aggiornata di Kaspersky Endpoint Security Cloud per rilevare l’utilizzo di servizi e applicazioni su cloud non autorizzati.

Inoltre, Kaspersky Endpoint Security Cloud Plus può bloccarne l’uso. Questa nuova versione della nostra soluzione di sicurezza consente all’azienda di accedere anche a Kaspersky Security per Microsoft Office 365, ottenendo un ulteriore livello di protezione su Exchange Online, OneDrive, SharePoint Online e Microsoft Teams.

Per saperne di più sulla nostra soluzione e per l’acquisto, potete visitare la pagina ufficiale dedicata a Kaspersky Endpoint Security Cloud.

Consigli