Cesare Di Lucchio, SOC Manager, Axitea, spiega cosa sia il fenomeno dello “Shadow IT”, come gestirlo e quali rischi comporti per la sicurezza delle aziende.
Il tema dello “Shadow IT” sta guadagnando rapidamente spazio quando si parla di gestione della tecnologia a livello enterprise. Con l’espressione “Shadow IT” si indicano applicazioni, dispositivi e servizi di cloud pubblico utilizzati al di fuori delle politiche di sicurezza aziendali, sfuggendo quindi ai tradizionali processi di approvvigionamento e approvazione del reparto IT. Con l’aumento dell’uso di dispositivi personali da parte dei dipendenti e l’adozione diffusa di applicazioni basate sul cloud, il rischio connesso al fenomeno del Shadow IT è in costante crescita.
Il settore IT è il più colpito
Secondo un recente studio di Kaspersky, l’11% delle aziende globali ha subito incidenti informatici a causa dell’uso non autorizzato di applicazioni e dispositivi da parte dei propri dipendenti. Lo stesso studio identifica il settore IT come il più colpito, con il 16% degli incidenti derivanti dall’uso non autorizzato dello Shadow IT nel 2022 e 2023. Seguono quelli delle infrastrutture critiche e delle società di trasporto e logistica, con una incidenza del 13%. Non c’è un settore che possa dirsi immune rispetto a questo fenomeno. I casi più diffusi sono quelli dei dipendenti che fanno uso della email privata per gestire il lavoro. Oppure che salvano i file aziendali nel proprio cloud (Google Drive, Dropbox, Amazon Drive).
Il fenomeno dello “Shadow IT”, Axitea fornisce qualche esempio concreto
Azioni in buona fede, ma a seguito delle quali le aziende corrono seri rischi. Gli esempi di Shadow IT sono molteplici e riguardano numerose categorie:
App di produttività: Trello, Asana, Monday.
App di messaggistica e collaborazione: Teams, Slack.
Dispositivi personali (BYOD): Smartphone e tablet.
Cloud storage e file sharing: Box, Onedrive, Wetransfer, Google Drive, Dropbox.
App di videoconferenza: Zoom, Skype, WebEx.
Cosa significa per le aziende
Il pericolo per le imprese consiste nel fatto che i dipendenti potrebbero utilizzare tali servizi per condividere informazioni aziendali, eludendo così le misure di governance IT. Oppure avvalersi di servizi online inserendo credenziali aziendali o installare software non legittimi, mascherati come app autorizzate.
Il fenomeno dello “Shadow IT” e la sua gestione
Per affrontare efficacemente questo problema, è fondamentale offrire agli utenti i servizi IT di cui hanno bisogno per una gestione intelligente della attività, l’archiviazione sicura di dati provenienti da fonti terze e software per la conduzione di riunioni virtuali. Oltre ovviamente a dispositivi autorizzati per lo svolgimento del proprio lavoro. Una volta identificate le piattaforme legittime, è possibile limitare l’uso o l’accesso ad applicazioni non autorizzate attraverso tecnologie diverse.
Le tecnologie più efficaci per arginare il problema
Ad esempio Endpoint Protection Platform (EPP), che consente il controllo degli applicativi e la gestione dell’uso di dispositivi esterni, e Secure Access Service Edge (SASE), che identifica e blocca l’accesso a specifici servizi DNS non autorizzati. Approccio che dovrebbe derivare da audit delle esigenze specifiche di ciascun dipartimento, anziché essere imposto da un fornitore esterno.
I Managed Security Service Provider (MSSP), come Axitea, possono fornire licenze, configurazioni ottimali e monitoraggio 24/7 di Endpoint Detection and Response (EDR). I Security Information and Event Management (SIEM), SASE e Network Detection and Response (NDR) rappresentano gli strumenti più efficaci per mantenere la governance dei log prodotti dalle diverse piattaforme, normalizzandoli per individuare schemi di azioni non autorizzate o sospette.
Cosa e come proteggere
I sistemi di protezione basati su agenti presuppongono la conoscenza precisa degli asset da proteggere. Attraverso un processo di onboarding per i nuovi asset, la copertura può essere mantenuta in modo scalabile, ad esempio tramite software di propagazione o semplicemente attraverso Active Directory. Tuttavia, spesso gli ambienti presentano una varietà di dispositivi non inclusi nell’Asset Inventory. Un MSSP come Axitea, attraverso servizi di Asset Discovery e Vulnerability Management dedicati, può identificare tutti i singoli componenti da proteggere e fornire aggiornamenti in tempo reale al cliente in caso di attivazione di nuovi dispositivi.
L’efficacia per la sicurezza aziendale
La gestione della sicurezza aziendale è davvero efficace solo se è completa. Deve considerare tutti gli strumenti utilizzati dai dipendenti, anche quelli non ufficiali. Per ottenere una visibilità estesa sugli strumenti, le applicazioni e i dispositivi utilizzati all’interno dell’organizzazione, è necessario utilizzare soluzioni dedicate. Un soggetto terzo specializzato ha sia la competenza tecnologica che la visione di insieme per poter realizzare un monitoraggio efficace. E sulla base di ciò prendere eventuali misure correttive, sempre considerando sia le esigenze aziendali che le richieste degli utenti.
