Immaginate la seguente situazione. State lavorando con un'agenzia che vi sta aiutando a creare una collezione di brochure che porterete a una fiera. Il tipografo ha bisogno dei file domani, ma il link che avete fornito all'agenzia per accedere alla vostra area di upload protetta non funziona. Il progettista suggerisce di scaricare un'applicazione che faciliti la condivisione di file di grandi dimensioni. A causa delle pressioni esercitate dalla direzione, scaricate l'applicazione perché siete assolutamente mosto rispettare la scadenza di stampa.
Vi suona familiare? Se questa situazione non è difficile da immaginare, è perché accade continuamente nelle aziende di tutto il mondo. Anche se la maggior parte delle persone non ammetterebbe mai di eludere il reparto IT aziendale e di installare malware, lo fa. Statisticamente 82% di violazioni coinvolgono un elemento umano. Errori come scaricare software rischioso, cliccare su link di phishing o semplici errori umani giocano un ruolo fondamentale negli incidenti e nelle violazioni della cybersecurity.
Il problema è che spesso non succede nulla quando i dipendenti diventano disonesti. Il software utilizzato per condividere gli opuscoli è legittimo, il vostro fornitore stampa la documentazione, non introducete nuovi rischi e non cambia nulla. Non c'è da preoccuparsi.
Ma altre volte i dipendenti non sono così fortunati. Definito shadow IT, Qualsiasi hardware o software non supportato dal reparto IT aziendale può rappresentare un rischio per la sicurezza.
Basta il download di un software pieno di malware o l'accesso a un'applicazione SaaS con una scarsa sicurezza del cloud per infettare i sistemi critici. Tuttavia, anche a fronte di queste opportunità di rischio sempre presenti, la maggior parte delle organizzazioni non tiene conto dello shadow IT quando sviluppa le proprie strategie di sicurezza.
Per ridurre il rischio, è importante riflettere sul motivo per cui i dipendenti ricorrono allo shadow IT. La maggior parte delle volte l'IT ombra colma le lacune che l'hardware o il software approvato dall'IT non colmano o non sono particolarmente efficaci. Oppure, a volte, si ricorre a soluzioni ad hoc perché l'approvazione richiede così tanto tempo che non ci si preoccupa. Dal punto di vista dei dipendenti, è molto più facile caricare un software ed evitare di essere sgridati per non aver rispettato una scadenza, piuttosto che dover affrontare la burocrazia o discutere con l'IT su acquisti e budget.
Se i dipendenti sono costretti a trovare da soli le soluzioni ai problemi IT, ciò indica un problema più ampio di qualsiasi app o risorsa shadow IT. È invece indicativo di un'interruzione della comunicazione tra il reparto IT e gli altri team dell'organizzazione.
Il reparto IT non deve essere il nemico. I manager devono indagare sui colli di bottiglia e incoraggiare la comunicazione tra i reparti IT e gli utenti. A livello esecutivo, anche la formazione degli utenti sui rischi associati allo shadow IT deve essere una priorità. Per gli utenti, l'acquisizione degli strumenti per svolgere il proprio lavoro deve avvenire senza problemi, in modo che non si sentano costretti a trovare soluzioni alternative. Ricordate sempre l'adagio: la migliore sicurezza è quella che le persone useranno. La tecnologia cambia rapidamente e le organizzazioni devono stabilire procedure per semplificare il processo di revisione della sicurezza e di fornitura rapida di nuove soluzioni tecnologiche.
Capire chi ha accesso a cosa è fondamentale, quindi le organizzazioni devono assicurarsi di avere una governance adeguata. La sicurezza inizia dall'identità e con le moderne opzioni di autenticazione e senza password, dimostrare di essere chi si dice di essere dovrebbe essere facile. Le soluzioni per l'identità devono essere incentrate sulle migliori pratiche di sicurezza, come gli standard FIDO2, l'autenticazione basata sul rischio e le informazioni intelligenti in tempo reale che riducono continuamente il rischio.
Il completamento delle richieste di accesso di routine non dovrebbe sempre richiedere il coinvolgimento dell'IT, e le funzionalità self-service e il single sign-on consentono agli utenti di lavorare senza interruzioni. Per quanto riguarda l'IT, gli amministratori hanno bisogno di soluzioni senza soluzione di continuità che includano strumenti di amministrazione e governance delle identità.
La nostra architettura di governance dell'accesso ai dati e del ciclo di vita offre una visibilità a livello aziendale che consente di sapere chi è il proprietario dei dati aziendali, chi ha accesso alle risorse di dati, come ha ottenuto l'accesso e se deve avere accesso alle condivisioni di file. Il processo di certificazione automatizzato genera revisioni attuabili che sono semplici, intuitive ed efficaci per gli utenti aziendali per fornire prove ai team di revisione.
Non tutte le minacce sono esterne e i team IT devono trovare nuovi modi per garantire la protezione degli accessi e la conformità, continuando a supportare le esigenze tecnologiche degli utenti. Semplificando le operazioni IT, educando gli utenti e adottando la governance dell'identità e degli accessi, le organizzazioni possono ridurre i rischi dello shadow IT.
