Lo Shadow IT è stato a lungo considerato una minaccia per la sicurezza e la conformità, ma oggi un numero crescente di aziende ne comprende i vantaggi. Molti dirigenti di software IT si chiedono: "C'è un modo per mantenere la sicurezza e allo stesso tempo migliorare la flessibilità?", dato che il cloud computing continua a consumare una parte crescente dei budget IT delle loro aziende. Se realizzata correttamente, una politica di shadow IT può aiutare sia l'IT che l'azienda. Per farlo, tuttavia, è necessario conoscerne il significato, i possibili svantaggi e i potenziali vantaggi.
Che cos'è l'IT ombra e perché?
Il termine "shadow IT" si riferisce alla pratica di utilizzare risorse, software o applicazioni informatiche in un'azienda senza il supporto del team IT o di sicurezza. Può riguardare sia il software e l'hardware, sia le risorse basate sul cloud. La rapida crescita dell'utilizzo di servizi basati sul cloud è attualmente il problema principale: il numero crescente di persone che ne fanno uso aumenta il fenomeno dello "shadow IT". Gli utenti si sono abituati ad accedere e a utilizzare software e servizi basati sul cloud per applicazioni o strumenti di produttività. L'introduzione dell'IT ombra in un'organizzazione può assumere diverse forme, ma di solito avviene attraverso uno dei due metodi:
- L'impiego di un programma di terze parti per accedere, archiviare o distribuire informazioni aziendali. Anche se un'azienda ha ufficialmente autorizzato Google Workspace per la condivisione di file, un dipendente può comunque introdurre l'IT ombra scegliendo di utilizzare Microsoft 365.
- Utilizzo illegale di una risorsa autorizzata. Allo stesso modo, anche se il reparto IT ha autorizzato l'uso di Google Workspace attraverso gli account gestiti dall'azienda, un dipendente può comunque introdurre l'IT ombra accedendo a Google Workspace con il proprio account non controllato.
Qual è un esempio di shadow IT?
L'utilizzo di account di posta elettronica personali per le attività aziendali, l'uso di dispositivi BYOD (Bring Your Own Devices) non approvati o la distribuzione di servizi SaaS (Software as a service) non gestiti dal team IT dell'azienda sono tutti esempi comuni di shadow IT. Di seguito sono riportati esempi più specifici di shadow IT:
- Applicazioni o strumenti per aumentare la produttività, tra cui software come Trello e Asana.
- Microsoft Teams, Slack e Google Chat sono esempi di applicazioni di messaggistica e collaborazione.
- Applicazioni o strumenti per la telefonia mobile, tablet e altri dispositivi IoT (Internet of Things).
- Servizi e applicazioni per l'archiviazione di dati o il trasferimento di file nel cloud, tra cui Google Drive, Dropbox, Box e OneDrive.
- Applicazioni o strumenti per riunioni online, tra cui Zoom, Skype, WebEx e GoToMeeting.
- Software o strumenti per lapianificazione e la gestionedegli appuntamenti, come Calendly, ScheduleOnce e Bookafy.
Quali sono i rischi dell'utilizzo dell'IT ombra?
Anche i rischi associati all'IT ombra sono nascosti nell'ombra. Sebbene i dipendenti possano svolgere il proprio lavoro più rapidamente e facilmente con l'aiuto di strumenti o applicazioni software di shadow IT, questi software o applicazioni comportano una serie di nuovi pericoli, inefficienze e spese per l'azienda.
Perdita di visibilità e controllo
Quando i dati vengono spostati su sistemi o applicazioni non ufficiali, si perdono la supervisione e la gestione. I sistemi IT ombra comportano pericoli quali la non conformità alla sicurezza e alle normative, la violazione dei dati e l'impossibilità di intraprendere le necessarie azioni di disaster recovery per i dati in questione.
Integrazione del software
Le integrazioni di sistema sono una caratteristica comune dei reparti IT. Il software IT ombra comporta il rischio di violazione dei dati se una parte qualsiasi dell'integrazione viene compromessa. Se gli utenti non installano gli aggiornamenti software critici, la gravità di questa violazione aumenta notevolmente. È più probabile che i dipendenti non sappiano nemmeno come aggiornare i propri strumenti.
Quando l'IT esegue un aggiornamento su un sistema integrato, un'applicazione o un software precedentemente sconosciuto può fornire una backdoor a un aggressore per accedere all'intero database. Una violazione di questo tipo può portare a conseguenze che vanno da gravi disagi a denunce penali per il responsabile delle informazioni.
Dati persi
I dati del cloud ombra potrebbero diventare inaccessibili alle aziende, soprattutto se la persona che li ha creati lascia l'azienda. Contratti con gli utenti, documenti di progettazione e altre applicazioni o strumenti di progetto potrebbero essere archiviati sull'account Dropbox personale di un utente. È possibile che l'azienda non sia in grado di recuperare i dati essenziali dei clienti dall'account personale dell'utente in caso di licenziamento. Quando un utente viene licenziato e non paga più i servizi cloud di Shadow IT, è facile disattivare immediatamente tali servizi o applicazioni.
I costi
Secondo alcune stime, quasi un terzo degli abbonamenti o delle applicazioni SaaS è inutilizzato o sottoutilizzato, con conseguenti inefficienze e sprechi di denaro. Alcune aziende che desiderano rafforzare il proprio software IT ombra utilizzano metodi manuali inefficienti, tra cui l'uso di lunghi fogli di calcolo per tenere traccia dei propri servizi SaaS, con conseguente spreco di tempo e denaro.
Espansione sconosciuta delle superfici di attacco
Con una maggiore quantità di shadow IT, le possibilità di attacco per un'organizzazione aumentano. I sistemi di database non organizzati non rientrano nei limiti di alcun protocollo di sicurezza conosciuto. Le credenziali deboli o predefinite rischiano di esporre a Internet le risorse non gestite. La gestione dei log delle minacce, le informazioni di sicurezza, i sistemi di gestione degli eventi (SIEM) e i test di penetrazione non coprono lo Shadow IT.
Vantaggi dell'IT ombra
Tuttavia, anche lo Shadow IT ha i suoi vantaggi. Ecco i principali vantaggi dell'utilizzo dello Shadow IT:
Maggiore produttività
Secondo i risultati di un sondaggio condotto da Entrust Datacard, quasi tutti i lavoratori aumentano la loro produttività quando hanno la possibilità di utilizzare le tecnologie di loro scelta. Inoltre, lo stesso sondaggio ha rilevato che il 77% dei professionisti del software IT ritiene che le loro aziende potrebbero ottenere un vantaggio competitivo se i dirigenti fossero più collaborativi nell'individuare soluzioni ai problemi utilizzando le app. Se si considera attentamente la questione, ci si rende conto che queste conclusioni non sono poi così scioccanti. Per esempio, non ci si aspetterebbe che un parrucchiere sia in grado di svolgere la stessa quantità di lavoro con un paio di forbici normali e con un set di forbici professionali da parrucchiere.
Innesco o catalizzatore dell'innovazione
Quando ci sono più persone che guardano, è più semplice identificare gli strumenti più adatti al compito da svolgere. I dipendenti stessi sono i maggiori giudici di quali soluzioni software e hardware possano essere più utili per loro; pertanto, lo shadow IT ha perfettamente senso per consentire loro di utilizzare tutto ciò che desiderano senza dover chiedere preventivamente l'autorizzazione a nessuno. Pertanto, è ancora più sensato che la direzione studi a fondo i software o le applicazioni informatiche che i lavoratori hanno iniziato a utilizzare di propria iniziativa ed esplori la possibilità di una loro adozione formale in tutta l'azienda. È molto più probabile che la soluzione raggiunta attraverso questo processo sia strettamente legata alla domanda iniziale dell'azienda rispetto alla soluzione scelta direttamente dalla direzione.
Coinvolgere i migliori e i più brillanti
Lo Shadow IT è una forma di tecnologia informatica che può aiutare le aziende, in particolare quelle che operano in settori che si basano molto sul software informatico, a reclutare e mantenere i migliori dipendenti. I candidati a un posto di lavoro che hanno una grande esperienza sono sempre grati quando possono utilizzare gli strumenti che funzionano meglio per loro, piuttosto che essere costretti a imparare a usare una serie di strumenti completamente diversi, che possono o meno essere obsoleti, solo perché a qualcuno che li ha preceduti piaceva usarli. Allo stesso modo, le persone con prestazioni elevate sono molto più impegnate e produttive quando hanno accesso ai software informatici più all'avanguardia, e possono persino rifiutare offerte di compensi più elevati da parte di concorrenti il cui ambiente di lavoro non è adatto a loro.
Ridurre al minimo la richiesta e l'esposizione all'IT ombra
È possibile ridurre la necessità di ricorrere all'IT ombra, nonché i rischi ad essa associati, adottando alcune delle misure sopra elencate.
Comunicare e collaborare
Scoprire cosa vogliono effettivamente gli utenti dell'IT. Abbattere i silos. Fare in modo che i reparti IT e gli utenti IT possano comunicare in modo semplice, comodo ed efficiente per comprendere meglio i requisiti, le esperienze e i commenti reali degli utenti finali sulle tecnologie attuali e su quelle di nuova generazione, ad esempio le piattaforme low-code/no-code.
Formare ed educare
Informare gli utenti sui rischi associati al software IT ombra e su come l'azienda può contribuire a soddisfare i requisiti tecnologici senza aggirare le consuete regole di governance è un passo molto importante per mitigare questi rischi. I dipendenti che conoscono la sicurezza e condividono la visione dell'organizzazione sulla sicurezza del software informatico hanno maggiori probabilità di comprendere i rischi legati allo shadow IT e saranno incoraggiati a trovare soluzioni accettabili per soddisfare le loro esigenze tecnologiche.
Riflessioni finali
La struttura regolare dell'ufficio sta lasciando il posto a opzioni più flessibili, remote e ibride. Il cloud favorisce questo cambiamento, ma dovrete comunque affrontare alcune conseguenze significative. Le minacce dell'IT ombra rimarranno un problema finché i servizi SaaS saranno alla base dell'innovazione.
Ma se vi dicessi che potete risolvere tutti i rischi dello Shadow IT utilizzando piattaforme low-code/no-code? Queste piattaforme possono essere controllate dal reparto IT, ma contribuiranno anche a creare gli strumenti aziendali necessari ai dipendenti. Immaginate di poter creare un'applicazione per la pianificazione degli appuntamenti, ad esempio, che si adatti completamente alle esigenze della vostra azienda. Inoltre, non dovreste temere tutti i rischi dello Shadow IT, perché sarebbe sviluppato e controllato dal vostro reparto IT. AppMaster.io è una delle piattaforme no-code all'avanguardia che vi aiuterà a creare le migliori applicazioni web e mobili per la vostra azienda senza dover scrivere alcun codice.