Un recente studio di Kaspersky ha dimostrato che, negli ultimi due anni, l’11% delle aziende di tutto il mondo ha subito incidenti informatici dovuti all’uso di dispositivi IT non autorizzati da parte dei dipendenti con conseguenze diverse, che si tratti della fuga di dati riservati o di danni tangibili all’azienda.

Lo shadow IT è la parte dell’infrastruttura IT aziendale che non è di competenza dei dipartimenti IT e di Information Security, come ad esempio applicazioni, dispositivi e servizi di cloud pubblici che non vengono utilizzati in conformità alle policy di sicurezza delle informazioni. L’implementazione e l’utilizzo dello shadow IT possono portare a gravi conseguenze negative per le aziende. Lo studio di Kaspersky ha rivelato che il settore IT è stato il più colpito, subendo il 16% degli incidenti informatici dovuti all’uso non autorizzato dello shadow IT nel 2022 e 2023. Altri settori colpiti dal problema sono le infrastrutture critiche e le società di trasporto e logistica, che hanno registrato il 13%.

Il recente caso di Okta ha dimostrato chiaramente i pericoli dell’utilizzo dello shadow IT. Quest’anno, un dipendente che ha utilizzato un account personale di Google su un dispositivo aziendale ha involontariamente permesso agli attori delle minacce di ottenere un accesso non autorizzato al sistema di assistenza clienti di Okta. Da qui gli attaccanti sono riusciti a sottrarre i file contenenti i token di sessione che potevano essere utilizzati per condurre attacchi, con il risultato che questo incidente informatico è durato 20 giorni e ha avuto un impatto su 134 clienti dell’azienda.

“I dipendenti che utilizzano applicazioni, dispositivi o servizi cloud non approvati dal dipartimento IT credono che, se provengono da fornitori affidabili, dovrebbero essere protetti e sicuri. Tuttavia, nei termini e condizioni i fornitori terzi utilizzano il cosiddetto “modello di responsabilità condivisa” secondo il quale, scegliendo “Accetto”, gli utenti confermano che eseguiranno aggiornamenti regolari di questo software e si assumeranno la responsabilità di eventuali incidenti legati al suo utilizzo (comprese la perdita di dati aziendali). Ma in fin dei conti le aziende hanno bisogno di strumenti per controllare lo shadow IT quando viene utilizzato dai dipendenti. Il dipartimento di sicurezza informatica dovrà ovviamente effettuare scansioni regolari della rete interna dell’azienda per evitare l’uso non autorizzano di hardware, servizi e applicazioni software non controllati e non sicuri” ha commentato Alexey Vovk, Head of Information Security di Kaspersky.

shadow it

In generale, la situazione dell’utilizzo diffuso dello shadow IT è complicata dal fatto che molte organizzazioni non hanno previsto sanzioni ufficiali a carico dei loro dipendenti in caso di una violazione delle policy IT in materia. Inoltre, si presume che lo shadow IT possa diventare una delle principali minacce alla sicurezza informatica aziendale entro il 2025. La buona notizia è che la motivazione che spinge i dipendenti a utilizzare lo shadow IT non è sempre di natura dolosa, anzi più spesso è il contrario. In molti casi, i dipendenti utilizzano infatti questa opzione per aumentare le funzionalità dei prodotti che usano al lavoro, perché ritengono che i software autorizzati siano insufficienti o semplicemente preferiscono il programma più familiare del loro computer personale.

Per ridurre i rischi legati all’utilizzo dello shadow IT in un’organizzazione, Kaspersky consiglia di:

  • Garantire la cooperazione tra l’azienda e i reparti IT per discutere regolarmente le nuove esigenze aziendali, ottenere feedback sui servizi IT utilizzati, al fine di crearne di nuovi e migliorare quelli esistenti necessari all’azienda.
  • Eseguire regolarmente un inventario delle risorse IT e scansionare la rete interna per evitare la comparsa di hardware e servizi non controllati
  • Quando si tratta di dispositivi personali dei dipendenti, è meglio dare agli utenti un accesso il più possibile limitato alle sole risorse necessarie per svolgere il proprio lavoro. È importante utilizzare un sistema di controllo che consenta l’accesso alla rete solo ai dispositivi autorizzati.
  • Svolgere programmi di formazione per migliorare la conoscenza della sicurezza delle informazioni da parte dei dipendenti
  • Investire in programmi di formazione pertinenti per gli specialisti della sicurezza IT
  • Utilizzare prodotti e soluzioni che consentono di controllare l’uso dello shadow IT all’interno dell’organizzazione
  • Effettuare regolarmente un inventario delle risorse IT per eliminare la comparsa di dispositivi e hardware abbandonati
  • Organizzare un processo centralizzato per la pubblicazione di soluzioni scritte autonomamente, in modo che gli specialisti dell’IT e della sicurezza informatica ne vengano a conoscenza tempestivamente.
  • Limitare il lavoro dei dipendenti che utilizzano servizi esterni di terze parti e, se possibile, bloccare l’accesso alle risorse di scambio di informazioni cloud più diffuse