Il perimetro della cybersecurity tradizionale non basta più. Con l’intensificarsi delle minacce informatiche, gli sforzi dei dipartimenti IT sono tutti concentrati nel garantire la sicurezza degli strumenti in uso all’azienda, attraverso il monitoraggio degli accessi, il rilevamento di eventuali anomalie e la pronta risposta ai primi segnali di minaccia.
L’obiettivo è avere piena visibilità su reti, piattaforme ed endpoint utilizzati a ogni latitudine della moderna azienda “diffusa”. Ma cosa accade quando, nella prassi dell’attività lavorativa, si utilizzano strumenti che sfuggono all’occhio dell’IT?
Si va dall’invio di posta elettronica attraverso le caselle personali all’uso di servizi cloud esterni, fino alla e-conference o alla condivisione di informazioni e file attraverso le sempre più diffuse app di messaggistica istantanea. È il fenomeno del cosiddetto “shadow IT”, l’insieme di applicazioni, piattaforme e strumenti digitali utilizzati da manager, dipendenti e persino da interi dipartimenti aziendali, in aggiunta o in sostituzione rispetto a quelli in dotazione all’organizzazione. Tecnologie che, appunto, agiscono “nell’ombra”, sfuggendo al controllo dell’azienda e, dunque, alle sue policy di sicurezza.
Sicurezza e compliance: i pericoli “dell’ombra”
Tutti gli strumenti informatici non autorizzati specificamente dall’IT, si collocano di fatto fuori dal perimetro di sicurezza disegnato dal dipartimento di Information Technology e dai responsabili della cybersecurity nell’ambito della rete aziendale. Sono canali spesso utilizzati anche da consulenti, professionisti esterni e clienti, che contribuiscono ad aumentare il livello di rischio.
Non essendo conosciuti dall’organizzazione, non sono protetti allo stesso modo dei dispositivi aziendali contro eventuali minacce. Anzi: possono diventare essi stessi porta d’accesso di virus o malware, che potrebbero compromettere il sistema informatico aziendale, causare la perdita di dati sensibili e rivelare all’esterno informazioni riservate.
L’ingresso di device e software esterni, non sottoposti alle stesse misure di sicurezza applicate alle tecnologie adottate dall’azienda, rende più difficile mantenere un livello di sicurezza informatica uniforme all’interno dell’organizzazione. Gli strumenti di shadow IT possono, inoltre, influire negativamente sul lavoro del dipendente, minandone la user-experience. È possibile, infatti, che entrino in conflitto con le applicazioni software utilizzate dagli altri dipendenti, influenzando negativamente le performance della rete aziendale.
Device e piattaforme “ombra” possono, infine, creare problemi di compliance, impedendo il corretto rispetto delle normative in materia di gestione dei dati. Quasi senza rendersene conto, l’utilizzo di hardware e software non autorizzati dall’azienda può, infatti, avere come conseguenza l’archiviazione di dati aziendali nell’account di storage cloud personale del dipendente, così come la sincronizzazione dei dati tra diversi indirizzi e-mail su più dispositivi personali e aziendali.
Come evitare i rischi dello shadow IT
Per evitare i rischi connessi al fenomeno dello shadow IT, occorre ripensare l’esperienza offerta dagli strumenti in uso all’azienda in termini di organizzazione e protezione, per evitare che l’attenzione alla security rappresenti un freno al business. Dietro al ricorso a strumenti alternativi, infatti, si nascondono spesso il desiderio o la necessità dei dipendenti di aggirare gli ostacoli incontrati nel portare a termine le proprie attività.
Se gli strumenti di collaborazione non sono efficienti o se gli elevati standard di sicurezza li rendono di fatto inutilizzabili, i dipartimenti aziendali cercano strade alternative. Lo stesso accade quando il reparto IT dell’azienda non è in grado di soddisfare in breve tempo le richieste del dipendente, che preferisce trovare una scorciatoia per aggirare le soluzioni ufficiali proposte dall’organizzazione.
È importante, quindi, che in azienda si condividano le buone pratiche per l’utilizzo di nuovi software o dispositivi e che l’organizzazione ascolti i dipendenti per conoscerne le esigenze e trovare le soluzioni adeguate, che uniscano sicurezza e facilità di utilizzo. Offrire prodotti di sincronizzazione e condivisione dei dati che possano essere gestiti e monitorati dai responsabili IT è il primo passo per arginare il ricorso a strumenti alternativi.
Affidarsi a una piattaforma di comunicazione sicura per il business può contribuire a modernizzare i sistemi IT, supportando al contempo i dipendenti in qualsiasi luogo, cioè anche al di fuori dei confini fisici dell’azienda. In questo modo è possibile tenere sotto controllo le informazioni, offrendo all’organizzazione una valida alternativa per gestire la proliferazione dei dati aziendali condivisi su servizi o piattaforme non sicure e che rientrano nella sfera dello shadow IT.