Il tema dello Shadow IT sta diventando sempre più di particolare importanza nell’ambito della gestione della tecnologia a livello aziendale. Vediamo gli spunti che Cesare Di Lucchio, SOC Manager di Axitea, azienda multinazionale operante nel campo della sicurezza fisica e informatica, offre per cercare di mitigare questo problema.
Cos’è lo Shadow IT?
Con l’espressione Shadow IT si indica l’utilizzo di applicazioni, dispositivi e servizi cloud pubblici al di fuori delle politiche di sicurezza aziendali. Queste azioni sfuggono ai tradizionali processi di approvvigionamento e approvazione di reparti IT, e presentano una minaccia per la sicurezza delle aziende. Dato l’incessante aumento dell’uso di dispositivi personali da parte dei dipendenti e l’adozione sempre più diffusa di servizi basati su tecnologie cloud, il fenomeno dello Shadow IT è in costante crescita.
Da un recente studio di Kaspersky è emerso che l’11% delle aziende a livello globale ha subito incidenti informatici causati dall’utilizzo non autorizzato di applicazioni e dispositivi da parte dei propri dipendenti. Il settore più colpito è quello dell’IT, seguito da quello delle infrastrutture critiche e dalle società di trasporto e logistica.
I fattori di rischio: le applicazioni e i dispositivi non autorizzati
Gli incidenti di sicurezza sono spesso causati da dipendenti che utilizzano il loro indirizzo email personale per gestire il lavoro, o che salvano i dati sensibili provenienti dalla loro azienda nel proprio cloud. Altre fonti di rischio sono le applicazioni di produttività (Trello, Asana, Monday), di messaggistica (Teams, Slack), di cloud storage (Dropbox, Onedrive, Google Drive) e di videoconferenza (Zoom, Skype, WebEx). Nonostante si tratti di azioni compiute in buona fede, l’utilizzo di questi servizi, se non opportunamente monitorato, presenta una minaccia per la privacy dei segreti aziendali e quella dei loro dipendenti.
La gestione aziendale è davvero efficace solo se è completa, perciò tutti gli strumenti utilizzati dai dipendenti devono essere tenuti sotto osservazione, pure quelli non ufficiali. Per affrontare il problema dello Shadow IT è quindi fondamentale offrire ai dipendenti l’infrastruttura IT della quale hanno bisogno per svolgere il loro lavoro. Ciò significa mettere a disposizione applicazioni sicure per gestire le proprie attività e servizi di archiviazione protetti, oltre al far in modo che le informazioni passino solamente da dispositivi autorizzati.
Soluzioni per mitigare il problema dello Shadow IT
Fornire un’infrastruttura ad hoc però non basta. È inoltre necessario limitare l’uso o l’accesso ad applicazioni non autorizzate tramite tecnologie quali Endpoint Protection Platform (EPP), che consentono il controllo del software utilizzato e la gestione di dispositivi esterni, e Secure Access Service Edge (SASE), che identificano e bloccano l’accesso a specifici servizi DNS non autorizzati.
MSSP: cosa sono e come funzionano
Un altro modo per garantire monitoraggio completo e costante è quello di utilizzare un Managed Security Service Provider (MSSP). Gli MSSP possono fornire licenze, configurazioni di sistema e servizi di sicurezza come Endpoint Detection and Response, Security Information and Event Management, SASE e Network Detection and Response. Questi servizi permettono di tenere sotto controllo i log provenienti dalle diverse piattaforme, notificando anomalie e schemi d’azione sospetti in maniera automatica.
A differenza dei sistemi di protezione basati su agenti, che presuppongono la conoscenza precisa degli asset da proteggere, un MSSP, attraverso servizi di Asset Discovery e Vulnerability Management può identificare tutti i singoli componenti da proteggere e fornire aggiornamenti in tempo reale al cliente.
È quindi vantaggioso e conveniente affidare la gestione della sicurezza dell’infrastruttura IT di un’azienda ad un soggetto terzo specializzato, come Axitea. Infatti, un’agenzia specializzata ha sia la competenza tecnologica per garantire un servizio robusto ed efficiente, sia la visione d’insieme per realizzare un monitoraggio efficace, sulla base del quale poter prendere eventuali misure correttive.
- Cervelli, Riccardo (Autore)