Shadow IT

Scopri che cos'è lo Shadow IT e come proteggere la tua azienda

L'espressione shadow IT fa riferimento all'abitudine diffusa all'interno delle organizzazioni, di utilizzare servizi cloud o loggarsi ai propri account privati tramite cloud aziendale, ad insaputa o senza il consenso del reparto IT interno all'azienda. Mentre in certi casi, lo shadow IT si rivela innocuo o addirittura utile, altre volte questa pratica può comportare dei rischi per la sicurezza informatica aziendale.

Shadow IT: consigli per la sicurezza

Per riuscire a farsi un'idea più precisa di chi stia utilizzando servizi shadow IT all'interno della vostra organizzazione e i rischi che ciò comporta per la sicurezza informatica, dovrete farvi una serie di domande:

  • Quali applicazioni cloud vengono utilizzate nella vostra organizzazione?
  • Utilizzate soluzioni SaaS? In che modo? Sono tutte necessarie?
  • Chi sta utilizzando una determinata applicazione?
  • Viene utilizzato dello shadow IT? Se sì, viene utilizzato nel rispetto del regolamento interno all'organizzazione?
  • I vostri dipendenti ne fanno un uso rischioso, tale da esporre la vostra organizzazione a minacce e vulnerabilità?
  • Le applicazioni SaaS in uso, permettono di tenere traccia dei file che vengono caricati e scaricati?
  • Quali di questi file violano le regole per la prevenzione della perdita dei dati (DLP)?
  • Chi è che sta caricando e scaricando tali file in violazione del DLP?

Rischi e problematiche per le aziende

Capita spesso che i dipendenti di un'organizzazione, utilizzino applicazioni cloud all'interno dell'ambiente aziendale. Magari hanno scoperto un'app molto utile che funziona alla grande, rende il lavoro più agevole e decidono di utilizzarla e condividerla coi colleghi. Ma non è ancora stata approvata dagli addetti IT dell'azienda perché nessuno lo ha ancora comunicato loro.

Quelli del reparto IT potrebbero mettere in conto che all'interno della propria organizzazione vengano utilizzate una ventina o trenta app di questo tipo, e tutto sommato ciò potrebbe essere considerato una cosa gestibile. Quello che non si aspettano è che, in realtà, quando vanno a fare un controllo approfondito sullo shadow IT, rimangono scioccati nel constatare che ne vengono utilizzate più di mille di queste applicazioni, di cui nessuno del dipartimento IT era a conoscenza prima del controllo. Ovviamente più applicazioni shadow vengono utilizzate all'interno della rete aziendale, maggiori saranno i rischi derivanti dall’utilizzo di questa pratica. E di certo non si può mettere in sicurezza qualcosa di cui non si è al corrente.

Minacce derivanti dallo Shadow IT Cloud

Nel mondo di oggi, dove tutto è sempre più basato sulla nuvola, il famoso cloud, regolamentare l’utilizzo delle applicazioni autorizzate e delle applicazioni shadow, non è mai stato così importante. Nelle aziende si contano mediamente 1000 applicazioni in uso all'interno del cloud aziendale. E alcune di esse soffrono di serie vulnerabilità potenzialmente in grado di mettere a rischio la sicurezza delle aziende stesse, in violazione delle policy aziendali e dei regolamenti interni.

Un esempio comune di Shadow IT Cloud è il caso in cui l'utente autorizza l'accesso OAuth ad applicazioni esterne. Ciò provoca la violazione delle regole sulla conservazione dei dati imposte ad esempio dal GDPR. Inoltre i cybercriminali si servono di estensioni di terze parti e tecniche di social engineering per spingere le persone a fornire accesso alle applicazioni SaaS aziendali approvate - come Office 365, G suite e Box - in cui tipicamente sono conservati dati aziendali sensibili.

Consigli per proteggersi dai rischi

Una soluzione come CASB vi permette di tenere sotto controllo in ogni momento tutte le applicazioni e i servizi cloud che stanno utilizzando i vostri dipendenti, offrendovi la possibilità di avere una visione globale del vostro ambiente cloud. Potrete vedere chi sta accedendo a ogni applicazione e ai dati sul cloud, e da quale dispositivo lo sta facendo.

La soluzione CASB cataloga ed elenca i servizi cloud (incluse le applicazioni OAuth di terze parti), valuta il livello di rischio e l'affidabilità complessiva di ogni servizio e gli assegna un punteggio. Fornisce inoltre il controllo automatico degli accessi, da e verso i servizi cloud, a seconda dell'indice di rischio ed altri parametri, come la categoria a cui appartiene l'applicazione e i permessi sull'utilizzo dei dati.