Shadow IT: quali sono i rischi? Come si controlla (e si evita)?

pittogramma Zerouno

Focus on

Shadow IT: quali sono i rischi? Come si controlla (e si evita)?

I rischi dello shadow IT sono tanti, ma un attento controllo delle applicazioni informatiche utilizzate informalmente in azienda permette di bilanciare sicurezza e innovazione

13 Mag 2020

di Tecnologie abilitanti per multicloud e digital workplace

Lo shadow IT (l’utilizzo non autorizzato di servizi informatici per il proprio lavoro) crea notevoli rischi potenziali per le imprese. Tuttavia, può anche stimolare la collaborazione, la creatività e l’innovazione tra gli utenti, il che va a vantaggio delle aziende in molti modi.

Ci sono vari motivi per cui un dipendente potrebbe utilizzare soluzioni informatiche non approvate dal dipartimento IT aziendale, ma il motivo più comune è l’inadeguatezza delle soluzioni ufficiali proposte dall’organizzazione. Ad esempio, l’infrastruttura IT aziendale potrebbe essere lenta o incapace di soddisfare le esigenze di un dipendente particolarmente intraprendente o che deve affrontare nuove sfide nel suo lavoro quotidiano.

Il problema dell’utilizzo in azienda di applicazioni o servizi informatici non autorizzati è aggravato dal fatto che gli utenti abituali spesso non sono consapevoli dei rischi dell’IT ombra.

I rischi dello shadow IT

Garantire la sicurezza dei sistemi e dei dati è una sfida particolarmente impegnativa per ogni reparto IT, che non ammette disattenzione alcuna.

L’uso incontrollato di dispositivi, applicazioni e servizi non autorizzati può portare alla proliferazione all’interno dell’azienda di controlli di sicurezza gestiti in modo non uniforme – o addirittura inesistenti.

Ciò può far aumentare il rischio di incorrere in costosi e/o dannosi eventi di data breach, violazioni delle norme vigenti e perdite di dati. In settori altamente regolamentati, come quello finanziario o farmaceutico, le violazioni della sicurezza o i controlli inadeguati dei dati possono portare a pesanti multe e persino a sanzioni penali.

Il lato buono dello shadow IT

Alcuni manager aziendali sono dell’opinione esattamente opposta, più frequentemente quando la sicurezza e la protezione dei dati non ricade direttamente all’interno delle loro responsabilità.

Dal loro punto di vista, applicazioni e servizi improvvisati, non ufficiali e immediatamente disponibili senza seguire alcuna procedura di approvvigionamento formale, sono il mezzo attraverso il quale i dipendenti possono comunicare tra loro in modo più efficace e lavorare insieme in modo più creativo e con successo.

C’è addirittura chi si spinge ad assegnare premi e riconoscimenti per i migliori utilizzi dell’IT ombra.

Lo shadow IT può includere qualsiasi cosa, dai dispositivi personali come smartphone e tablet all’utilizzo individuale o dipartimentale di risorse basate sul cloud, che si tratti di social come Facebook, LinkedIn e Slack, o servizi come Box, le varie applicazioni di Google e Salesforce.com, oppure uno qualsiasi delle migliaia di servizi cloud più o meno noti.

Shadow IT: eradicazione o convivenza?

Come può un’azienda individuare se lo shadow IT è presente al suo interno? E in tal caso, come raccoglierne i benefici riducendo al minimo l’esposizione ai rischi?

Ogni azienda è diversa dall’altra. Tuttavia, nella maggior parte dei casi non è troppo conveniente – o si rivela una lotta contro i mulini a vento – eradicare lo shadow IT dalla propria organizzazione, in quanto si correrebbe il rischio di ostacolare l’innovazione.

Si tratta quindi di trovare un equilibrio tra due punti di vista ampiamente divergenti: il giusto compromesso tra controllo centralizzato e creatività distribuita. Molto dipenderà dalle esigenze e dalla cultura della singola azienda, compreso il suo desiderio di innovazione e la tolleranza generale per il rischio.

Infatti, di per sé lo Shadow IT non rappresenta un male assoluto. Al contrario, lo si può valorizzare positivamente come un feedback in tempo reale proveniente dalla propria organizzazione, che ci dice che c’è un problema nel modo in cui si sta implementando la tecnologia in azienda.

I dipendenti sono sempre alla ricerca del modo più efficiente per lavorare. Se sentono la necessità di utilizzare le proprie app, ciò significa che l’azienda non sta probabilmente fornendo loro gli strumenti giusti.

Tuttavia, qualunque sia il livello di shadow IT con cui un’impresa è disposta a convivere, la prima cosa da fare è chiarirsi le idee su quali tipi di tecnologie informatiche ombra vengono effettivamente utilizzate all’interno della propria organizzazione.

Una volta che un’organizzazione è riuscita a fare un inventario a livello aziendale di chi sta usando cosa, dovrebbe poi avviare una conversazione con i dipendenti sul perché stanno scegliendo questi strumenti non ufficiali e quali sono i benefici percepiti.

Da qui, un’azienda può prendere decisioni su quali tipi di soluzioni shadow IT sono accettabili e in quali circostanze, indicando semplici regole sulle buone pratiche di sicurezza da seguire.

Il cloud rappresenta una buona opportunità per ridurre i rischi dello Shadow IT, in quanto consente di rispondere rapidamente all’esigenza di un’organizzazione in modo flessibile, ma anche controllato.

New call-to-action

T

Tecnologie abilitanti per multicloud e digital workplace

Articolo 1 di 4