Cybersecurity, Gestione IT

Perché lo Shadow IT è un problema crescente per gli MSP?

07 Luglio 2022

Nel 2022 gli MSP affrontano, ogni giorno, nuove sfide legate all’information security e alla cybersecurity: come la comparsa di nuovi ransomware, le attività di phishing o i problemi legati alla sicurezza degli smartworker.

Tuttavia, lo Shadow IT potrebbe presto diventare una delle minacce più grandi.

L’utilizzo di sistemi IT, di device e di tutte quelle risorse senza l’autorizzazione del dipartimento IT aziendale, può far correre dei rischi agli MSP e ai loro clienti.

Le strategie di mitigazione giuste, però, possono aiutare a identificare i servizi presenti sulle reti aziendali, prevenire l’uso improprio delle risorse IT e ridurre le vulnerabilità.

Shadow IT

I rischi provenienti dallo Shadow IT

Shadow IT” è un termine generico che si riferisce a qualsiasi sistema non distribuito o gestito dal dipartimento IT o dal fornitore IT aziendale. Generalmente, questi “servizi ombra” vengono utilizzati dai dipendenti che vogliono aggirare lacune e limiti presenti nei sistemi informativi centrali dell’azienda nella quale lavorano.

Secondo i dati Cisco, circa l’80% dei dipendenti adopera software e sistemi informativi non controllati e l’83% del personale IT ammette di fare lo stesso. Spesso, l’uso della shadow information technology è molto esteso, solo l’8% delle aziende afferma di conoscere a pieno la portata del proprio sistema interno.

Di per sé, la visibilità è già una vera sfida per i provider IT aziendali, ma con la presenza di sistemi shadow, l’identificazione e la protezione di dispositivi, servizi e risorse in rete, è ancora più difficile. Questi sistemi sono una vera minaccia per le reti, e possono far diventare dipendenti e enduser papabili bersagli degli hacker.

Per le aziende, device e tecnologie shadow significano anche costi aggiuntivi, incoerenze nei workflow e nei processi aziendali e rendono più difficile l’implementazione di nuove tecnologie.

Inoltre, causano problemi ai sistemi informativi e ostacolano la produttività dei dipendenti. Se un gran numero di lavoratori utilizza applicazioni e servizi non autorizzati, potrebbe essere un segno che l’azienda, o l’MSP, non sia in grado di fornire gli strumenti necessari per lavorare.

Proprio per questo motivo, gli IT provider aziendali stanno cercando di gestirli e di limitarli. Per ridurre i rischi alla sicurezza e indentificare le potenziali lacune, infatti, ne monitorano l’utilizzo da parte dei dipendenti.

Esempi comuni di Shadow IT

Alcuni degli esempi di Shadow IT che vi mostreremo variano da business a business, ma molte aziende ne riconosceranno alcuni, in quanto sicuramente utilizzati dai propri dipendenti.

Questi sistemi spesso sembrano innocui, come le app di produttività di terze parti o gli add-on installati senza approvazione, in realtà mettono a rischio il network e la cybersecurity dell’azienda.

Ecco alcuni degli esempi di Shadow IT più comuni:

  • usare indirizzi email personali;
  • dispositivi personali o BYOD non autorizzati;
  • hard disk Flash e USB estranee;
  • app di terze parti non autorizzate.

In genere, le app di terze parti includono la produttività, lo storage e le app di comunicazione che facilitano il lavoro, come Skype, Dropbox, Trello, Asana o strumenti simili.

I personal device come gli smartphone e i laptop, nonché i dispositivi smart o IoT, come gli assistenti, le fotocamere e i “dispositivi indossabili”, possono far correre grandi rischi alla rete aziendale.  

Le imprese e gli MSP possono difendere solo servizi e dispositivi di cui conoscono l’esistenza. Ottenere la piena visibilità dei prodotti è di per sé difficile, figuriamoci monitorare anche tutti i personal device.

Inoltre, i sistemi shadow rendono i test di sicurezza e la gestione della configurazione molto più difficile.

Gli enduser dei propri device personali, come smartphone o oggetti IoT connessi all’ufficio, potrebbero anche non aggiornarli e non rispettare le normative del settore che un’azienda è tenuta a fare. In ogni caso, mantenere i dispositivi IoT sicuri è una vera sfida, soprattutto quando i propri dipendenti faticano a seguire le best practice per proteggersi dagli attacchi.

Gestire il problema Shadow IT

Le aziende e i fornitori di servizi IT gestiti dovrebbero adottare misure proattive per affrontare la crescita dei sistemi shadow e impedire ai dipendenti di collegare nuovi dispositivi o servizi alla rete aziendale.

Gli MSP che desiderano gestire i sistemi shadow dovrebbero monitorare costantemente le App e i device presenti sulle reti. Un audit interno o una revisione dei sistemi attualmente in uso, per esempio, possono aiutare il fornitore IT a identificare possibili problemi e a comprendere meglio la situazione in rete.

Come prevenire l’insorgere di ulteriori sistemi shadow? Con politiche, procedure e nuove linee guida aziendali per i dipendenti. Con una politica BYOD (Bring Your Own Device) chiara e semplice, ad esempio, si possono comunicare ai dipendenti i dispositivi utilizzabili a lavoro, nonché le misure che dovrebbero adottare per farlo in modo sicuro.

Senza una di queste politiche continueranno a collegare i propri dispositivi alla rete e a non rendersi conto di contribuire a questo gigantesco problema: lo Shadow IT.

Cosa possono fare gli MSP per gestire il problema

Gli MSP possono impedire ai sistemi shadow di rendere le reti client pericolose. Attraverso pratiche semplici, come il monitoraggio e gli audit di rete, combinati a politiche di sicurezza più chiare, si può davvero aiutare le aziende a ridurre l’emergere di servizi shadow.

Con l’aumento del numero medio di dispositivi personali e degli strumenti di produttività SaaS disponibili, i sistemi shadow potrebbero diventare un problema ancora più preoccupante. Bisogna agire ora per aiutare gli MSP a gestire i sistemi già esistenti e a prepararsi alle sfide future.

Fonte: Blog di IT Chronicles

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)
guest
0 Commenti
Inline Feedbacks
Guarda tutti i commenti