Come gestire e mitigare i rischi
di Shadow IT nella vostra azienda

Lo Shadow IT, ovvero le applicazioni non autorizzate che si nascondono nel vostro portafoglio aziendale, potrebbe esporre la vostra azienda a rischi nascosti. Individuatelo subito, prima che vi riservi costose sorprese.

È facile trascurare lo shadow IT, che comprende software e servizi cloud non autorizzati che i dipendenti adottano senza l'approvazione dell'IT. Ma più questi strumenti passano inosservati, più diventano pericolosi.

Molti dipendenti si iscrivono a queste app senza chiedere l'autorizzazione, pensando che aumenteranno la produttività o serviranno meglio le loro esigenze. Sebbene questo possa funzionare a breve termine, apre la porta a seri rischi per la sicurezza.

Questi strumenti non approvati non vengono monitorati per individuare eventuali vulnerabilità o verificati rispetto ai protocolli di sicurezza aziendali. Di conseguenza, diventano bersagli privilegiati per le violazioni dei dati e gli attacchi informatici.

Infatti, un recente Gestione dei servizi di attacco ha rilevato che circa 70% delle organizzazioni hanno subito incidenti di sicurezza legati a tecnologie non autorizzate. In questo articolo analizzeremo esempi comuni di shadow IT, i rischi connessi e come gestirli in modo efficace.

Che cos'è lo Shadow IT?

Lo Shadow IT si verifica quando i dipendenti utilizzano tecnologie non approvate - software, dispositivi o servizi - senza il consenso dell'IT. Spesso si tratta di strumenti SaaS adottati autonomamente per semplificare il lavoro.

Sebbene queste app possano aumentare la produttività nel breve periodo, comportano gravi svantaggi: lacune nella sicurezza, rischi di conformità e costi nascosti dovuti alla mancanza di supervisione da parte dell'IT.

Anche se con buone intenzioni, i dipendenti che si rivolgono a strumenti esterni espongono inconsapevolmente l'azienda a violazioni dei dati e della conformità, lavorando al di fuori delle misure di sicurezza approvate.

In seguito, esamineremo gli esempi più comuni di shadow IT che spesso passano inosservati negli ambienti di lavoro odierni.

Tipi comuni di Shadow IT

Lo Shadow IT rientra tipicamente in tre categorie principali: software non autorizzato, servizi cloud non autorizzati e dispositivi personali che si connettono alle reti aziendali. Queste sono le aree in cui i reparti IT spesso perdono visibilità, aumentando il rischio di violazioni dei dati e della conformità.

Oltre a queste forme comuni, le piattaforme di messaggistica e di archiviazione cloud personali stanno diventando sempre più diffuse, poiché i dipendenti cercano modi rapidi e convenienti per collaborare e condividere i file. 

Con l'aumento di lavoro a distanzaÈ ancora più facile che il personale introduca questi strumenti, aumentando le possibilità che i dati sensibili finiscano in luoghi non protetti, al di fuori del controllo dell'IT.

Le organizzazioni che non dispongono di una solida governance IT sono particolarmente vulnerabili, in quanto i dipendenti si rivolgono a queste app non approvate per ottenere maggiore flessibilità nei loro flussi di lavoro. L'identificazione e la gestione di queste minacce dell'IT ombra è il primo passo per ridurne i rischi.

Rischi dell'IT ombra da non ignorare

Con l'aumento delle applicazioni basate sul cloud, il software non approvato sta diventando una preoccupazione crescente per le organizzazioni di tutte le dimensioni. Infatti, Gartner ha riferito che a livello globale La spesa SaaS ha superato i $195 miliardi di euro nel 2023, con un aumento di 16,7% rispetto all'anno precedente.

Questo crescente affidamento ai servizi cloud evidenzia l'urgente necessità di affrontare i rischi posti dalle applicazioni non autorizzate e non gestite. Man mano che un numero sempre maggiore di dipendenti si rivolge a questi strumenti per le attività quotidiane, le possibilità di vulnerabilità della sicurezza e di inefficienze finanziarie non fanno che aumentare.

Abbiamo identificato cinque rischi principali legati allo shadow IT che ogni organizzazione dovrebbe conoscere. Questi rischi possono compromettere gravemente la sicurezza dei dati, la conformità e la gestione del budget.

Rischio #1: aumento del potenziale di violazione dei dati

Uno dei rischi più gravi dello shadow IT è l'aumento delle possibilità di violazione dei dati. Quando i dipendenti utilizzano applicazioni non approvate, spesso eludono le misure di sicurezza stabilite dall'IT.

Nel 2023, il il costo medio di una violazione di dati ha raggiunto $9,44 milioni di euroSecondo IBM, molti incidenti sono riconducibili a software non autorizzati e non verificati, privi di un'adeguata sicurezza.

Queste app non autorizzate possono esporre agli hacker dati aziendali sensibili come le informazioni di identificazione personale (PII) o la proprietà intellettuale. Senza protezioni come il single sign-on (SSO) o l'autenticazione a più fattori (MFA), questi strumenti diventano facili bersagli per i cyberattacchi.

Rischio #2: diminuzione della conformità alle normative su dati e privacy 

Per i settori regolamentati da leggi severe sulla privacy dei dati come il GDPR, l'HIPAA o il California Consumer Privacy Act (CCPA), l'utilizzo di software non approvato può rappresentare un grave rischio di conformità. I dipendenti potrebbero inconsapevolmente archiviare informazioni sensibili su servizi cloud non autorizzati, violando le normative ed esponendo l'azienda a multe che possono raggiungere i milioni.

Secondo Gartner, le violazioni della conformità legate ad applicazioni SaaS non approvate diventeranno sempre più comuni, poiché le aziende adottano sempre più spesso strumenti basati sul cloud senza la supervisione dell'IT. 

Regolamenti come il GDPR richiedono piena visibilità e controllo sulle modalità di raccolta, archiviazione ed elaborazione dei dati personali. Le app non autorizzate mettono a rischio questo controllo, rendendo più difficile per le aziende rimanere conformi ed evitare costose sanzioni.

Rischio #3: Costi non controllati e non monitorati

IDC stima che 70% di tutti gli acquisti SaaS vengono effettuate al di fuori dei budget IT. Questo cambiamento significa che un numero maggiore di dipartimenti e dipendenti si procura e spende il software per conto proprio, alimentando un aumento della tecnologia non autorizzata.

Il risultato? Le organizzazioni spesso pagano per servizi ridondanti o abbonamenti che passano inosservati. Nelle aziende con più di 50 dipendenti, è comune che diversi reparti si abbonino inconsapevolmente allo stesso software, causando inutili duplicazioni di costi. 

Senza un sistema centralizzato per gestione dei fornitori (B2B SaaS)Il monitoraggio degli abbonamenti, delle date di rinnovo e dell'utilizzo effettivo diventa difficile, con conseguente spreco di risorse e budget software gonfiati.

Rischio #4: aumento dei costi a causa di spese duplicate

La duplicazione delle spese è un effetto collaterale comune dell'uso non autorizzato del software. Quando diversi reparti o dipendenti acquistano gli stessi strumenti in modo indipendente, l'azienda perde sconti sui volumi e la possibilità di negoziare contratti di livello aziendale.

Questa sovrapposizione si verifica spesso con strumenti come le piattaforme di comunicazione, il software di gestione dei progetti o lo storage in cloud, dove i dipendenti optano per le loro soluzioni preferite piuttosto che attenersi allo stack approvato dall'organizzazione.

Oltre alla spesa inefficiente per il software, questo può causare attriti tra i team che utilizzano strumenti diversi, rendendo la collaborazione più difficile e meno efficiente.

Rischio #5: rinnovi automatici non pianificati 

Molti contratti SaaS prevedono clausole di rinnovo automatico. Senza un'adeguata supervisione, le applicazioni non approvate possono rinnovarsi automaticamente, accumulando costi imprevisti.

In media, un'azienda deve affrontare più rinnovi al mese e, quando si aggiungono strumenti non autorizzati, le spese possono rapidamente sfuggire di mano. Se l'IT non è a conoscenza di questi rinnovi, è impossibile valutare se gli strumenti sono ancora necessari o rilevanti per l'azienda.

Una volta che i responsabili IT hanno compreso i rischi della tecnologia non autorizzata, possono iniziare ad affrontare il problema. 

Esempi di Shadow IT pericolosi

Lo Shadow IT può assumere diverse forme, dal software non approvato ai dispositivi personali utilizzati per le attività lavorative. Mentre alcuni casi possono sembrare innocui, altri possono esporre l'organizzazione a gravi rischi per la sicurezza, a violazioni dei dati e a ricadute finanziarie.

Ecco alcuni esempi reali che illustrano i pericoli della tecnologia non autorizzata e il modo in cui può minare gli sforzi di sicurezza e conformità di un'organizzazione.

Applicazioni Shadow IT comunemente vulnerabili

Alcune delle applicazioni non autorizzate più vulnerabili e comunemente utilizzate includono:

• Applicazioni di produttività: Strumenti come Slack, Asana e Trello possono esporre le comunicazioni sensibili a minacce alla sicurezza se utilizzati senza la supervisione dell'IT.
• Archiviazione in cloud: Servizi non approvati come Google Drive, Dropbox e OneDrive possono eludere le misure di sicurezza, causando una potenziale fuga di dati.
• Strumenti di comunicazione: Piattaforme come WhatsApp e account di posta elettronica personali spesso non rispettano i protocolli di sicurezza aziendali, creando lacune significative.
• Strumenti di gestione del progetto: Applicazioni come Monday.com e Jira possono memorizzare dati di progetto sensibili, che possono essere protetti in modo inadeguato al di fuori dello stack tecnologico approvato.
• Dispositivi personali: I computer portatili, gli smartphone e i tablet a cui si accede senza l'autorizzazione dell'azienda comportano seri rischi se non vengono gestiti secondo le politiche di sicurezza dell'organizzazione.

Se da un lato queste applicazioni possono aumentare la produttività, dall'altro il loro utilizzo non gestito rappresenta una minaccia sostanziale per le operazioni aziendali, come evidenziato dai seguenti esempi reali.

Esempi reali di rischi legati allo Shadow IT

La violazione dei dati di Truecaller

• Vittime: 47,5 milioni di utenti
• Problema: Una vulnerabilità dell'applicazione consentiva ai criminali informatici di modificare i profili degli utenti, inserendo link dannosi che eseguivano script malware senza il consenso dell'utente.
• Risultato: Le informazioni di identificazione personale (PII), tra cui nomi, indirizzi e-mail e numeri di telefono, sono state vendute sul dark web, esponendo gli utenti a potenziali attacchi di phishing e furti di identità.

Questo caso sottolinea i pericoli delle app non autorizzate che gestiscono le informazioni sensibili dei clienti. Senza un controllo da parte dell'IT, app come Truecaller possono introdurre vulnerabilità che portano a gravi violazioni dei dati.

Violazione delle credenziali di Docker

• Vittime: 190.000 sviluppatori
• Problema: Una violazione dei dati ha permesso agli hacker di rubare le credenziali degli utenti, consentendo potenzialmente ai criminali informatici di alterare o compromettere le applicazioni costruite sulla piattaforma.
• Risultato: La violazione mette a rischio i dati degli sviluppatori e le applicazioni da loro create, con possibili effetti a cascata sugli utenti finali.

Questa violazione evidenzia come le applicazioni non autorizzate possano esistere anche in ambienti di sviluppo dove la sicurezza dovrebbe essere una priorità assoluta. Senza il monitoraggio IT, gli strumenti di sviluppo come Docker possono portare a vulnerabilità su larga scala.

La storica violazione dei dati di Yahoo

• Vittime: 3 miliardi di utenti
• Problema: Una serie di violazioni di dati tra il 2012 e il 2016 ha esposto dati personali a causa di attacchi di phishing e pratiche di sicurezza inadeguate.
• Risultato: Yahoo ha dovuto accontentarsi di $117,5 milioni e ha perso la sua posizione di fornitore leader di servizi web, dimostrando come le vulnerabilità possano contribuire a danni finanziari e di reputazione a lungo termine.

In questo caso, la debolezza dei protocolli di sicurezza ha permesso ai criminali informatici di sfruttare le vulnerabilità dell'IT ombra, portando a una delle più grandi violazioni di dati della storia.

I cinque tipi più pericolosi di Shadow IT

Al di là di questi esempi reali, il software non approvato presenta rischi in diverse aree chiave:

• Gestione delle vulnerabilità. Le applicazioni non approvate spesso non dispongono di un'adeguata scansione delle vulnerabilità e di una gestione delle patch. Senza la supervisione dell'IT, queste applicazioni possono perdere gli aggiornamenti critici della sicurezza, diventando così bersagli privilegiati dei criminali informatici.
• Gestione dell'identità e dell'accesso (IAM). Il software non autorizzato può portare ad account utente non gestiti, compresi gli account orfani di ex dipendenti. Questi account non autorizzati creano opportunità di accesso non autorizzato, aumentando il rischio di minacce interne e di violazioni esterne.
• Gestione degli accessi privilegiati (PAM). Le app non conformi possono concedere ai dipendenti un accesso privilegiato all'insaputa dell'IT. Ciò può comportare un eccesso di autorizzazioni per utenti che non ne hanno bisogno, aumentando la probabilità di violazioni della sicurezza.
• Perdita di dati e violazioni della conformità. Molte applicazioni non autorizzate non rispettano le politiche di sicurezza aziendali o gli standard normativi come GDPR e HIPAA. Questo può portare a una gestione errata dei dati sensibili, con conseguenti multe, perdita di dati e danni alla reputazione.
• Rischi da rinnovo automatico. Molte applicazioni non autorizzate sono dotate di funzioni di rinnovo automatico che possono passare inosservate, generando costi inutili. Senza la supervisione dell'IT, le aziende possono continuare a pagare per servizi che non vengono più utilizzati, prosciugando preziose risorse finanziarie.

Come individuare e prevenire lo Shadow IT

Individuare e gestire le tecnologie non conformi è fondamentale per mantenere i dati aziendali sicuri e conformi. Gli strumenti non approvati possono facilmente infiltrarsi nelle operazioni quotidiane, causando lacune nella sicurezza e sprechi finanziari. Ecco come identificare e prevenire il software non autorizzato nella vostra organizzazione.

Verifiche periodiche del software. Iniziate con la verifica di tutti i software utilizzati in azienda. Questo processo aiuta a individuare eventuali applicazioni non autorizzate che i dipendenti potrebbero aver scaricato senza l'approvazione dell'IT. Le revisioni periodiche mantengono aggiornato l'elenco degli strumenti, consentendo ai team IT di tenere traccia di tutte le applicazioni in uso.

Educare e coinvolgere i dipendenti. I dipendenti si rivolgono spesso ad applicazioni non autorizzate quando ritengono che gli strumenti approvati dall'azienda non soddisfino le loro esigenze. È essenziale educare il personale sui rischi del software non approvato. Assicuratevi che comprendano le conseguenze delle violazioni dei dati e della conformità e incoraggiateli a consultarsi con l'IT prima di adottare nuovi strumenti. Una comunicazione chiara può ridurre significativamente l'impulso a cercare soluzioni non approvate.

Utilizzare gli strumenti di gestione SaaS. Software di gestione B2B SaaS fornisce visibilità in tempo reale su tutte le applicazioni utilizzate dall'azienda. Strumenti come Spendbase for Chrome tengono traccia dell'utilizzo delle app ogni volta che i dipendenti accedono con i loro account aziendali, segnalando immediatamente i software non autorizzati. In questo modo i team IT possono gestire le tecnologie non autorizzate nel momento in cui si presentano, prevenendo i rischi prima che si aggravino. 

Spendbase offre anche informazioni sull'adozione delle app, aiutandovi a decidere se rinnovare o cancellare gli abbonamenti in base ai dati di utilizzo effettivi.

Effettuando controlli regolari, promuovendo una comunicazione aperta con i dipendenti e sfruttando strumenti come Spendbase per Chrome, è possibile individuare e prevenire efficacemente l'IT ombra, garantendo alla vostra azienda sicurezza e conformità.