Secondo un recente studio, le aziende rischiano di essere vittime di incidenti informatici a causa dell’utilizzo dello shadow IT da parte dei loro dipendenti, a fronte della crescente tendenza alla distribuzione della workforce. Secondo una ricerca di Kaspersky, il 77% delle aziende ha subito incidenti informatici negli ultimi due anni e l’11% di questi è stato causato dall’uso dello shadow IT.
Il recente studio di Kaspersky ha dimostrato che, negli ultimi due anni, l’11% delle aziende di tutto il mondo ha subito incidenti informatici dovuti all’uso di dispositivi IT non autorizzati da parte dei dipendenti con conseguenze diverse, che si tratti della fuga di dati riservati o di danni tangibili all’azienda.
Quindi, cos’è lo shadow IT?
Lo shadow IT è la parte dell’infrastruttura IT aziendale che non è di competenza dei dipartimenti IT e di Information Security, ad esempio applicazioni, dispositivi, servizi di cloud pubblico e così via che non vengono utilizzate in conformità alle politicy di sicurezza delle informazioni. L’implementazione e l’utilizzo dello shadow IT possono portare a gravi conseguenze negative per le aziende. Lo studio di Kaspersky ha rivelato che il settore IT è stato il più colpito, subendo il 16% degli incidenti informatici dovuti all’uso non autorizzato dello shadow IT nel 2022 e 2023. Altri settori colpiti dal problema sono le infrastrutture critiche e le società di trasporto e logistica, che hanno registrato il 13%.
Il recente caso di Okta ha dimostrato chiaramente i pericoli dell’utilizzo dello shadow IT. Quest’anno, un dipendente che ha utilizzato un account personale di Google su un dispositivo aziendale ha involontariamente permesso agli attori delle minacce di ottenere un accesso non autorizzato al sistema di assistenza clienti di Okta. Da qui sono riusciti a sottrarre i file contenenti i token di sessione che potevano essere utilizzati per condurre attacchi. Secondo il report di Okta, questo incidente informatico è durato 20 giorni e ha avuto un impatto su 134 clienti dell’azienda.
Delineare le “ombre sfuocate”
Quando si cerca lo shadow IT, cosa bisogna quindi controllare? Può trattarsi di applicazioni non autorizzate installate sui PC dei dipendenti, oppure di unità flash, smartphone, computer portatili e così via.
Esistono anche opzioni meno conosciute: un esempio è il caso dei dispositivi hardware dismessi dopo la modernizzazione o la riorganizzazione dell’infrastruttura IT, che può essere utilizzato “in the shadow” da altri dipendenti con la possibilità di creare altre vulnerabilità che prima o poi si insinueranno nell’infrastruttura aziendale.
Per quanto riguarda gli specialisti e i programmatori IT, come spesso accade, possono creare da soli programmi su misura per ottimizzare il lavoro all’interno di un team/reparto o per risolvere problemi interni, rendendo il lavoro più veloce ed efficiente. Tuttavia, non sempre chiedono al dipartimento di sicurezza informatica l’autorizzazione per l’uso di questi programmi, e questo potrebbe avere conseguenze disastrose.
“I dipendenti che utilizzano applicazioni, dispositivi o servizi cloud non approvati dal dipartimento IT credono che, se provengono da fornitori affidabili, dovrebbero essere protetti e sicuri. Tuttavia, nei “termini e condizioni” i fornitori terzi utilizzano il cosiddetto “modello di responsabilità condivisa”. Questo modello prevede che, scegliendo “Accetto”, gli utenti confermino che eseguiranno aggiornamenti regolari di questo software e che si assumeranno la responsabilità di eventuali incidenti legati al suo utilizzo (comprese la perdita di dati aziendali). Ma in fin dei conti le aziende hanno bisogno di strumenti per controllare lo shadow IT quando viene utilizzato dai dipendenti. Kaspersky Endpoint Security for Business e Kaspersky Endpoint Security Cloud consentono di monitorare applicazioni, Web e dispositivi, limitando l’uso delle risorse non richieste. Il dipartimento di sicurezza informatica dovrà ovviamente effettuare scansioni regolari della rete interna dell’azienda per evitare l’uso non autorizzano di hardware, servizi e applicazioni software non controllati e non sicuri”, ha commentato Alexey Vovk, Head of Information Security di Kaspersky.
In generale, la situazione dell’utilizzo diffuso dello shadow IT è complicata dal fatto che molte organizzazioni non hanno previsto sanzioni ufficiali a carico dei loro dipendenti in caso di una violazione delle policy IT in materia. Inoltre, si presume che lo shadow IT possa diventare una delle principali minacce alla sicurezza informatica aziendale entro il 2025. La buona notizia è che la motivazione che spinge i dipendenti a utilizzare lo shadow IT non è sempre di natura dolosa, anzi più spesso è il contrario. In molti casi, i dipendenti utilizzano questa opzione per aumentare le funzionalità dei prodotti che usano al lavoro, perché ritengono che i software autorizzati siano insufficienti o semplicemente preferiscono il programma più familiare del loro computer personale.
Per ridurre i rischi legati all’utilizzo dello shadow IT in un’organizzazione, Kaspersky consiglia di:
- Garantire la cooperazione tra l’azienda e i reparti IT per discutere regolarmente le nuove esigenze aziendali, ottenere feedback sui servizi IT utilizzati, al fine di crearne di nuovi e migliorare quelli esistenti necessari all’azienda.
- Eseguire regolarmente un inventario delle risorse IT e scansionare la rete interna per evitare la comparsa di hardware e servizi non controllati.
- Quando si tratta di dispositivi personali dei dipendenti, è meglio dare agli utenti un accesso il più possibile limitato alle sole risorse necessarie per svolgere il proprio lavoro. È importante utilizzare un sistema di controllo che consenta l’accesso alla rete solo ai dispositivi autorizzati.
- Svolgere programmi di formazione per migliorare la conoscenza della sicurezza delle informazioni da parte dei dipendenti. Per aumentare l’awareness dei dipendenti, consigliamo il programma di formazione Kaspersky Automated Security Awareness Platform, che fornisce consigli su un corretto comportamento su Internet.
- Investire in programmi di formazione pertinenti per gli specialisti della sicurezza IT. La formazione Kaspersky Cybersecurity for IT Online aiuta a creare best practice facili ma efficaci relative alla sicurezza IT e semplici scenari di risposta agli incidenti per gli amministratori IT generalisti, mentre Kaspersky Expert Training fornisce al team di sicurezza le conoscenze e le competenze più recenti in materia di gestione e mitigazione delle minacce.
- Utilizzare prodotti e soluzioni che consentono di controllare l’uso dello shadow IT all’interno dell’organizzazione. Kaspersky Endpoint Security for Business e Kaspersky Endpoint Security Cloud offrono controlli su applicazioni, Web e dispositivi che limitano l’uso di app, siti Web e periferiche non richieste, riducendo in modo significativo i rischi di infezione anche nei casi in cui i dipendenti utilizzano lo shadow IT o commettono errori dovuti alla mancanza di abitudini cybersicure.
- Effettuare regolarmente un inventario delle risorse IT per eliminare la comparsa di dispositivi e hardware abbandonati.
- Organizzare un processo centralizzato per la pubblicazione di soluzioni scritte autonomamente, in modo che gli specialisti dell’IT e della sicurezza informatica ne vengano a conoscenza tempestivamente.
- Limitare il lavoro dei dipendenti che utilizzano servizi esterni di terze parti e, se possibile, bloccare l’accesso alle risorse di scambio di informazioni cloud più diffuse.