La minaccia informatica nascosta in bella vista
Il panorama digitale è in continua evoluzione e, mentre le aziende accelerano l'adozione di tecnologie emergenti come l'intelligenza artificiale (AI), i big data e l'Internet of Things (IoT), anche i corrispondenti rischi informatici aumentano. Rimanere al passo con queste tecnologie non è mai stato così importante, ma cosa potrebbe succedere se i tuoi dipendenti mettessero a rischio la tua attività non seguendo le istruzioni del reparto IT, scaricando software obsoleti o utilizzando il proprio hardware?
La shadow IT è l'uso di qualsiasi software o hardware non formalmente approvato e supportato dal reparto IT di un'azienda. Questi possono includere PC, laptop e altro hardware e servizi cloud come il software as a service (SaaS). L'aumento dell'uso della tecnologia cloud, in particolare, sta guidando la crescita della shadow IT all'interno delle organizzazioni. Questo perché i dipendenti spesso utilizzano strumenti con cui si sentono più confidenti rispetto a uno strumento approvato.
Uno scenario comune, ad esempio, vede un manager acquistare un'applicazione per realizzare un progetto con l'intenzione poi di annullarla dopo il completamento di questo. Senza notificare la transazione al reparto IT competente però, non vi è alcuna registrazione che il software sia stato acquistato o utilizzato e, di conseguenza, non verrà incluso nell'analisi della spesa SaaS dell'azienda.
Questo problema rappresenta una tendenza sempre più crescente. Un sondaggio di Gartner ha rilevato che un terzo dei cyber attacchi riusciti proveniva da una shadow IT, mentre Entrust ha rilevato che più di due terzi (77%) dei professionisti IT ritenevano che sarebbe diventato un problema importante. Per molte organizzazioni, la shadow IT è all'altezza del suo nome: si nasconde in bella vista, con la minaccia che aumenta in continuazione.
Sono due i modi in cui le imprese possono essere minacciate:
L'attrattiva per i dipendenti è evidente: la shadow IT può migliorare la velocità con cui possono svolgere il proprio lavoro. La maggior parte delle volte, un reparto avrà i propri requisiti per quanto riguarda il software o l'hardware di cui ha bisogno. La sfida è quindi quella di navigare nella burocrazia aziendale che spesso esiste per ottenere il via libera per un software o un hardware. Forse non sorprende che, quando il tempo è essenziale, i team possano sentirsi frustrati e siano inclini ad acquistarlo o scaricarlo da soli.
Come accennato in precedenza, gli utenti sono diventati più a loro agio nel scaricare e utilizzare app e servizi dal cloud per assisterli nel loro lavoro, una tendenza che ha subito un'accelerazione con l'aumento del lavoro da remoto dopo la pandemia. Nel caso di applicazioni basate su cloud o di altri servizi utilizzati dagli sviluppatori – la più grande categoria di shadow IT – gli asset possono contenere vulnerabilità e, di conseguenza, aumenta il rischio di violazioni dei dati e altre responsabilità.
Il rischio dello shadow IT è chiaro: se non si conosce l'ambito dell'IT dell'azienda, non è possibile proteggerlo o aggiornarlo. Per definizione, lo shadow IT non rientra nella visione della sicurezza IT, aumentando la probabilità che le vulnerabilità non vengano rilevate. Altri rischi dello shadow IT sono i rischi legati alla conformità, la perdita di produttività e continuità, la perdita e la perdita di dati e i rischi finanziari.
Analogamente alle azioni preventive per altri tipi di minacce informatiche, l'educazione del personale dovrebbe essere in cima alla lista. Comunica, collabora e forma tutti i tuoi dipendenti sui pericoli dello shadow IT, oltre a rendere le procedure formali che devono seguire per ottenere il software o l'hardware di cui hanno bisogno nel modo più rapido e semplice possibile. Anche il monitoraggio del traffico di rete e la garanzia della visibilità e del controllo di tutti i dispositivi, le applicazioni e i sistemi dovrebbero avvenire costantemente.
È possibile mitigare il rischio da un punto di vista tecnico rendendo impossibile il download di software non approvato o la connessione alla rete senza un sistema di autenticazione ad hoc, ma questo è valido solo fino a un certo punto. È ancora molto facile per un dipendente scaricare un'applicazione cloud e utilizzarla senza che nessuno lo sappia e in questo caso è quindi necessario sapere se quell'app ha risorse che contengono vulnerabilità o meno. Altre misure per ridurre i rischi della shadow IT sono le consuete misure di sicurezza, come la segmentazione della rete e l'introduzione di politiche per il "bring your own device" (BYOD).Sebbene consentire al personale di scaricare il proprio software o utilizzare il proprio hardware possa essere liberatorio e accelerare i processi, se non gestito la minaccia che rappresenta è significativa. Per molte aziende, lo shadow IT deve uscire allo scoperto, e in fretta.
Le minacce informatiche ci circondano. Questa non è paranoia, è una sfortunata realtà: ogni giorno ci sono nuovi hacker, nuove perdite di dati e nuovi costi, sia finanziari che commerciali. Come possono proteggersi le organizzazioni?
I governi di tutto il mondo stanno introducendo una nuova legislazione per mitigare i rischi e gli impatti degli attacchi informatici. Scopri il nostro report sulla Cyber security
Le strategie di sicurezza informatica non sono più sufficienti? La comprensione e la mitigazione dei rischi informatici ti aiuterà a stare al passo con la digitalizzazione.
A livello globale, siamo sempre più digitalmente connessi ma man mano che la tecnologia si sviluppa e le aziende ne accelerano l'adozione, si verifica un'escalation simultanea delle minacce informatiche.
This website uses cookies.
Some of these cookies are necessary, while others help us analyse our traffic, serve advertising and deliver customised experiences for you.
For more information on the cookies we use, please refer to our Privacy Policy.
This website cannot function properly without these cookies.
Analytical cookies help us enhance our website by collecting information on its usage.