Uso risorse informatiche non approvate dall’azienda (Shadow IT): rischi a sicurezza dati e consigli per evitarli

Il digitale si è inserito ormai in ogni angolo della nostra vita personale e professionale offrendoci strumenti sempre nuovi e coinvolgenti che rendono oggettivamente difficile tenere separati i due ambiti.

L’utilizzo di dispositivi personali a scopo lavorativo (un modello che ha un nome tutto suo: BYOD, Bring Your Own Device), la crescente quantità di attività effettuate al di fuori dei perimetri aziendali attraverso lo smart working, la maggior dimestichezza degli utenti con strumenti e applicazioni digitali (con la conseguente indipendenza di scelta rispetto ai vincoli imposti dai reparti IT aziendali), stanno dando vita a una realtà più fluida, meno controllabile e potenzialmente tanto rischiosa quanto efficace.

Siamo entrati nell’era della cosiddetta Shadow IT e non ne usciremo tanto presto. È dunque il momento di imparare a conoscerla e gestirla.

Con Shadow IT o IT ombra si intende una realtà che tutti ormai conosciamo: qualsiasi risorsa digitale – dispositivo, servizio, applicazione – utilizzata nell’ombra all’interno di un’azienda, quindi una risorsa non ufficiale e non approvata dall’azienda, che i singoli dipendenti scelgono, attivano, installano, configurano e utilizzano in maniera del tutto autonoma.

Molti di queste le conosci senz’altro: parliamo di applicazioni come Whatsapp e Telegram, Dropbox e Google Drive, Zoom, Trello e gli infiniti servizi di posta elettronica gratuita come Gmail, Hotmail e via dicendo.

Ma nella Shadow IT possono finire anche altre risorse meno evidenti: accessi a reti Wi-Fi non di proprietà, estensioni (o plugin) dei browser, applicazioni scaricate da Internet (magari per risolvere una necessità del momento), per non parlare del cloud e di tutto quello che vi si può trovare.

Tutti elementi che finiscono con il formare una sorta di ambiente IT parallelo che rimane sotto il completo controllo dell’utente e del tutto svincolato da ogni procedura e protezione aziendale.

Tutto questo non avviene per un capriccio degli utenti o per una qualche velleità di dimostrare la propria indipendenza rispetto agli obblighi imposti dai dipartimenti IT. Al contrario, la motivazione principale è proprio quella di trovare rapidamente soluzioni efficienti a esigenze collegate al lavoro.

Un esempio che qualche volta sarà probabilmente toccato anche a te: devi inviare a un tuo fornitore un file di dimensioni particolarmente grandi, diciamo l’esecutivo di una brochure da 850 MB che devi far stampare velocemente dalla tua tipografia di fiducia in vista di un evento marketing. Il tuo sistema di posta elettronica aziendale non consente tuttavia di inviare allegati di dimensioni superiori a 3 MB. Cosa fai allora? Metti la brochure su uno spazio condiviso come Google Drive e comunichi il relativo link al tuo fornitore, oppure ti rivolgi un servizio di trasferimento file come WeTransfer, o ancora usi una tua casella email personale che consente di spedire allegati fino a 2 GB.

Qualsiasi sia il metodo scelto, la tua sensazione sarà quella di aver risolto rapidamente un’urgente necessità di business aggirando una limitazione anacronistica del tuo IT aziendale che non ha saputo restare al passo con i tempi.
In realtà hai appena fatto ricorso anche tu alla Shadow IT mettendoti al di fuori di ogni regola, controllo e protezione.

È quella che gli osservatori chiamano “richiesta di vivere un’esperienza consumer quando si lavora con l’informatica aziendale”, frutto dell’abitudine a un certo tipo di interfaccia, di interconnessione tra dati e funzioni, di possibilità di personalizzazione. Ed è una situazione più diffusa di quanto tu possa immaginare.

Secondo diversi sondaggi:

• l’80% dei dipendenti si avvale per lavoro di servizi software non preapprovati dai loro dipartimenti IT, mentre il 67% dei team utilizza strumenti digitali adottati in modo indipendente.
• Il 77% dei professionisti è convinto che il ricorso alla Shadow IT quando necessario consenta alle aziende di lavorare meglio ed essere più veloci ed efficaci nel raggiungimento dei risultati.

Ma allora, se è questione di dare agli utenti ciò che essi vogliono permettendo di ottenere risultati migliori, davvero la Shadow IT è una cosa così negativa?

Certamente, esaminiamo i rischi alla sicurezza e protezione dati che comporta la Shadow IT.

1. Mancanza di controllo per evanescenza del perimetro IT aziendale

Considera l’ambiente IT della tua impresa come un organismo che deve rispondere a imperativi differenti, tutti ugualmente essenziali.

Se la tua casella email impone dei limiti alle dimensioni degli allegati ci sarà un buon motivo, magari legato alle capacità della rete piuttosto che alle caratteristiche dei sistemi di backup. Se il sistema di cartelle condivise funziona solo per gli utenti interni all’organizzazione e non permette di coinvolgere persone esterne, indubbiamente è per garantire la riservatezza di documenti e informazioni rispettando i relativi mandati formali di compliance.

Su tutto questo vigila costantemente il tuo dipartimento IT o, se hai un’attività più piccola, il tuo consulente/fornitore IT grazie a una conoscenza approfondita di tutti i vari elementi che compongono l’ambiente.

Nel momento in cui ricorri alla Shadow IT, tuttavia, è come se tu estendessi i confini dell’ambiente IT della tua azienda senza che i tecnici responsabili ne sappiano nulla.

Quindi ti stai prendendo una bella responsabilità:

• Quella app o quel servizio sono davvero sicuri?

• I relativi server sono conformi alle normative come il GDPR o magari stai trasferendo dati

personalmente identificabili al di fuori dell’Unione Europea senza rendertene conto?

• Il software che ti viene richiesto di scaricare e installare è immune da malware?

• È perfettamente compatibile con il resto del tuo ambiente?

• Sei certo che non vengano estratte informazioni supplementari rispetto a quelle che immagini?

• Come vengono gestiti aggiornamenti e backup?

• Ci sono costi monetari e tecnici nascosti?

• Quali conseguenze provoca sulla compliance aziendale?

A ben vedere, queste non sono altro che le domande che qualsiasi professionista IT si pone ogni volta che deve valutare l’adozione di una nuova soluzione per la sua azienda o i suoi clienti. Quando tu decidi di introdurre la Shadow IT nel tuo ambiente, non fai altro che scavalcarlo togliendogli visibilità e controllo.

Le conseguenze possono essere deleterie: è logicamente impossibile mantenere in salute un ambiente nel quale siano presenti elementi sconosciuti che, come tali, restano fuori dalle procedure standard di sicurezza e di aggiornamento.

Risolvere guasti e malfunzionamenti diventa più difficile se i tecnici non sanno esattamente

cosa è installato su un sistema. La superficie di attacco a disposizione dei cybercriminali si allarga.

La comodità immediata della Shadow IT si trasforma in una spada di Damocle a lungo termine.
 

2. Vulnerabilità dei sistemi per mancati aggiornamenti

Il lavoro dei malintenzionati è generalmente favorito dalle vulnerabilità che immancabilmente sono presenti all’interno di dispositivi, sistemi operativi e applicazioni, e che i produttori neutralizzano attraverso gli aggiornamenti software man mano che ne vengono a conoscenza.

Questo è il motivo per cui gli aggiornamenti sono così importanti per chiunque: non sono solo un modo per disporre di nuove funzionalità (il che comunque non guasta mai), ma soprattutto per chiudere i varchi che potrebbero essere sfruttati dagli sconosciuti per entrare nei sistemi e impossessarsi di apparati e informazioni.

Un buon piano di gestione dell’IT aziendale prevede sempre un programma costante di aggiornamenti, talvolta comprensivo di precollaudi su sistemi di test in modo da assicurare che qualche nuova versione software non introduca incompatibilità con altri programmi esistenti.

Naturalmente tutto questo lavoro presuppone una conoscenza precisa dell’ambiente IT e delle sue componenti; non per nulla gli specialisti del settore partono sempre dalla realizzazione di una mappa completa – apparecchiature di rete, server, PC, dispositivi industriali, laptop, persino tablet e smartphone se presenti – prima di definire una strategia di aggiornamento puntuale.

Immaginerai quindi come l’intrusione imprevedibile di elementi di cui i responsabili IT sono inconsapevoli equivalga a gettare manciate di sabbia in un tale ingranaggio. Tutto ciò che si nasconde nel cono d’ombra della Shadow IT rimane escluso dalle procedure di controllo e aggiornamento, il che significa che le immancabili vulnerabilità continueranno a restare dove si trovano, offrendo una comoda porta d’ingresso ai cybercriminali.
 

3. Data breach o Perdite di dati

C’è un’altra questione che riguarda il software che decidiamo di installare sui nostri sistemi, ed è precisamente legata all’affidabilità dei relativi produttori. Una buona parte della Shadow IT è infatti associata a app, applet, plugin, estensioni e utility che si possono facilmente trovare e installare con una rapida ricerca sul Web o negli app store dei dispositivi o dei browser.

Chi produce queste app? Decine e decine di migliaia di sviluppatori grandi e

piccoli: software house commerciali adeguatamente strutturate piuttosto che singoli appassionati che scrivono software nel loro tempo libero. Tra di essi, attenzione, si annidano anche personaggi di pochi scrupoli.

Installare una app è ormai una specie di atto di fede nella speranza che non contenga malware o che non esfiltri dati destinati a finire in chissà quali mani. E quello che vale per le app vale anche per tutte le estensioni dei browser e per l’infinità dei programmi di utilità che si possono trovare in ogni angolo del Web.
 

4. Problemi di compliance 

Un’azienda che possiede un IT fragile e carente mette a rischio la catena del valore con cui lavora, per non parlare dei dati di clienti e fornitori, di quelli finanziari, delle informazioni riservate e dei segreti industriali di cui dispone.

Questa consapevolezza ha portato negli anni alla continua emanazione di normative, leggi e regolamenti che obbligano ogni azienda a rispettare una serie di misure specifiche orientate alla protezione di sistemi e informazioni. Ci sono norme settoriali specifiche, norme riservate alle società quotate in borsa, norme che riguardano aziende con filiali in nazioni differenti.

Ci sono poi leggi trasversali che riguardano tutti, ad esempio il GDPR.

Mantenere la conformità (o compliance) a questi obblighi impone un rigido controllo sugli apparati e sui software presenti in azienda. Tutto deve essere configurato a regola d’arte, compreso nelle politiche di backup, pronto a essere verificato in caso di auditing o discovery.

Tutto ciò che ricade nella Shadow IT, ovviamente, esce per definizione da questi controlli e nel caso migliore è destinato a provocare perdite di tempo per chi è chiamato a mettere ordine in una situazione caotica o, nel caso peggiore, sanzioni e danni economici e di immagine conseguenti un verdetto di non-compliance.
 

5. Problemi finanziari

Chi si incammina lungo il sentiero della Shadow IT non ha mai la certezza di sapere chi si trova davanti.

Basta veramente poco per portarsi in casa codice infido che fa molto più di quel che dice:

• un cryptominer o miner di criptovalute, che consumerà la capacità di calcolo dei tuoi sistemi (gonfiando quindi la tua bolletta elettrica) per generare monete digitali che arricchiranno l’autore del plugin o della app che hai installato senza troppe attenzioni;

• un bot che utilizzerà la tua rete come intermediario per inviare spam, lanciare attacchi DDoS o effettuare altre azioni illecite ribaltando (almeno inizialmente e/o parzialmente) la responsabilità su di te: chi credi che verrà chiamato a fornire spiegazioni quando qualcuno dovesse accorgersi che un attacco è partito dal tuo indirizzo IP?

• un malware specializzato nell’esfiltrazione di dati, ovvero un codice spia che registra in modo nascosto tutto quello che digiti alla tastiera, osserva i documenti che apri, legge le email che ricevi e spedisci.

Tutte le informazioni così raccolte vengono quindi messe in vendita sul Dark Web, dove chiunque potrà acquistarle per assumere la tua identità, entrare nei tuoi sistemi, impossessarsi delle tue credenziali e così via;

• un dirottatore di pagamenti, ovvero malware capaci di intercettare e modificare al volo le coordinate bancarie che compaiono sui documenti e sulle pagine web che un malcapitato utente sta consultando. In questo modo tu sei convinto di aver saldato un fornitore quando in realtà i fondi sono stati inviati a uno sconosciuto chissà dove.

Tutti questi illeciti possono essere effettuati con codice di piccole dimensioni progettati per potersi annidare facilmente anche nei plugin o nelle estensioni dei browser o nelle piccole utility “freeware” disponibili ovunque.

La Shadow IT è un vero paradiso per i cybercriminali, che non hanno più bisogno di dedicare tempo e sforzi per cercare di aggirare le difese di una rete o di un sistema: è l’utente stesso che li fa entrare installando in autonomia il codice pericoloso!

D’altra parte la consapevolezza delle minacce che circolano in questo ambiente non toglie nulla alle motivazioni da cui nasce la Shadow IT: il lavoro risulta spesso più rapido ed efficiente se si è in grado di utilizzare strumenti moderni, efficaci e veloci che la tecnologia mette a disposizione senza dover attendere le decisioni e le eventuali tempistiche di intervento dei reparti IT o dei consulenti esterni.

Possiamo affermare quindi che la Shadow IT è qui per rimanere: non potendola estirpare, l’approccio giusto è dunque quello di controllarla con il duplice obiettivo di accontentare gli utenti (che in fondo non chiedono altro che poter lavorare in maniera efficiente) e lasciar fuori gli elementi pericolosi.

Per far questo, suggeriamo un percorso in quattro tappe:

1) Sensibilizzare i tuoi utenti. Troppo spesso le persone usano gli strumenti informatici senza avere una sufficiente conoscenza dei rischi e dei pericoli che si possono correre per superficialità o mancanza di informazioni.

Incontri periodici di formazione e aggiornamento, condotti in maniera coinvolgente e dinamica, sono di grande aiuto per consentire al personale di lavorare in modo più sicuro per loro stessi e per la tua azienda. Poiché le competenze che si sviluppano in queste occasioni risultano utili anche nella vita personale, l’interesse verso questi temi è generalmente molto alto.
 

2) Inventariare il tuo ambiente IT. Per capire la vera portata della Shadow IT e tenerne sotto controllo eventuali sviluppi occorre partire da un riferimento certo. Sapere con esattezza quali dispositivi hardware si collegano alla rete – localmente o da remoto – e con quali dotazioni software, è un punto di partenza imprescindibile per chiunque. La procedura per fare questo ovviamente non deve essere manuale: i tuoi tecnici o consulenti possono avvalersi di appositi strumenti che sondano automaticamente l’intero ambiente producendo report analitici che, in molti casi, mettono già in evidenza i punti critici riscontrati. L’inventario, che deve essere ripetuto periodicamente, è uno strumento utile anche per ulteriori attività come il controllo delle licenze, la pianificazione degli aggiornamenti e dei backup e molto altro ancora.
 

3) Condurre assessment delle vulnerabilità. Ecco un’altra procedura che deve essere eseguita con regolarità mediante appositi strumenti. L’intero parco hardware e software installato viene passato in rassegna e confrontato con database aggiornati contenenti i dettagli di tutte le vulnerabilità note riguardanti le differenti versioni di sistemi operativi, firmware e applicazioni.

Alcuni specialisti del settore possono inoltre effettuare tentativi di attacco – naturalmente col beneplacito e sotto il controllo del cliente – per verificare la presenza di ulteriori punti deboli provocati in genere da configurazioni carenti o disattenzioni degli amministratori di sistema.
 

4) Ascoltare i tuoi utenti. Informati sulle esigenze pratiche che possono insorgere man mano nell’attività lavorativa, cerca di capire quali sono i motivi dietro il ricorso alla Shadow IT e fornisci al tuo personale strumenti adatti che siano verificati e controllati. Una dotazione completa di strumenti informatici pratici e moderni contribuisce all’efficienza dei tuoi dipendenti e li tiene lontani dalle zone d’ombra del mondo digitale.

La Shadow IT resterà sempre una strada che il tuo personale finirà per percorrere in caso di bisogno o di emergenza, ma se vuoi che non si trasformi nel tuo peggior incubo devi essere certo di gestirla al meglio.