Home topics Cos'è l'IT ombra? Cos'è l'IT ombra?
"IT ombra" è l'espressione utilizzata per definire qualsiasi risorsa IT che viene utilizzata dai dipendenti o dagli utenti finali senza l'approvazione o la supervisione del reparto IT.
Young student in eyeglasses typing information for course work on keyboard of modern laptop device using wireless internet in stylish flat, attractive woman chatting online via netbook at home; Shutterstock ID 1315235795; Job Number: 1727; Purchaser Name: drury; Project Name + Sub-project details: comp; Task Number:
Cos'è l'IT ombra?

Il concetto di IT ombra include qualsiasi risorsa software, hardware o IT utilizzata in una rete aziendale senza l'approvazione del reparto IT e spesso senza la consapevolezza o la supervisione del reparto IT. La condivisione di file di lavoro su un account Dropbox personale o su una chiavetta USB, una riunione su Skype mentre l'azienda utilizza WebEx o l'avvio di una conversazione di gruppo su Slack senza l'approvazione del reparto IT sono tutti esempi di IT ombra.

L'IT ombra non include il  malware  o altri asset dannosi impiegati da hacker. Fa riferimento solo agli asset non autorizzati impiegati dagli utenti finali che dispongono dell'autorizzazione alla rete.

Gli utenti finali e i team, di norma, impiegano l'IT ombra perché consente loro di non attendere l'approvazione da parte del reparto IT o perché ritengono che offra migliori funzionalità per i loro scopi rispetto alle alternative offerte dall'IT. Ma, a dispetto di questi vantaggi, l'IT ombra comporta significativi rischi di sicurezza. Poiché il team IT non è a conoscenza dell'IT ombra, non monitora tali asset e non impiega contromisure alle loro vulnerabilità. L'IT ombra è particolarmente suscettibile alle violazioni da parte degli hacker. In base al report  State of Attack Surface Management 2022  di Randori, circa 7 organizzazioni su 10 sono state violate a causa dell'IT ombra nell'ultimo anno.
Cause dell'IT ombra

Secondo Cisco, l'80 percento dei dipendenti delle aziende utilizza l'IT ombra. I singoli dipendenti spesso adottano l'IT ombra per comodità e per incrementare la produttività: ritengono di poter lavorare in modo più efficiente o efficace utilizzando i loro dispositivi personali e il software che preferiscono, invece delle risorse IT autorizzate dall'azienda.

La diffusione di questo fenomeno è incrementata con la consumerizzazione dell'IT e, più recentemente, con la crescita del lavoro in remoto. La modalità SaaS (Software-as-a-Service) consente a chiunque disponga di una carta di credito e un minimo di conoscenza tecnica di implementare sofisticati sistemi IT per la collaborazione, la gestione di progetti, la creazione di contenuti e molto altro. Le politiche BYOD (Bring Your Own Device) consentono ai dipendenti di utilizzare i propri computer e dispositivi mobili sulla rete aziendale. Ma, anche quando è in effetto un programma BYOD formale, ai team IT spesso manca la visibilità del software e dei servizi utilizzati dai dipendenti sull'hardware BYOD e può risultare particolarmente complesso applicare politiche di sicurezza IT sui dispositivi personali dei dipendenti.

Ma l'IT ombra non è sempre il risultato delle azioni dei singoli dipendenti: le applicazioni di IT ombra sono anche adottate dai team. Secondo Gartner, il 38 percento degli acquisti di tecnologia sono gestiti, definiti e controllati dai leader aziendali piuttosto che dall'IT. I team desiderano adottare nuovi servizi cloud, applicazioni SaaS e altre risorse IT, ma spesso ritengono che i processi di approvvigionamento implementati dal reparto IT e dal CIO siano troppo onerosi o lenti. Quindi decidono di aggirare il reparto IT per ottenere la tecnologia che desiderano. Ad esempio, un team di sviluppo di software potrebbe adottare un nuovo IDE (Integrated Development Environment) senza consultare il reparto IT perché il processo di approvazione formale comporterebbe un ritardo dello sviluppo e causerebbe la perdita di un'opportunità di mercato per l'azienda.
Esempi di IT ombra

Software, app e servizi non autorizzati di terze parti rappresentano la forma più diffusa di IT ombra. Gli esempi più comuni includono:

  • App per la produttività come Trello e Asana

  • Applicazioni di storage su cloud, condivisione di file e modifica di documenti quali Dropbox, Google Docs, Google Drive e Microsoft OneDrive

  • App di messaggistica e per la comunicazioni tra cui Skype, Slack, WhatsApp, Zoom, Signal, Telegram e gli account email personali

Questi servizi cloud e offerte SaaS sono spesso dotati di modalità di accesso semplici, sono intuitivi da utilizzare e disponibili gratuitamente o ad un costo estremamente ridotto, consentendo ai team di implementarli rapidamente quando necessario. Spesso i dipendenti utilizzano queste risorse IT ombra sul posto di lavoro perché ne fanno già un utilizzo personale. Inoltre, i dipendenti potrebbero essere invitati a utilizzare questi servizi da clienti, partner o provider di servizi; ad esempio, non è raro che i dipendenti si uniscano alle app di produttività dei clienti per collaborare su progetti.

I dispositivi personali dei dipendenti, ovvero gli smartphone, i computer portatili e i dispositivi di storage come le unità USB e i dischi fissi esterni sono un'altra fonte comune di IT ombra. I dipendenti possono utilizzare i loro dispositivi per accedere alle risorse di rete, archiviarle o trasmetterle in remoto oppure potrebbero utilizzare questi dispositivi on premise come parte di un programma BYOD formale. In ogni caso, spesso è difficile per i reparti IT rilevare, monitorare e gestire questi dispositivi con i sistemi di gestione degli asset tradizionali.
Rischi dell'IT ombra

Sebbene i dipendenti normalmente adottino l'IT ombra per i vantaggi che ne derivano, gli asset di IT ombra comportano potenziali rischi di sicurezza per l'organizzazione. Tali rischi includono:

  • Perdita di visibilità e controllo dell'IT: poiché il team IT in genere non è consapevole degli specifici asset di IT ombra, le vulnerabilità di sicurezza in tali asset non vengono affrontate. Secondo il report State of Attack Surface Management 2022 di Randori, la tipica organizzazione ha riscontrato un aumento del 30 percento degli asset esposti rispetto a quelli che i propri programmi di gestione degli asset hanno rilevato. Gli utenti finali o i team dipartimentali potrebbero non comprendere l'importanza degli aggiornamenti, delle patch, delle configurazioni, delle autorizzazioni e dei controlli critici di sicurezza e normativi per tali asset, rendendo ancora più significativa l'esposizione dell'organizzazione.
  • Mancata sicurezza dei dati: i dispositivi e le app di IT ombra non sicuri possono essere utilizzati per accedere ai dati sensibili, archiviarli e trasmetterli, esponendo l'azienda al rischio di violazioni o divulgazione dei dati. I dati archiviati nelle applicazioni di IT ombra non verranno inclusi nei backup delle risorse IT ufficialmente autorizzate, rendendo più complesso il recupero delle informazioni nel caso di perdite di dati. Inoltre, l'IT ombra può contribuire alle incongruenze nei dati: quando i dati vengono diffusi su più asset di IT ombra senza alcuna gestione centralizzata, è possibile che i dipendenti si trovino a lavorare con informazioni non ufficiali, non valide od obsolete.

  • Problemi di conformità: le normative come l'HIPAA (Health Insurance Portability and Accountability Act), PCI DSS (Payment Card Industry Data Security Standard) e GDPR (General Data Protection Regulation) hanno requisiti stringenti per l'elaborazione delle informazioni di identificazione personale (PII, Personally Identifiable Information). Le soluzioni di IT ombra configurate dai dipendenti e dai dipartimenti senza competenze in materia di conformità non soddisfano questi standard di sicurezza dei dati, comportando sanzioni o azioni legali nei confronti dell'organizzazione.

  • Inefficienze aziendali: le applicazioni di IT ombra non si integrano facilmente con l'infrastruttura IT autorizzata, ostacolando i flussi di lavoro che si basano su informazioni o asset condivisi. È improbabile che, nell'introdurre nuovi asset autorizzati o nell'eseguire il provisioning dell'infrastruttura IT per un determinato reparto, i team IT tengano conto delle risorse di IT ombra. Di conseguenza, il reparto IT potrebbe apportare modifiche alla rete o alle risorse di rete in modi che comporterebbero interruzioni nelle funzionalità degli asset di IT ombra su cui i team fanno affidamento.
Vantaggi dell'IT ombra

In precedenza, le organizzazioni spesso tentavano di mitigare tali rischi vietando totalmente l'utilizzo dell'IT ombra. Tuttavia, i leader dell'IT hanno gradualmente iniziato a considerare inevitabile l'IT ombra e molti di loro hanno anche cominciato a valutarne i vantaggi per l'azienda. Tali vantaggi includono:

  • Rendere i team più agili nel rispondere ai cambiamenti nell'ambiente di business e all'evoluzione delle nuove tecnologie

  • Consentire ai dipendenti di utilizzare gli strumenti più idonei per il loro lavoro

  • Semplificare le operazioni IT riducendo i costi e le risorse richieste per l'approvvigionamento di nuovi asset IT

Per mitigare i rischi dell'IT ombra senza sacrificare tali vantaggi, molte organizzazioni tentano di allineare l'IT ombra ai protocolli di sicurezza, piuttosto che proibirlo interamente. A tal fine, i team IT spesso implementano tecnologie di sicurezza informatica, ad esempio strumenti ASM (Attack Surface Management), che monitorano costantemente gli asset IT esposti su internet di un'organizzazione e identificano le risorse di IT ombra nel momento stesso in cui vengono adottate. Quindi, tali asset ombra possono essere valutati per rilevarne le vulnerabilità e correggerle. 

Le organizzazioni possono anche utilizzare il software CASB (Cloud Asset Security Broker), che garantisce connessioni sicure tra i dipendenti e gli eventuali asset cloud, sia noti che sconosciuti, che utilizzano. I software CASB sono in grado di rilevare i servizi cloud ombra e sottoporli a misure di sicurezza come la crittografia, le politiche di controllo degli accessi e il rilevamento del malware. 
Soluzioni IBM
Soluzioni di sicurezza informatica

IBM Security® fornisce soluzioni di sicurezza informatica aziendali che consentono di affrontare con successo le avversità.

Esplora i servizi di sicurezza informatica
Soluzioni per la sicurezza dei dati

Proteggi i dati aziendali in più ambienti, soddisfa le normative sulla privacy e semplifica la complessità operativa.

Esplora la sicurezza dei dati
Soluzioni per la sicurezza del cloud

Per gestire un programma di sicurezza del multicloud ibrido logico, è necessario stabilire visibilità e controllo. Gli esperti e i prodotti IBM Security possono aiutarti a integrare i controlli appropriati, a orchestrare l'implementazione dei carichi di lavoro e a stabilire una gestione efficace delle minacce.

Esplora le soluzioni per la sicurezza del cloud
Risorse Cos'è la sicurezza informatica?

La tecnologia e le best practice della sicurezza informatica proteggono i sistemi critici e le informazioni sensibili da un volume sempre crescente di minacce in continua evoluzione

 Cos'è la gestione della superficie di attacco?

La gestione della superficie di attacco aiuta le organizzazioni a rilevare, definire la priorità e correggere le vulnerabilità ad attacchi informatici.

 Cos'è la gestione degli asset IT (ITAM)?

L'ITAM garantisce che ogni asset sia correttamente utilizzato, gestito, aggiornato ed eliminato al termine del proprio ciclo di vita.