Un principio fondamentale della sicurezza dei dati è garantire che si sappia dove vengono conservati; i dati che si spostano al di fuori del controllo aziendale sono la ragione per cui lo Shadow IT è un problema per i team di sicurezza. Senza la possibilità di gestire l’autenticazione e l’accesso alle applicazioni shadow, è probabile che esse siano protette in modo improprio e che compromettano la sicurezza.
Sfortunatamente per i team di sicurezza, il 41% dei dipendenti utilizza applicazioni professionali senza chiedere l’autorizzazione all’IT, con una probabilità quasi doppia che venga fatto da dipendenti a livello manageriale. Quando si ha una non conformità dall’alto, la sfida a proteggere i dati diventa molto più difficile e diventa un problema culturale complesso da correggere.
Perché lo Shadow IT viene adottato?
Ogni reparto vuole adottare nuove tecnologie per migliorare le operazioni e la produttività al fine di ottenere un vantaggio competitivo; purtroppo, se tutte le decisioni tecnologiche hanno bisogno di un’approvazione da parte dell’IT, in particolare durante i progetti di trasformazione digitale, ci sarà inevitabilmente un collo di bottiglia e alcuni progetti avranno priorità e altri ritardi. In caso di ritardo è possibile vedere le unità aziendali prendere in mano la situazione e aggirare il processo ufficiale di approvvigionamento IT.
Ad esempio, è la fine del trimestre, un venditore sta per inviare una proposta e il cliente chiede se può essere trasmessa tramite Dropbox, un servizio non approvato. Il venditore contatta l’IT e attende una risposta o usa Dropbox per tranquillizzare il cliente? Per un compito apparentemente innocuo, perché aspettare? Il rischio percepito è minimo ed è meglio chiedere perdono, giusto?
Un altro esempio è un responsabile delle risorse umane che deve prepararsi a diversi colloqui il giorno successivo. È già tardi e deve tornare a casa per mettere a letto i bambini, così decide di inviare i profili dei candidati alla sua email personale per semplicità. Anche se con buone intenzioni, i dati sono, anche in questo caso, al di fuori della sicurezza aziendale.
Se consideriamo che lo Shadow IT nasce dalla volontà di essere produttivo e di accedere a determinate informazioni in modo efficiente, è chiaro che lo Shadow IT è in parte un problema di accesso.
Shadow IT e accesso
Permettere ai dipendenti di accedere in modo sicuro ai dati di cui hanno bisogno ovunque si trovino, qualunque sia il dispositivo che utilizzano, è alla base della trasformazione digitale, tanto che le strategie di sicurezza e di accesso hanno dovuto evolversi per soddisfare le moderne esigenze aziendali. COVID-19 ha costretto le aziende a rivalutare il modo in cui la forza lavoro accede alle informazioni, allontanandosi dalle tecnologie tradizionali. Se gli utenti non sono in grado di accedere alle informazioni di cui hanno bisogno o subiscono continue disconnessioni tramite la VPN, ciò porterà inevitabilmente all’adozione di Shadow IT.
Zero Trust Network Access (ZTNA) è stato pubblicizzato come il modello sostitutivo per la sicurezza e l’accesso tradizionale basato sul perimetro, con Gartner che prevede che entro il 2023, il 60% delle aziende eliminerà gradualmente la maggior parte delle loro reti private virtuali di accesso remoto (VPN) a favore di ZTNA.
Shadow IT mina lo ZTNA. I progetti ZTNA avranno successo solo se forniranno una protezione universale per l’infrastruttura applicativa di un’organizzazione, non solo per le applicazioni note, senza continueranno a esserci lacune nella sicurezza.
Con ZTNA, l’infrastruttura applicativa di un’organizzazione beneficia di una serie di tecnologie di sicurezza e di accesso, tra cui Identity & Access Management (IAM), controlli di adaptive access e gestione dei privilegi; le applicazioni shadow non funzioneranno perché non sono integrate. Oltre ad essere vantaggioso per la sicurezza, allevia i problemi di produttività ottimizzando la connettività e riducendo l’onere della riautenticazione su più servizi. ZTNA può mitigare l’adozione di Shadow IT consentendo agli utenti di essere produttivi.
Le aziende devono adottare tecnologie che consentano loro di ottenere visibilità dello Shadow IT su tutte le piattaforme e di applicare policy su tutti i dispositivi. Mentre lo sviluppo e la comunicazione di una chiara governance del cloud è importante, i team di sicurezza non possono contare sulla prudenza o sulla conformità dell’intera forza lavoro, ed è necessario un ulteriore livello di protezione.
Fonte: Wandera