L’azienda guidata da Pierre-Yves Hentzen suggerisce come arginare il fenomeno dell’infrastruttura “It ombra”, che causa una perdita di controllo delle risorse informative da parte del reparto tecnico
Secondo gli studi di Stormshield, leader europeo nella sicurezza delle infrastrutture digitali, lo “shadow It” – che indica tutti quegli utenti che agiscono all’ombra della governance – è un fenomeno diffuso e spesso di natura estemporanea, che però implica una perdita di controllo delle risorse informative della società da parte del reparto It. Che si tratti di perdita dei dati, di violazioni della sicurezza o esposizione a malware, questa pratica non è priva di rischi significativi: il numero di incidenti considerati a posteriori come minacce è cresciuto del 28% rispetto allo scorso anno, a fronte di un incremento del tasso di condivisione di dati sensibili tramite link pubblicamente accessibili del 23% in due anni. «Se i dipendenti bypassano il reparto It e si avvalgono di strumenti non monitorati diventano obiettivi privilegiati e indifesi» ha spiegato Franck Nielacny, cio di Stormshield, che sottolinea come questa pratica trovi suolo fertile nell’adozione di nuovi modelli di business.
In organizzazioni più flessibili e aperte, dotate di staff primariamente itinerante o remoto, i dipendenti sono portati ad impiegare la propria attrezzatura digitale personale (laptop, smartphone privato, orologio connesso o assistenti vocali) per svolgere il proprio lavoro. «Quando si utilizzano dispositivi personali – sottolinea Nielacny – cambia la modalità di accesso e scambio delle informazioni a detrimento dell’uso delle infrastrutture aziendali protette, vpn incluse».
Fattore finanziario e urgenze
Gli esperti di Stormshield, azienda guidata da Pierre-Yves Hentzen, concordano sul fatto che la crescita della shadow It sia una conseguenza diretta delle politiche di riduzione dei costi aziendali. La gestione in-house dell’It è stata a lungo considerata un gravoso centro di costo, motivo per cui sempre più spesso i servizi offerti dai dipartimenti It vengono messi in competizione con quelli esterni, i cui costi nominali risultano inferiori.
La situazione si acutizza in presenza di una carente agilità da parte dei reparti It: se i dipendenti necessitano di una nuova risorsa ma la scarsa flessibilità dei processi di gestione dell’infrastruttura It ne rallenta l’implementazione, gli impiegati si avvarranno di terze parti. L’impressione generale è che l’IT interno reagisca con estrema lentezza, una percezione ulteriormente esacerbata dal fatto che spesso i sistemisti vengono coinvolti nel processo di adozione di nuove piattaforme quando è già troppo tardi. Il carattere di urgenza conferito alla produttività aziendale e la rapidità con cui è possibile implementare e fruire di soluzioni esterne cozza inevitabilmente con l’esigenza di strutturare i servizi It a lungo termine. «Le soluzioni di terze parti impiegate senza il coinvolgimento del reparto It non sono mai soluzioni a lungo termine – ha affermato Nielacny – Anche se il dispositivo o il servizio funziona e viene adottato dallo staff, può risultare complicato incorporarlo a posteriori nel sistema informativo ufficiale dell’azienda. La modifica dei parametri di rete, le politiche di accesso e persino i requisiti di sicurezza sono tutti potenziali show stopper. Lo stesso vale per i dispositivi personali».
Consapevolezza piuttosto che imposizione
Nielacny è dell’avviso che siano tre gli approcci adottabili per arginare il diffondersi di una infrastruttura It ombra: prevenzione, cura e imposizione. Nel primo caso, il reparto It è garante della consapevolezza dei dipendenti. Il suo compito è attirare l’attenzione sulle pratiche da evitare o da adottare. «Il cio deve trovare il modo di ‘infiltrarsi’ nelle conversazioni e nei progetti tra le business unit – ha commentato Nielacny – al fine di ufficializzare e mettere in sicurezza le eventuali nuove piattaforme di scambio delle informazioni, che altrimenti concorrerebbero all’instaurarsi della shadow It, o di ottimizzare quelle esistenti in base alle esigenze dei diversi reparti». Un’attività che va svolta nel modo più sottile possibile, perché spesso le misure di sicurezza aggiuntive apportate sono considerate scomode. La sfida, quindi, è quella di implementare le risorse in modo che diventino parte integrante della normale routine quotidiana del personale. L’approccio “curativo” richiede che il reparto It determini se servizi esterni che esulano dalle soluzioni ufficiali siano già utilizzati in azienda, analizzando i log e valutando come proteggere il traffico da e verso piattaforme di terzi o – qualora si riveli impossibile – eventuali misure per bloccare tale traffico. Tale provvedimento ricade già nell’ultima tipologia di approccio, ovvero l’imposizione delle giuste pratiche dall’alto. Una modalità adottata da numerose aziende a fronte dell’introduzione del Gdpr, con il conseguente inasprimento delle politiche di sicurezza. «La shadow It rappresenta una vera sfida a livello normativo – ha concluso Nielacny – L’utilizzo di applicazioni o servizi di terze parti comporta il rischio di inadempienza ai dettami del Gdpr, soprattutto in termini di corretta gestione dei dati personali».
