Shadow IT: come prevenirla?

Cosa hanno in comune complesse policy IT, software obsoleti e carenza di servizi supportati dall’IT? Sono tutti fattori che contribuiscono alla “shadow IT”, che si verifica quando i dipendenti aggirano le procedure per l’utilizzo di servizi e software non approvati. L’ultima cosa che i dipendenti desiderano quando lavorano a un progetto è il confronto con il dipartimento IT. Come si possono allora fornire le risorse necessarie in modo che la shadow IT non diventi un problema per l’azienda? Ecco i consigli di esperti e professionisti per prevenire questa tendenza prima che diventi una prassi consolidata.

Sostenere il business

Credit: Nick Ares
Credit: Nick Ares

I consigli di Jeff Schilling, CSO di Armor:

  • Seguite il denaro – Stabilite procedure contabili che richiedono che tutti gli acquisti di tecnologia e servizi IT debbano essere approvati dal CIO o da un manager incaricato.
  • Non siate il nemico – Collaborate con i business manager per pianificare le loro richieste di tecnologia e servizi IT in modo da diventare il loro fornitore preferito.
  • Non sfidate la legge di gravità – Se la gravità sta attirando i responsabili dell’azienda verso il cloud pubblico, perché è più agile e in grado di soddisfare le loro esigenze, cercate di capire come è possibile aiutarli per “fare bene” piuttosto che lasciarli “fare da soli”.

Incoraggiare una politica di “porte aperte”

Credit: Pixabay
Credit: Pixabay

Secondo Morey Haber, VP of Technology di BeyondTrust, l’adozione di queste policy IT può aiutare a gestire la proliferazione della shadow IT:

  • riconoscere che la shadow IT esiste e fornire un “periodo di grazia” durante il quale porre le implementazioni sotto la gestione dell’IT senza ripercussioni. Il personale IT e di sicurezza può contribuire positivamente all’azienda se coinvolto nel modo giusto.
  • sostenere una politica IT di “porte aperte” per i nuovi progetti, offrendo consulenza e rapido supporto per lo sviluppo e l’implementazione. Il fenomeno della shadow IT spesso dipende dai blocchi posti dall’IT tradizionale. Se viene adottata una politica di porte aperte per tutti gli aspetti, le barriere vengono rimosse.

Dare priorità all’esperienza dell’utente finale

Stop UpdatesSecondo Kurt Roemer, Chief Security Strategist di Citrix, per evitare la shadow IT le aziende devono concentrarsi sull’esperienza dell’utente finale. Il motivo per cui i dipendenti aggirano le politiche aziendali è che le applicazioni e le soluzioni che devono usare sono troppo difficili o richiedono troppo tempo. Se l’esperienza del dipendente è sicura e senza soluzione di continuità, non avrà bisogno di aggirare l’IT per trovare soluzioni che lo aiutino a essere più produttivo. Ecco le linee guida suggerite:

  • Ogni volta che la shadow IT è un’opzione migliore che avere a che fare con il team IT e le sue regole folli, l’IT perderà clienti.
  • Quando l’IT adotta un approccio orientato al cliente e si comporta come un consulente di fiducia, entrambe le parti vincono.
  • I servizi forniti dall’IT devono essere all’altezza o migliori di quelli di tipo consumer che i loro clienti possono ottenere da soli.
  • Il single sign-on per tutte le applicazioni (in particolare applicazioni web e cloud) è un arma segreta per riconquistare i clienti, in quanto rende la vita molto più facile.
  • Le policy necessarie devono essere automatizzate e contestuali alla situazione specifica che i clienti si trovano ad affrontare per proteggere al meglio i dati sensibili.

Si noti la mancanza della parola “utenti”. E’ una scelta voluta e indica una mentalità che restituisce valore all’IT e riduce la shadow IT.

Dare agli utenti ciò che vogliono con un cloud broker

Credit: Kate Ter Haar
Credit: Kate Ter Haar

Secondo Travis Greene, Identity Solutions Strategist di Micro Focus, ci sono diverse ragioni per cui gli utenti finali si rivolgono alla shadow IT:

  • perché l’IT non offre un certo servizio (come per esempio la condivisione di file)
  • perché lo standard IT è troppo difficile da usare o non soddisfa le loro esigenze (come per esempio l’adozione di CRM nel cloud)
  • per evitare le policy IT

Se gli utenti cercano di aggirare l’IT per acquistare un servizio, perché non è offerto o non soddisfa le loro esigenze, l’IT deve prendere seriamente in considerazione di aggiungerlo o consentire di accedervi attraverso un cloud broker. Un software cloud broker fornisce accesso single sign-on alle applicazioni SaaS, applica le policy di accesso e approvazione, offre all’utente l’accesso automatico e revoca l’accesso quando necessario, per esempio se l’utente cambia ruolo professionale.

Focalizzarsi sul comportamento, non sulle applicazioni

Credit: Sara Golemon
Credit: Sara Golemon

Secondo Wade Williamson, Director of Threat Analytics di Vectra Networks, la shadow IT è spesso inquadrata come un problema di controllo delle applicazioni. Ma la speranza di trovare e gestire ogni possibile nuova applicazione, comprese quelle realizzate dal proprio staff IT, è una causa persa. Invece di inseguire le applicazioni, le aziende devono imparare a riconoscere il comportamento sottostante a certe azioni. È veramente importante se il dipendente sta replicando i dati aziendali su un account Dropbox non sicuro, sul suo personale Google Drive o su un server non protetto in AWS? L’impatto sulla sicurezza dell’azienda è lo stesso. Bisogna focalizzarsi sul comportamento per gestire il problema nel suo complesso, non serve concentrarsi sulla singola applicazione.

Capire come vengono utilizzate le applicazioni

saasSecondo Chris Morosco, Direttore Data Center & Cloud Strategy di Palo Alto Networks, la pervasività della shadow IT è una conseguenza dell’ enorme valore delle applicazioni SaaS che vengono offerte agli utenti finali. A causa dei rischi legati all’esposizione dei dati e all’infiltrazione delle minacce, gli utenti non possono agire incontrollati, ma bloccare le applicazioni non è l’approccio giusto.

L’interruzione di applicazioni business-critical, anche se pericolose, avrebbe un notevole impatto sul business, in quanto gli utenti sono abituati a utilizzarle per svolgere il loro lavoro quotidiano. Per controllare correttamente l’utilizzo delle applicazioni SaaS e limitare il danno della shadow IT è necessario disporre di una dettagliata visibilità sulle applicazioni che vengono utilizzate, su come vengono usate e da chi.

Quindi il primo passo fondamentale è capire esattamente come gli utenti stanno utilizzando le applicazioni. Con una visione dettagliata è possibile definire il controllo granulare delle policy sull’utilizzo di applicazioni SaaS, bloccando quelle rischiose e non necessarie e controllando l’accesso e l’uso di quelle che sono business critical.

Alla fine si tratta di gestire gli accessi per prevenire i rischi senza interrompere il normale flusso di attività.

Fornire tecnologia e servizi di ultima generazione

Credit: Matthew Freeman
Credit: Matthew Freeman

Secondo Frank Mong, Responsabile Network, Endpoint and Cloud Security di Strategy Palo Alto Networks, la shadow IT dipende dall’incapacità del dipartimento IT di soddisfare le esigenze degli utenti in modo tempestivo e con gli strumenti più moderni. Non c’è modo di bloccare o fermare la shadow IT, perché ci sarà sempre un nuovo strumento di ultimissima generazione che “risolve tutti i problemi”. L’IT deve trovare un modo per consentire l’accesso agli utenti alle ultime e migliori novità.

Un esempio sono le applicazioni di file sharing basate su cloud. Che si tratti di Box.net o Dropbox, ci sono situazioni in gli utenti hanno una reale necessità di condividere file di grandi dimensioni, e l’email non risolve il problema. In questo caso, l’IT deve permettere l’uso di una versione aziendale di box.net, mantenendo la visibilità e le policy di sicurezza che avrebbe se il servizio fosse ospitato sui server aziendali.

Questa soluzione – insieme a cloud broker o funzionalità firewall di nuova generazione per identificare, tracciare e gestire applicazioni basate su cloud – permetterebbe all’IT aziendale di soddisfare le esigenze degli utenti in modo tempestivo e supportare gli strumenti più recenti. Se l’It riesce a mostrarsi agile, fornendo al contempo la necessaria sicurezza, gli utenti smetteranno di cercare le risposte nella shadow IT.

Puntare sul perdono (e la formazione)

Credit:Pixabay
Credit:Pixabay

Secondo Mat Gangwer, Security Operations Leader di Rook Security, gestire la struttura IT con il pugno di ferro è, nella maggior parte dei casi, controproducente. Se monitorando i contenuti o la rete si scopre che è in uso qualcosa di non approvato, è abbastanza facile bloccarlo attraverso le protezioni di rete. Tuttavia, questa pratica di solito spinge i dipendenti a escogitare altri modi per aggirare i controlli. E’ importante avere un catalogo di servizi prontamente disponibile che elenca i servizi approvati. Essere in grado di identificare questi servizi e discutere con i dipendenti sul motivo per cui ne utilizzano altri “non approvati”. Nella maggior parte dei casi, la mancanza di formazione o di consapevolezza porta alla crescita della shadow IT.

CWI.it
Con 12 milioni di lettori in 47 paesi, Computerworld è la fonte di informazione e aggiornamento per tutti coloro che progettano, implementano o utilizzano la tecnologia in azienda.