SHADOW IT: QUANDO GLI UTENTI FANNO DA SOLI
C'è stato un tempo in cui l'IT aziendale corrispondeva a un unico, grande elaboratore installato in ampi locali a temperatura e umidità controllate, davanti al quale erano ammessi solamente i tecnici che trascorrevano il loro tempo svolgendo il loro lavoro allo scopo di ricavare le informazioni e le funzionalità di cui il business aveva bisogno. Era un ambiente strettamente controllato, al quale non poteva fisicamente accedere nessuno che non fosse autorizzato a farlo per un buon motivo. I dati erano al sicuro, le applicazioni sempre di fonte fidata se non addirittura sviluppate internamente.
Poi è arrivata la rivoluzione del personal computer: improvvisamente chiunque poteva accedere al PC, era sufficiente accenderlo e quello era pronto a svolgere qualsiasi compito ed eseguire qualsiasi software gli venisse fornito attraverso un dischetto. Con le prime generazioni di sistemi operativi consumer come MS-DOS e Windows non c'erano quasi mai reti e non c'erano credenziali utente: il PC era lì, a disposizione di tutti coloro che avessero un minimo di competenze per poterlo usare.
Ben presto le cose sarebbero però cambiate. La diffusione delle reti locali prima e di Internet poi, l'arrivo della multiutenza ispirata agli ambienti più sofisticati come Unix con la possibilità di definire privilegi di accesso differenti a seconda delle credenziali personali, l'aumento della complessità dei sistemi operativi con le conseguenti esigenze di aggiornamento e protezione sono tutti fattori che hanno riportato alla ribalta i reparti IT aziendali, che da allora regolano accessi, collegamenti, software installati e utenti ammessi assicurando omogeneità e sicurezza delle operazioni.
Ma di recente le cose sono nuovamente cambiate. Il digitale si è inserito ormai in ogni angolo della nostra vita personale e professionale offrendoci strumenti sempre nuovi e coinvolgenti che rendono oggettivamente difficile tenere separati i due ambiti. L'utilizzo di dispositivi personali a scopo lavorativo (un modello che, grazie agli anglofoni, ha un nome tutto suo: BYOD: Bring Your Own Device), la crescente quantità di attività effettuate al di fuori dei perimetri aziendali attraverso lo smart working, la maggior dimestichezza degli utenti con strumenti e applicazioni digitali con la conseguente indipendenza di scelta rispetto ai vincoli imposti dai reparti IT aziendali stanno dando vita a una realtà più fluida, meno controllabile e potenzialmente tanto rischiosa quanto efficace.
Siamo entrati nell'era della cosiddetta Shadow IT (IT ombra), e non ne usciremo tanto presto. È dunque il momento di imparare a conoscerla e gestirla.
PERCHÈ LA SHADOW IT CI RIGUARDA TUTTI
Dietro l'appellativo un po' minaccioso di "IT ombra" si cela una realtà che tutti ormai conosciamo: quella che ricomprende qualsiasi risorsa digitale – dispositivi, servizi, applicazioni – che non venga erogata e gestita dal dipartimento o dal fornitore IT aziendale. In altre parole: tutta quella moltitudine di strumenti non ufficiali e non approvati che i singoli dipendenti scelgono, attivano, installano, configurano e utilizzano in maniera del tutto autonoma.
Molti di questi li conosci senz'altro anche tu: parliamo di applicazioni come Whatsapp e Telegram, Dropbox e Google Drive, Zoom, Trello e gli infiniti servizi di posta elettronica gratuita come Gmail, Hotmail e via dicendo.
Ma nella Shadow IT possono finire anche altre risorse meno evidenti: accessi a reti Wi-Fi non di proprietà, estensioni (o plugin) dei browser, applicazioni scaricate da Internet magari per risolvere una necessità del momento, per non parlare del cloud e di tutto quello che vi si può trovare. Tutti elementi che finiscono con il formare una sorta di ambiente IT parallelo che rimane sotto il completo controllo dell'utente e del tutto svincolato da ogni procedura e protezione aziendale.
Tutto questo non avviene per un capriccio degli utenti o per una qualche velleità di dimostrare la propria indipendenza rispetto agli obblighi imposti dai dipartimenti IT. Al contrario, la motivazione principale è proprio quella di trovare rapidamente soluzioni efficienti a esigenze collegate al lavoro.
Un esempio che qualche volta sarà probabilmente toccato anche a te: devi inviare a un tuo fornitore un file di dimensioni particolarmente grandi, diciamo l'esecutivo di una brochure da 850 MB che devi far stampare velocemente dalla tua tipografia di fiducia in vista di un evento marketing. Il tuo sistema di posta elettronica aziendale non consente tuttavia di inviare allegati di dimensioni superiori a 3 MB, una scelta fatta originariamente dagli amministratori IT per non intasare il server e gli archivi all'epoca in cui magari 3 MB erano veramente "tanta roba". Cosa fai allora? Metti la brochure su uno spazio condiviso come Google Drive e comunichi il relativo link al tuo fornitore, oppure ti rivolgi un servizio di trasferimento file come WeTransfer, o ancora usi una tua casella e-mail personale che consente di spedire allegati fino a 2 GB.
Qualsiasi sia il metodo scelto, la tua sensazione sarà quella di aver risolto rapidamente un’urgente necessità di business aggirando una limitazione anacronistica del tuo IT aziendale che non ha saputo restare al passo con i tempi. In realtà hai appena fatto ricorso anche tu alla Shadow IT mettendoti al di fuori di ogni regola, controllo e protezione.
Ovviamente in un caso come questo sarebbe difficile darti torto. Oggi siamo tutti abituati a utilizzare strumenti digitali pratici e comodi che portiamo sempre con noi nel nostro smartphone; a differenza degli utenti di PC di venti o trent'anni fa sappiamo dove andare a cercare la app che fa al caso nostro, magari anche valutarne l'affidabilità dando una scorsa alle recensioni (i termini e condizioni no, sono testi troppo noiosi), e a installarla in pochi minuti.
A maggior ragione considera il punto di vista della generazione dei cosiddetti "nativi digitali": giovani che da qualche anno stanno facendo il loro ingresso nel mondo del lavoro e che hanno oggettive difficoltà a capire come mai nelle aziende ci si incaponisca ancora a mantenere vecchi programmi pieni di limiti e complicazioni quando ormai, ben addentro il XXI secolo, i livelli standard raggiunti dal software sono ben altri. È quella che gli osservatori chiamano "richiesta di vivere un'esperienza consumer quando si lavora con l'informatica aziendale", frutto dell'abitudine a un certo tipo di interfaccia, di interconnessione tra dati e funzioni, di possibilità di personalizzazione.
Ed è una situazione più diffusa di quanto tu possa immaginare: secondo diversi sondaggi, l'80% dei dipendenti si avvale per lavoro di servizi software non pre-approvati dai loro dipartimenti IT, mentre il 67% dei team utilizza strumenti digitali adottati in modo indipendente. Il 77% dei professionisti è convinto che il ricorso alla Shadow IT quando necessario consenta alle aziende di lavorare meglio ed essere più veloci ed efficaci nel raggiungimento dei risultati.
Ma allora, se è questione di dare agli utenti ciò che essi vogliono permettendo di ottenere risultati migliori, davvero la Shadow IT è una cosa così negativa?
L'EVANESCENZA DEL PERIMETRO IT AZIENDALE
Facciamo un passo indietro e cerchiamo di ricordarci che cos'è effettivamente un ambiente IT aziendale: indipendentemente da quanto ampio e complesso possa essere, si tratta sempre del punto di arrivo di una serie di esigenze tecniche, di business, di budget e persino di legge spesso contrastanti tra loro.
L'informatica di ogni azienda nasce per risolvere delle necessità operative adottando soluzioni tecniche in linea con le dimensioni e la capacità di spesa dell'azienda stessa tenendo in considerazione requisiti di vario genere che vanno dalla protezione contro il cybercrimine al rispetto delle normative sul trattamento dei dati sensibili e al controllo sulle autorizzazioni e attività degli utenti in base al ruolo di ciascuno di essi.
Considera l'ambiente IT della tua impresa come un organismo che deve rispondere a imperativi differenti, tutti ugualmente essenziali. Se la tua casella e-mail impone dei limiti alle dimensioni degli allegati ci sarà un buon motivo, magari legato alle capacità della rete piuttosto che alle caratteristiche dei sistemi di backup. Se il sistema di cartelle condivise funziona solo per gli utenti interni all'organizzazione e non permette di coinvolgere persone esterne, indubbiamente è per garantire la riservatezza di documenti e informazioni rispettando i relativi mandati formali di compliance.
Su tutto questo vigila costantemente il tuo dipartimento IT o, se hai un'attività più piccola, il tuo consulente/ fornitore IT grazie a una conoscenza approfondita di tutti i vari elementi che compongono l'ambiente.
Nel momento in cui ricorri alla Shadow IT, tuttavia, è come se tu estendessi i confini dell'ambiente IT della tua azienda senza che i tecnici responsabili ne sappiano nulla. Quindi ti stai prendendo una bella responsabilità:
- Quella app o quel servizio sono davvero sicuri?
- I relativi server sono conformi alle normative come il GDPR o magari stai trasferendo dati personalmente identificabili al di fuori dell'Unione Europea senza rendertene conto?
- Il software che ti viene richiesto di scaricare e installare è immune da malware?
- È perfettamente compatibile con il resto del tuo ambiente?
- Sei certo che non vengano estratte informazioni supplementari rispetto a quelle che immagini?
- Come vengono gestiti aggiornamenti e backup?
- Ci sono costi monetari e tecnici nascosti?
- Quali conseguenze provoca sulla compliance aziendale?
A ben vedere, queste non sono altro che le domande che qualsiasi professionista IT si pone ogni volta che deve valutare l'adozione di una nuova soluzione per la sua azienda o i suoi clienti. Quando tu decidi di introdurre la Shadow IT nel tuo ambiente, non fai altro che scavalcarlo togliendogli visibilità e controllo.
Le conseguenze possono essere deleterie: è logicamente impossibile mantenere in salute un ambiente nel quale siano presenti elementi sconosciuti che, come tali, restano fuori dalle procedure standard di sicurezza e di aggiornamento. Risolvere guasti e malfunzionamenti diventa più difficile se i tecnici non sanno esattamente cosa è installato su un sistema. La superficie di attacco a disposizione dei cybercriminali si allarga. La comodità immediata della Shadow IT si trasforma in una spada di Damocle a lungo termine
IL COSTO DI UN OSPITE INDESIDERATO
Chi si incammina lungo il sentiero della Shadow IT non ha mai la certezza di sapere chi si trova davanti. Basta veramente poco per portarsi in casa codice infido che fa molto più di quel che dice:
Le conseguenze possono essere deleterie: è logicamente impossibile mantenere in salute un ambiente nel quale siano presenti elementi sconosciuti che, come tali, restano fuori dalle procedure standard di sicurezza e di aggiornamento. Risolvere guasti e malfunzionamenti diventa più difficile se i tecnici non sanno esattamente cosa è installato su un sistema. La superficie di attacco a disposizione dei cybercriminali si allarga. La comodità immediata della Shadow IT si trasforma in una spada di Damocle a lungo termine
IL COSTO DI UN OSPITE INDESIDERATO
Chi si incammina lungo il sentiero della Shadow IT non ha mai la certezza di sapere chi si trova davanti. Basta veramente poco per portarsi in casa codice infido che fa molto più di quel che dice:
- un cryptominer o miner di criptovalute, che consumerà la capacità di calcolo dei tuoi sistemi (gonfiando quindi la tua bolletta elettrica) per generare monete digitali che arricchiranno l'autore del plugin o della app che hai installato senza troppe attenzioni;
- un bot che utilizzerà la tua rete come intermediario per inviare spam, lanciare attacchi DDoS o effettuare altre azioni illecite ribaltando (almeno inizialmente e/o parzialmente) la responsabilità su di te: chi credi che verrà chiamato a fornire spiegazioni quando qualcuno dovesse accorgersi che un attacco è partito dal tuo indirizzo IP?
- un malware specializzato nell'esfiltrazione di dati: ovvero un codice spia che registra in modo nascosto tutto quello che digiti alla tastiera, osserva i documenti che apri, legge le e-mail che ricevi e spedisci. Tutte le informazioni così raccolte vengono quindi messe in vendita sul Dark Web, dove chiunque potrà acquistarle per assumere la tua identità, entrare nei tuoi sistemi, impossessarsi delle tue credenziali e così via;
- un dirottatore di pagamenti: stanno sempre più diffondendosi malware capaci di intercettare e modificare al volo le coordinate bancarie che compaiono sui documenti e sulle pagine web che un malcapitato utente sta consultando. In questo modo tu sei convinto di aver saldato un fornitore quando in realtà i fondi sono stati inviati a uno sconosciuto chissà dove. Auguri per recuperare il maltolto (spoiler: no, non ci riuscirai) e spiegare al tuo creditore i motivi per cui non gli risultano pagate le sue fatture!
Tutti questi illeciti possono essere effettuati con codice di piccole dimensioni progettati per potersi annidare facilmente anche nei plugin o nelle estensioni dei browser o nelle piccole utility "freeware" disponibili ovunque.
D'altra parte la consapevolezza delle minacce che circolano in questo ambiente non toglie nulla alle motivazioni da cui nasce la Shadow IT: il lavoro risulta spesso più rapido ed efficiente se si è in grado di utilizzare strumenti moderni, efficaci e veloci che la tecnologia mette a disposizione senza dover attendere le decisioni e le eventuali tempistiche di intervento dei reparti IT o dei consulenti esterni.
Possiamo affermare quindi che la Shadow IT è qui per rimanere: non potendola estirpare, l'approccio giusto è dunque quello di controllarla con il duplice obiettivo di accontentare gli utenti (che in fondo non chiedono altro che poter lavorare in maniera efficiente) e lasciar fuori gli elementi pericolosi.
D'altra parte la consapevolezza delle minacce che circolano in questo ambiente non toglie nulla alle motivazioni da cui nasce la Shadow IT: il lavoro risulta spesso più rapido ed efficiente se si è in grado di utilizzare strumenti moderni, efficaci e veloci che la tecnologia mette a disposizione senza dover attendere le decisioni e le eventuali tempistiche di intervento dei reparti IT o dei consulenti esterni.
Possiamo affermare quindi che la Shadow IT è qui per rimanere: non potendola estirpare, l'approccio giusto è dunque quello di controllarla con il duplice obiettivo di accontentare gli utenti (che in fondo non chiedono altro che poter lavorare in maniera efficiente) e lasciar fuori gli elementi pericolosi.