Il manager IT che ha distrutto lo Shadow IT

Combattere lo shadow IT e riprendere il controllo del proprio sistema software

Lo shadow IT è diventato un termine familiare, almeno negli uffici di tutte le aziende moderne, ma quello di cui molte organizzazioni non si rendono conto è la quantità di rischi in cui si incorre ignorando questo tipo di installazioni tecnologiche maligne. Secondo uno studio, una grande azienda in media utilizza 1220 singoli servizi nel cloud, pari a 13 volte i 91 servizi riconosciuti dai dipartimenti informatici. Lo shadow IT non va solo a contrastare direttamente l'operato del reparto IT, ma può generare vulnerabilità nella sicurezza e spese inutili. Di norma, i dipendenti si affidano allo shadow IT perché pensano di far risparmiare tempo e denaro alla propria azienda e al relativo dipartimento informatico. In realtà, aggirare l'IT non fa che bypassare le fondamentali protezioni per la gestione, l'integrazione, la sicurezza e la conformità che questo supporta.

Immaginate un mondo in cui lo shadow IT abbia permeato ogni centimetro dell'impresa, arrivando a minacciare la sicurezza, la redditività e l'efficienza dell'intera azienda più di quanto chiunque avrebbe potuto immaginare. Un vero Far West, con sparatorie in strada, donzelle in pericolo e il pianoforte del saloon di sottofondo. Ma ecco arrivare Clark, il responsabile IT ed eroe di questa nostra storia, insieme al suo superiore Cynthia, direttrice informatica, e al suo fidato compagno Steve, l'amministratore di sistema. I tre si siedono silenziosamente l'uno accanto all'altro. Il loro dipartimento ha perso il controllo e nessuno sa per certo quali tecnologie siano in uso nell'azienda. La consumerizzazione dell'IT, cioè il ciclo innescato dai dipendenti che portano in ufficio le tecnologie di mercato più popolari tra i consumatori, ha fatto sì che queste tecnologie venissero sfruttate lasciando il reparto IT totalmente all'oscuro.

Il problema non riguarda solo Clark e il suo team. Secondo un sondaggio di Intel Security, il 23 % degli intervistati ha dichiarato che il loro reparto gestisce la sicurezza senza alcun aiuto da parte dell'IT.

Un giorno, Clark decide che così non si può andare avanti. Non potendone più di dipendere dai capricci dello shadow IT ed essendo stufo di non sapere quali tecnologie vengano utilizzate per portare avanti l'attività, decide di intervenire. Riunisce il suo team, stabilisce un piano d'azione e si fionda a capofitto nella lotta allo shadow IT.

In qualità di azienda che dipende in larga misura dall'approvazione del reparto IT, volevamo saperne di più su cosa ne pensa Clark delle applicazioni maligne, e capire meglio il suo approccio sistematico allo shadow IT e alla costruzione di una cultura di gestione del settore informatico più trasparente.


Icona di Lifesize

Lifesize
Il fornitore di software per la comunicazione e collaborazione nel cloud

Icona di Clark

Clark
Icona di un responsabile IT eroico, in un'azienda non molto diversa dalla tua

Come siete riusciti a individuare il problema? Cosa avete fatto per scovare i trasgressori peggiori?

Tutto è cominciato con un articolo che mi è capitato tra le mani e che diceva: “Sette dirigenti su dieci non hanno idea di quante applicazioni di shadow IT vengano utilizzate all'interno della loro organizzazione.” Mi è subito venuta voglia di verificare se fosse così anche nella mia. Il mio team aveva sentito parlare spesso delle applicazioni usate dai diversi reparti nei loro uffici, ma nessuno ci aveva mai consultato direttamente. Anche se alcune erano buone, altre erano potenzialmente dannose e noi non potevamo permetterci di rischiare. Abbiamo avviato un attento monitoraggio per vedere se nelle nostre analisi periodiche sarebbero saltati fuori applicazioni o strumenti sconosciuti, finendo per effettuare una verifica della vulnerabilità a livello aziendale.

Esistono programmi pensati specificatamente per individuare le nuove applicazioni in una determinata rete. Gli sniffer di rete e gli strumenti per le analisi di sicurezza possono fornire informazioni dettagliate su flussi di dati nuovi o ignoti. Ovviamente, un semplice monitoraggio non consente di rimuovere del tutto la minaccia dello shadow IT, ma fornisce utili approfondimenti. L'analisi, infatti, non ci ha solo mostrato che i nostri dipendenti utilizzavano strumenti di cui non eravamo a conoscenza, ma ci ha dato utili informazioni per effettuare una valutazione del rischio e, nei casi peggiori, valutare soluzioni alternative che fossero più in linea con le nostre esigenze.

Avete mai ricevuto dei rifiuti quando il vostro dipartimento IT non è stato in grado di supportare gli strumenti desiderati da un determinato reparto?

Certo. Abbiamo diversi telelavoratori fra i nostri dipendenti e una delle cose che abbiamo scoperto quasi subito è che, se non esistono modalità approvate dal'IT per consentire loro di lavorare anche in movimento, le troveranno da soli. Questo, però, può comportare notevoli rischi, tra cui la trasmissione di documenti non protetta, dispositivi smarriti o rubati e via dicendo. Abbiamo scoperto che essere trasparenti sulle esigenze di sicurezza e di rete, come pure incoraggiare i dipendenti a rivolgersi al reparto IT nel primo approccio con il nuovo software, permette di essere inclusi in molte più discussioni e di avere una posizione migliore per effettuare le scelte definitive. Sareste sorpresi nel constatare quanto la gente sia felice di disporre del nostro aiuto nel cercare e scegliere soluzioni, invece di menare il can per l'aia tentando di fare da sé.

Come siete riusciti a convincere i vostri dipendenti a farsi avanti con informazioni sui loro programmi di shadow IT? Non deve essere stato facile.

All'inizio sì. Lo shadow IT rappresenta un pericolo assoluto solo per le aziende che non sono disposte ad occuparsene, cosa che noi invece abbiamo fatto. La tendenza delle aziende informatiche è di scagliarsi con violenza contro tutti coloro che utilizzano software non approvati, minacciandoli con un approccio un po' troppo duro per i miei gusti. Al contrario, abbiamo deciso di adottare una strategia pacifica, in grado di offrire un porto sicuro ai dipartimenti che utilizzavano lo shadow IT. Invece di prendere il controllo di questi programmi e bloccarli, abbiamo fatto un passo indietro, determinando i rischi e offrendo soluzioni simili per ottenere gli stessi risultati ove necessario. In questo modo, siamo anche riusciti ad avviare un dialogo sui rischi associati a ogni singolo programma, stabilendo una linea comune e instaurando un rapporto di fiducia e trasparenza tra “noi” e “loro”.

Come siete riusciti a mantenervi coerenti con questa strategia? Il vostro problema di shadow IT è stato risolto, ma come fate a essere sicuri che non si ripresenti?

Un sacco di gente mi ha fatto la stessa domanda, ma la risposta è molto semplice: è tutta una questione di relazioni. Ho instaurato un rapporto con il dirigente di ogni dipartimento, tramite incontri regolari per discutere della strategia a livello tecnologico e creare un dialogo aperto tra i reparti e l'organizzazione IT. Inoltre, era fondamentale che il mio superiore, Cynthia, direttrice informatica, mantenesse un contatto ravvicinato con il resto dello staff IT sulla trasparenza tecnologica e sui potenziali rischi dell'adozione di tecnologie non approvate.

Avendo combattuto con successo lo shadow IT, che consigli avete per i reparti informatici che hanno appena iniziato ad affrontare il problema nelle proprie organizzazioni?

Basta sfruttare il vantaggio di creare un dialogo aperto con i clienti, ovvero i colleghi in tutta l'azienda. Ascoltate i loro commenti, chiedete informazioni sui problemi che devono risolvere e siate sempre pronti a fornire suggerimenti utili. Un giorno mi è stato richiesto di analizzare uno strumento che era già stato approvato e utilizzato in un altro dipartimento dell'azienda. In questo caso, modificare l'abbonamento aggiungendo qualche licenza in più è stato molto più facile ed economico che avviare un contratto nuovo. L'ultimo consiglio che posso dare è di non sottovalutare mai il potere di un'interfaccia utente semplice: cercate sempre di trovare un equilibrio tra i requisiti di rete e di sicurezza e la facilità d'uso delle applicazioni per gli utenti finali. Una delle cose che ricerco è l'integrazione con il nostro SSO, per diminuire il numero di password da ricordare e aggiornare nel corso dell'anno.

 

La combinazione di password poco sicure e app di shadow IT può introdurre vulnerabilità significative. Dai un'occhiata all'articolo del nostro blog, "The Best Defense Against IoT DDoS Attacks" per proteggere la tua rete.

Lifesize

Lifesize è un sistema di collaborazione approvato dagli informatici perché costruito pensando all'IT, per fornire sicurezza, flessibilità e affidabilità della rete. Vantiamo più di dieci anni di esperienza nella progettazione di videocamere ad alta definizione e smartphone touchscreen e, grazie alla nostra interfaccia intuitiva e alla directory condivisa, siamo in grado di fornire agli utenti tutto ciò di cui hanno bisogno per collaborare in maniera efficace tramite applicazioni approvate dal reparto IT, eliminando la necessità di ulteriori app potenzialmente pericolose. Per impostazione predefinita, i flussi di comunicazione di Lifesize supportano la crittografia TLS (Transport Layer Security) e 128-bit AES per tutti i segnali e operano su una rete con fibra privata tramite IBM Cloud. Come se non bastasse, il nostro servizio pluripremiato è sostenuto finanziariamente da un accordo sul livello di servizio (SLA) che prevede assistenza tutti i giorni, 24 ore al giorno, tutto l'anno.

FONTI
http://blogs.cisco.com/cloud/shadow-it-rampant-pervasive-and-explosive
http://www.csoonline.com/article/3083775/security/shadow-it-mitigating-security-risks.html
http://www.digitalistmag.com/resource-optimization/2016/02/11/2016-state-of-shadow-it-04005674

Hai bisogno di ulteriore assistenza?
Contatta uno dei nostri rappresentanti di vendita locali.