Shadow IT, perché bisogna averne paura

Lo Shadow IT è una minaccia alla sicurezza e ai budget aziendali e quindi è un problema di tutti, non solo dell’IT.

Negli ultimi anni, l’ascesa del Cloud e delle tecnologie as-a-Service ha reso più facile per i dipendenti acquistare e utilizzare le proprie applicazioni senza l’aiuto dell’IT. Il processo è molto semplice: basta andare sul portale del vendor e strisciare una carta di credito.

Aumenta quindi il potere di acquisto di singoli e unità aziendali, una “rivoluzione” che è stata fin da subito molto apprezzata. Il fatto di dover ricorrere ogni volta all’IT per ottenere software e applicativi necessari per lavorare era visto come un blocco alla produttività e all’agilità.

C’è anche uno studio Snow che lo dimostra: il 75% dei lavoratori intervistati ha riferito di sentirsi osservato, rallentato, frustrato o impattato negativamente dal fatto di dover chiedere ogni volta il “permesso” all’IT. Il fatto che con il Covid le organizzazioni si siano spostate ancora di più verso il lavoro remoto, ha reso questo fenomeno ancora più pronunciato.

Ma cosa vuol dire Shadow IT (IT “ombra”)? Con questo termine si indicano tutte quelle applicazioni che vengono scaricate e attivate senza che l’IT ne sia a conoscenza. Vivono all’interno dell’ecosistema IT ma sono al di fuori dalla IT governance.

Le conseguenze dello Shadow IT

E quindi, qual è l’impatto dello Shadow IT sull’organizzazione? E perché è un problema non solo dell’IT?

Il primo è un impatto in termini di sicurezza. Il fatto che ci siano delle applicazioni non gestite e quindi al di fuori della conformità stabilita dall’azienda e dai sistemi di controllo definiti a tutela della business continuity, espone l’azienda a rischi di data breach o di violazioni. Basta una sola vulnerabilità (un sistema operativo obsoleto, una patch non distribuita ecc.) per dare agli hacker in mano le chiavi per accedere ai dati dell’intera azienda.

Se poi consideriamo che gli accessi possono verificarsi da dispositivi al di fuori del perimetro aziendale (pensiamo ai BYOD, Bring Your Own Device che l’emergenza Covid ha reso necessari), capite bene che le possibilità di rischio aumentano. La connessione a una rete non sicura, password deboli e altri fattori contestuali fuori controllo… gli elementi critici sono molti. Ne abbiamo parlato anche qui.

CIO e CISO non dormono alla notte per trovare soluzioni e modalità di controllo che bilancino l’accessibilità con la sicurezza.

Il secondo impatto è di tipo economico. Ci troviamo a che fare con infrastrutture IT sempre più complesse e ibride, divise tra server installati localmente (on-premises) e virtuali, con risorse accessibili a consumo e magari ripartite su più cloud provider.

Il cloud è spesso lodato per la sua facilità di acquisto e di attivazione, ma è un attimo che le spese vadano fuori controllo. Lato consumer ci possono essere dei rinnovi automatici di abbonamento dimenticati o dei workload (carichi di lavoro) o macchine che continuano a “lavorare” senza che il developer o il tecnico le abbia disattivate. Sono strumenti “zombie”, che sono morti ma che continuano a vivere di vita propria. Ma anche se non vengono più usati, li si continua a pagare.

Sulle fatture che arrivano ci sono delle spese difficili da giustificare, ma è difficile risalire alle singole voci di costo.

Come possiamo risolvere il problema Shadow IT?

Non si risolve dall’oggi al domani, ma ci sono delle azioni che le aziende possono mettersi in atto per tutelarsi:

• utilizzo di inventari automatici evoluti

L’IT può servirsi di strumenti di inventariazione automatica in grado di tracciare in tempo reale tutto quello che è presente nell’ecosistema aziendale (hardware, software, applicazioni cloud utilizzate). In questo modo è possibile identificare a colpo d’occhio tutte le “nuove” aggiunte e i relativi dettagli, prendendo provvedimenti se sono presenti criticità.

• monitoraggio costante con strumenti di usage tracking

Un altro valido supporto è costituito dagli strumenti che monitorano l’utilizzo che gli utenti fanno degli applicativi, in modo da identificare le risorse non più necessarie. Se dai report emerge che ci sono dei software abbandonati a loro stessi o sovradimensionati rispetto all’utilizzo che se ne fa, si possono mettere in atto dei meccanismi per dismetterli o ridimensionarli su piani inferiori.

• inserimento di meccanismi di chargeback e showback

L’IT può attivare dei meccanismi che offrono visibilità e informazioni ai dipartimenti sull’uso e sulle spese delle risorse IT per educarli a un consumo consapevole.

Che il potere d’acquisto si sia trasferito ai singoli e alle unità aziendali è un dato di fatto, ma l’IT può dare un contributo di valore: data la sua esperienza, può posizionarsi come facilitatore per una migliore gestione del rischio e di governance!