Go to Top

Shadow IT e sicurezza dei dati

Ombra IT

Qual è il significato del termine shadow IT noto anche come ombra IT?  In linea di principio, questo termine si riferisce alle soluzioni software e hardware di un ambiente enterprise che non sono state implementate o approvate in maniera ufficiale dall’azienda o dal dipartimento IT e di cui spesso non si conosce l’esistenza. Ombra IT è un termine neutro che però porta con sè una connotazione negativa nel linguaggio di oggi.

Come cresce l’ombra e quali implicazioni ha sulla sicurezza dell’azienda

La Shadow IT è spesso il risultato dell’esigenza di manager e dipendenti impazienti di accedere in maniera immediata alle componenti hardware o software e ai servizi web senza dover attendere le approvazioni necessarie dall’azienda.

Un’infrastruttura shadow IT può quindi diffondersi in maniera indisturbata quando i dipendenti utilizzano le proprie soluzioni cloud, scaricano applicazioni e collegano i propri dispositivi nell’ambiente corporate.

Secondo uno studio di IDG il 39% dei reparti specializzati delle imprese intervistate ha affermato che servizi cloud a pagamento vengono utilizzati per le comunicazioni all’interno degli uffici, per attività di project management, database o servizi di collaborazione senza che il dipartimento IT venga coinvolto.

Per i servizi cloud gratuiti questa percentuale sale al 69%. Un comportamento simile porta ad una crescita incontrollata dell’ombra che può creare problemi ancora più grandi alle policy di sicurezza interne e ai requisiti di conformità esterni.

Come affrontare e gestire i rischi

La diffusione del cloud computing e il tema della consumerizzazione IT si manifesta nel fatto che sempre più dipendenti non solo portano i propri dispositivi personali (BYOD) in azienda ma che li utilizzano anche all’interno della rete aziendale.

Con l’utilizzo dei dispositivi personali non solo aumentano i rischi di sicurezza ma anche la necessità di implementare una revisione accurata degli standard IT.

Un recente studio presentato da Trend Micro condotto su un campione di 600 aziende con almeno 500 dipendenti ha rivelato che le maggiori preoccupazioni riguardano i dispositivi mobile personali come smartphone e tablet. Di seguito riportiamo i 5 punti focali per la sicurezza aziendale identificati nello studio.

Rischi alla sicurezza

Gli smartphone enterprise-ready considerati tanto sicuri quanto facili da usare sono un ricordo del passato. I dipartimenti IT dovrebbero stabilire coscienziosamente dei criteri e accettare unicamente quei dispositivi personali che rispondono agli standard di sicurezza aziendale.

Agli apparecchi considerati pericolosi per la sicurezza dell’azienda dovrebbe essere limitato o negato l’accesso alla rete e ai dati corporate.

Perdita di dati

Poichè i dispositivi mobile possono essere facilmente persi o rubati la faccenda si complica se questi device cadono nelle mani sbagliate. Le aziende dovrebbero essere preparate a gestire questo genere di problemi e dovrebbero implementare delle password che blocchino l’accesso, crittografie sicure, soluzioni che permettano di effettuare una cancellazione da remoto (remote wipe) e educare i dipendenti ad un corretto utilizzo dei dispositivi. Per rendere il tutto più sicuro le soluzioni di gestione dei dispositivi mobile (MDMMobile Device Management) possono aiutare ad effettuare update automatici delle policy di sicurezza.

Conformità con le policy di sicurezza

La garanzia del rispetto delle policy di sicurezza IT può essere una vera e propria sfida per le aziende. Può infatti accadere con una certa  frequenza che gli utenti installino sui propri dispositivi software di terze parti e questo potrebbe creare terreno fertile per adware e malware trasformandosi quindi in un vero e proprio rischio alla sicurezza delle reti aziendali, dei server e dei dati stessi. Gli strumenti di Mobile Device Management possono facilitare il processo di conformità agli standard di sicurezza attraverso processi di controllo e verifica automatici. Se un tool di Mobile Device Management individua che i dispositivi non sono più conformi agli standard questi possono essere esclusi dal network aziendale e messi in una sorta di quarantena digitale.

Protezione dei dati personali

I dipendenti, dal canto loro, pensano anche all’integrità dei dati personali come foto, email, file musicali, contatti e applicazioni. Per questo motivo è necessario che i dati personali e quelli aziendali vengano separati in maniera meticolosa. Quindi il dipartimento IT può garantire la sicurezza dei dati business-critical rispettando al tempo stesso la privacy delle informazioni personali. Inoltre i dati aziendali possono essere archiviati in un “contenitore” criptato che può essere disabilitato o cancellato completamente.

Privacy

Com’è possibile coniugare in maniera soddisfacente gli interessi dell’azienda con quelli del singolo dipendente? Invece di effettuare login nelle comunicazioni personali e monitorare l’utilizzo e il transito dei dati in maniera permanente le misure di sicurezza dovrebbero limitarsi a determinati livelli. Poichè sempre più aziende supportano soluzioni cloud, consumerizzazione dell’ IT e BYOD queste dovrebbero adottare i suggerimenti sopra esposta in maniera seria e preventiva, limitatamente ai punti che la specifica attività richiede.  Nei prossimi anni sia le apparecchiature che l’infrastruttura e le singole esigenze subiranno in ogni caso una rapida evoluzione.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *