▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Kaspersky: c'è sempre il rischio della shadow IT

Applicazioni, device e servizi non "autorizzati" dall'IT aziendale comportano sempre problemi di cybersecurity. E i numeri lo provano.

Sicurezza

Il concetto di shadow IT non è certo cosa nuova. È da anni che si parla di come l'ingresso "libero" - ossia fuori dal controllo dello staff IT - in azienda di nuovi dispositivi, servizi digitali e applicazioni rappresenti, a seconda dei punti di vista, un problema o un vantaggio. Nel tempo il dibattito si è trasformato in una constatazione di un dato di fatto: la shadow IT comunque esiste, in qualsiasi azienda.

I termini della questione però non sono cambiati da quanto le aziende hanno iniziato a porsela, e valgono anche nell'era della trasformazione digitale massiva. Che sia solo lo staff IT aziendale a decidere cosa usare e come, può rappresentare una rigidità eccessiva. D'altro canto "aprire" indiscriminatamente l'infrastruttura IT d'impresa - già abbastanza attaccabile di suo, mediamente - comporta problemi importanti di cybersecurity.

Gli anni passano ma la situazione non migliora. Semmai il contrario, perché il controllo (quasi) totale dello staff IT su quello che i colleghi usano è ormai impossibile. Perché comporta un notevole sforzo operativo ma soprattutto perché è opinione diffusa, lato business, che l'innovazione proceda insieme all'adozione rapida di strumenti sempre più nuovi e numerosi. E il CIO, o il CISO, non possono certo frenarla.

Problema: ignorare o aggirare le policy e le procedure di cybersecurity nell'adozione di nuovi strumenti IT è un rischio. Lo conferma Kaspersky, con uno studio secondo cui negli ultimi due anni l’11% delle aziende di tutto il mondo ha subito incidenti informatici dovuti all’uso di dispositivi IT non autorizzati da parte dei dipendenti.

Il problema ha riguardato in particolare le aziende del comparto IT, per le quali la quota di incidenti informatici dovuti alla shadow IT sale al 16%. Ma non sono messe bene - con una percentuale del 13% - nemmeno le imprese che operano nei settori delle infrastrutture critiche e della logistica.

Kaspersky porta come esempio dei pericoli della shadow IT la recente violazione delle infrastrutture di Okta. Un dipendente ha utilizzato un account Google personale su un dispositivo aziendale e in questo modo ha involontariamente "aperto" ad hacker ostili la rete della sua azienda. Gli attaccanti hanno potuto così accedere al sistema di assistenza clienti di Okta e sottrarre token di sessione che potevano essere utilizzati per condurre attacchi mirati.

Uno degli aspetti che rende più complessa la questione della shadow IT, spiega Kaspersky, è che questa può assumere molte forme. Alcune sono davvero ovvie, come i servizi cloud e i dispositivi personali usati anche in azienda perché percepiti come semplici e produttivi. Altre sono meno scontate, come dispositivi hardware dismessi, ma ancora usati, o piccoli software sviluppati in-house - e magari in maniera non proprio "secure by design" - per risolvere esigenze interne specifiche.

Considerato che non lo si può eliminare del tutto, come si riduce il rischio della shadow IT? Per Kaspersky le soluzioni tecniche ci sono - ad esempio le piattaforme di IT inventory, scansione della rete e ovviamente cybersecurity in generale - ma è soprattutto una questione di formazione e consapevolezza, dei dipendenti ma anche dello staff di cybersecurity. Tutte misure da seguire, secondo Kaspersky, perché il problema di certo non si risolve da solo: la shadow IT potrebbe diventare una delle principali minacce alla sicurezza informatica aziendale entro il 2025.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di ImpresaCity.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Reportage

Cybertech Europe 2024

Speciale

Speciale Data Analitycs

Speciale

Speciale Multicloud

Speciale

Speciale Storage

Speciale

Speciale Networking

Calendario Tutto

Nov 26
WPC 2024
Nov 26
IDC CIO Forum, Milano
Dic 03
Dynatrace Innovate Italy
Dic 05
Nutanix Cloud Day Roadshow - Torino
Dic 11
NetApp INSIGHT Xtra
Gen 23
Nutanix Cloud Day Roadshow - Bari

Magazine Tutti i numeri

ImpresaCity Magazine


Leggi il Magazine

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter