Che cosè Shadow IT e perché è un problema?

Le aziende spendono molti soldi per l'acquisto di apparecchiature informatiche. Gli acquisti di hardware possono essere sotto forma di entrambi i dispositivi dell'utente finale come laptop, desktop e telefoni cellulari, ma includono anche altro hardware per computer come server e apparecchiature di rete. Le aziende possono anche spendere ingenti somme di denaro in software da eseguire sull'hardware. Nel loro insieme, queste sono infrastrutture ufficiali, poiché la società ha approvato il loro utilizzo per scopi commerciali.

Shadow IT è il nome dell'infrastruttura non ufficiale, in cui le persone hanno iniziato a utilizzare dispositivi, software o servizi cloud non approvati. L'infrastruttura shadow non deve necessariamente avere un uso aziendale. Ad esempio, se un'azienda vieta il BYOD, noto anche come Bring Your Own Device, e un dipendente collega il proprio telefono cellulare personale alla rete aziendale, ciò conta ancora come shadow IT. Questo perché il dispositivo è connesso a una rete aziendale da cui potrebbe diffondere malware, ecc. se fosse stato compromesso.

Anche il software non approvato è classificato come shadow IT. Poiché il software verrà eseguito sui computer aziendali, potrebbe influire negativamente sulle prestazioni o sulla sicurezza dei dispositivi o delle reti. I principali rischi di software non approvato sono che non venga aggiornato o che l'utente riceva una copia non ufficiale e carica di malware.

I servizi cloud IT sono una parte relativamente recente dell'IT ombra che può essere utilizzata per elaborare i dati, il problema è che questi servizi potrebbero non rientrare nell'obbligo legale dell'azienda di proteggere i dati e non trasferirli ad altre società. I servizi cloud non approvati hanno anche una probabilità significativamente inferiore di passare attraverso un adeguato processo di rafforzamento, rendendoli più vulnerabili ai tentativi di hacking.

Lo Shadow IT non è un rischio facile da preparare e gestire perché per definizione i problemi esatti e i rischi che comportano sono sconosciuti. L'unico modo per prepararsi è creare procedure e piani e avere chiare conseguenze per la violazione delle regole. È anche particolarmente importante garantire che le procedure ufficiali per richiedere attrezzature, ecc. correttamente siano facili da usare, in quanto ciò riduce la possibilità che i dipendenti ricorrano a qualcosa che non dovrebbero perché è più facile.