Dal punto di vista dell’utente le policy aziendali sugli strumenti informatici permessi non vanno d’accordo con i requisiti di velocità e flessibilità che caratterizzano il modo di lavorare richiesto oggi, per questo rappresentano un ostacolo verso quella produttività che le aziende richiedono in misura sempre maggiore ai loro dipendenti per avere la competitività necessaria a cavalcare il mercato.
Questa è la motivazione che ha dato vita al fenomeno dello “Shadow IT” che consiste in tutte quelle iniziative personali dei dipendenti, ma anche molto spesso del reparto IT, che riguardano l’utilizzo di strumenti e applicazioni non previsti nelle policy aziendali, che invece vogliono identificare in insieme approvato di strumenti sulla base di attente considerazioni sulla sicurezza ragionate dal reparto IT stesso.
Si parla di Shadow IT ogni volta che qualche dipendente utilizza strumenti non previsti dalle policy o quando gli stessi tecnici sicuri della loro conoscenza e dimestichezza sulla materia ritengono che l’utilizzo di tali strumenti da parte loro non risulti pericoloso quanto lo sarebbe da parte di un utente comune.
Ne sono esempio i sistemi di sincronizzazione file e cartelle come Dropbox oppure piattaforme di backup alternative che in genere sono di tipo gratuito cloud based as-a-service (SaaS), ma rientrano anche i social e servizi di posta elettronica alternativi.
Più del’ 80% degli utenti conferma di utilizzare applicazioni di questo tipo e queste rappresentano ben il 35% della totalità degli strumenti informatici presenti in azienda.
Anche il responsabile CED e i tecnici sono degli utenti, soggetti alle stesse policy ma con una maggiore consapevolezza dei rischi che si corrono grazie alla maggiore conoscenza sulla materia che, a quanto pare, invece di guidare verso un’ attenzione più profonda li rende solo più sicuri del proprio operato, tanto che se vogliamo analizzare i numeri più da vicino ci accorgiamo che, se anche di poco, è più alta la percentuale degli addetti IT che cede all’utilizzo di strumenti non previsti di quanto non lo sia quella degli utenti comuni.
Risolvere il problema dello shadow IT vuol dire alleggerire le policy aziendali oppure in qualche modo farle rispettare, io credo che la soluzione sia fatta di entrambe le cose perché anche questa volta deve essere un compromesso.
Abbiamo appurato che regole troppo restrittive limitano la produttività, ogni tipo di utente infatti non le infrange per il gusto di farlo ma solamente per poter lavorare meglio, più velocemente e puntualmente, in altre parole vuole essere più produttivo e questa non può essere un’iniziativa da castigare perché lo fa in buona fede, per un fine giusto.
Dall’altra parte troppa libertà è un pericolo perché non c’è controllo a maggior ragione di questi tempi in cui le minacce ai dati aziendali sono dietro l’angolo e siamo soggetti a regolamenti sulla privacy che ci impongono di gestire la situazione in un certo modo.
Ancora una volta la ragione sta nel mezzo, entrambe le parti devono riconoscere le esigenze l’uno dell’altra perché solo in questo modo è possibile trovare quel punto, nel mezzo, che soddisfa entrambe.
Oggi non è più possibile pensare di gestire la situazione con metodi e strumenti legacy, perché non sono più adatti, il modo di lavorare è diventato smart, caratterizzato da forti componenti di mobilità e non solo per la forza vendita, serve condivisione di contenuti e informazioni ovunque, serve avere un’impronta social.
Per questo è necessario trovare il modo di soddisfare questo requisito nel rispetto della sicurezza e del controllo, tanto è inutile resistere a quest’onda di cambiamento perché l’unica cosa che può succedere è esserne travolti, invece bisogna cavalcarla, anzi sfruttarla.
Gli strumenti adatti ci sono già tutti, pronti che ci aspettano, del resto sono stati sviluppati apposta! Qualcuno prima di investirci soldi ci avrà pur creduto, no?
Oppure aspettiamo che succeda qualcosa per assicurarci che ne vale la pena e convincerci che è peggio quello che succede dopo, del resto siamo fatti così.
Identificare un parco software e utility che soddisfi sia le necessità di produttività che di sicurezza è un’attività deve partire dalla condivisione delle esigenze tra addetti a reparti diversi, perché identificare i capisaldi da rispettare è l’aspetto principale che permette di evitare successive iniziative personali, perché le esigenze saranno soddisfatte.
Lo Shadow IT è un rischio per le aziende e in quanto tale va gestito, non esitare, verifica da vicino se sulla tua rete aziendale vengono utilizzate applicazioni a rischio.
Come farlo?
Ecco un esempio, questo è il fac-simile del report generato da un'attività di Security Check Up, dal quale potrai avere tutte le informazioni utili per prendere le decisioni più corrette in tema di security.
Immagina di avere in mano i dati reali riguardanti la tua rete e quanto può essere interessante avere una consapevolezza così completa.