Homepage
Torna alla panoramica

Shadow IT

La Shadow IT indica l'utilizzo di software, app, servizi cloud o dispositivi in ambito professionale senza il consenso o l'approvazione del reparto IT competente. Esempi tipici sono il salvataggio di dati di lavoro in un account cloud personale, l'utilizzo di strumenti di comunicazione non autorizzati o il collegamento di dispositivi personali alla rete aziendale senza integrazione nell'infrastruttura IT ufficiale. La Shadow IT non nasce nella maggior parte dei casi da cattive intenzioni, ma dal desiderio di lavorare in modo più efficiente o comodo.

Il problema centrale della Shadow IT è la mancanza di visibilità per il reparto IT. Ciò che non è noto non può essere verificato per vulnerabilità di sicurezza né integrato nei processi di conformità. Le applicazioni non autorizzate non sono soggette alle policy interne di protezione dei dati, non ricevono aggiornamenti di sicurezza e possono far confluire dati personali o riservati in sistemi non controllati. Per le aziende soggette alla direttiva NIS2 o ai requisiti del GDPR, la Shadow IT rappresenta quindi un rischio di conformità immediato.

Un ente scolastico che mette a disposizione degli insegnanti iPad di servizio si trova di fronte a un concreto problema di Shadow IT quando gli insegnanti utilizzano servizi di file sharing personali per condividere materiali con gli studenti. Lo stesso vale per le aziende in cui i dipendenti usano gruppi WhatsApp per la comunicazione interna perché la soluzione ufficiale viene percepita come scomoda. In entrambi i casi, dati sensibili potrebbero lasciare l'ambiente IT controllato senza che i responsabili IT ne vengano a conoscenza.

L'approccio più efficace contro la Shadow IT combina policy chiare con alternative autorizzate e attrattive. I divieti da soli raramente raggiungono l'obiettivo, perché non eliminano la causa reale. A complemento, misure tecniche come un MDM aiutano a impedire l'installazione di app non autorizzate sui dispositivi gestiti e a subordinare l'accesso alle risorse aziendali al rispetto delle policy di sicurezza definite.

La Shadow IT può essere arginata strutturalmente solo quando le policy non vengono soltanto comunicate, ma anche applicate tecnicamente, e la gestione centralizzata di dispositivi e appgarantisce che le applicazioni non autorizzate non possano essere installate.