▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Shadow IT, nella Fase 2 è una minaccia reale

Furto di dati, multe per il mancato rispetto del GDPR e sicurezza aziendale compromessa sono alcuni dei rischi dello shadow IT.

Business Tecnologie/Scenari Vulnerabilità
Monitorare la sicurezza aziendale non significa solo occuparsi dell'infrastruttura. Un elemento di cui si parla poco è il cosiddetto shadow IT. È uno dei principali problemi che devono affrontare le aziende. Si verifica tipicamente con servizi SaaS quali Dropbox, Google Drive e altri.

Tipicamente la minaccia viene dai dipendenti intraprendenti, che desiderano aggirare i limiti e le complicazioni imposte all'azienda. Oppure che vogliono adottare le più recenti applicazioni cloud per supportare lo smart working. Nel periodo del lockdown e anche nella Fase 2 in cui molti dipendenti continuano a lavorare da casa, la diffusione dello shadow IT ha subito un'impennata.

In entrambi i casi, quello che fanno i lavoratori è aggirare gli amministratori IT e usare questi servizi senza autorizzazione alcuna. Quello di cui non si rendono conto è che mettono inconsapevolmente a rischio sé stessi e l'azienda.
cloud
Chi ha sentito il detto "ciò che non conosci non può farti del male" sappia che non c'è nulla di più sbagliato. È esattamente l'opposto: quello che l'azienda ignora può fare danni, e verosimilmente li farà. Da una parte è vero che usare app cloud di collaborazione può aumentare la produttività e aiutare a raggiungere gli obiettivi aziendali.

Dall'altra, tuttavia, c'è un incremento del rischio di violazione dei dati. Per non parlare delle violazioni delle normative sulla privacy e dei problemi di conformità che ne derivano. Non ultimo, le criticità appena citate possono creare spese impreviste che portano al mancato raggiungimento degli obiettivi finanziari.

Le best practice

Per evitare qualsiasi rischio, quello che si dovrebbe fare è usare solo app cloud verificate e approvate dal reparto IT. Il problema è che non tutti i lavoratori conoscono le politiche di standardizzazione del software. In merito, sarebbe bene aggiornare tutti i dipendenti con corsi di formazione che facciano comprendere le scelte aziendali e i motivi che ne sono alla base.
fortinet cloudcasbA scanso di equivoci, le aziende tentano di bloccare l'accesso ai servizi cloud che non soddisfano gli standard di sicurezza e conformità. Sfortunatamente, molte soluzioni non funzionano come si vorrebbe. Un problema è che spesso esiste una grande differenza tra la velocità di blocco prevista e quella effettiva.

Di recente abbiamo discusso con Fortinet di FortCASB. È uno strumento che interroga direttamente le app SaaS per capire chi ha postato cosa, chi sta scambiando file con chi, chi sta scaricando. Promette grande efficienza, ma ha l'inconveniente di funzionare solo se l'utente lavora dall'interno dell'azienda. Quand'è in smart working non c'è nulla da fare.

Data Leak e conformità

Il primo rischio è che quando vengono usate soluzioni shadow IT da dipendenti o da interi dipartimenti, la superficie d'attacco aumenta enormemente. Molte non sono sicure o aggiornate all'ultima versione. Se gli addetti alla cyber security non sono a conoscenza dell'esistenza di un'app, non possono adottare misure per proteggere i dati aziendali o i suoi utenti. Anche qualora ne fossero a conoscenza, è da sottolineare che non tutte le aziende produttrici di servizi SaaS hanno lo stesso approccio rigoroso alla sicurezza.
data breachQuesto, unito al fatto che l'azienda ignora l'uso dei servizi, crea una tempesta perfetta. L'IT non è in grado di eseguire aggiornamenti, e non riesce ad applicare l'adeguato controllo sui dati aziendali. Morale: una volta che i dati vengono esposti, nessuno è più in grado di controllare chi vi ha accesso. In questo scenario, le informazioni aziendali riservate non sono protette e sono suscettibili a tutti i tipi di violazioni.

Inoltre, usando applicazioni IT non autorizzate, le misure preventive non vengono eseguite. Questo porta spesso agli utenti a violare le linee guida sulla conformità stabilite dall'azienda, che rischia così multe salate. Tutte le normative, fra cui il GDPR, interessano infatti il flusso e l'archiviazione di dati. Quando i dipendenti impiegano app shadow IT, archiviano i dati in posizioni sconosciute e non controllate.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale iperautomazione

Speciale

Speciale Backup e Resilienza 2025

Speciale

Speciale OT Security

Speciale

2025 obiettivo cybersecurity

Speciale

Previsioni per la cybersecurity del 2025

Calendario Tutto

Lug 08
Webinar Lexmark | XC9525: il nuovo standard della stampa professionale
Lug 08
Evento V-Valley Pure Storage 2025
Lug 08
Sales & Technical session Copilot for 365 – Italia Cloud Champion
Lug 08
Webinar: Scopri le Novità di Nutanix .NEXT 2025
Lug 09
Dell Technologies - Tech Rally Server: Workshop storage Hyperconverged
Lug 09
Forcepoint NGFW Multi-Layer Protection in Action
Lug 09
Creatività ed efficienza con Adobe: più veloci, più connessi, più creativi con le ultime novità al servizio dei team creativi
Lug 10
Azure Special Club
Lug 10
Bootcamp WatchGuard - Sicurezza senza compromessi: Scopri WatchGuard Endpoint Security

Ultime notizie Tutto

La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

07-07-2025

SentinelOne premia i partner top performer in EMEA

Nel corso del PartnerOne Summit 2025 il vendor di cybersecurity premia i contributi di eccellenza all'innovazione nelle soluzioni di sicurezza dei propri partner

07-07-2025

Scattered Spider punta su attacchi a catena via fornitori BPO e call center

Noto gruppo criminale sfrutta la compromissione di fornitori BPO e call center per colpire più vittime in settori chiave. Facciamo il punto sulle nuove tattiche.

04-07-2025

Escalation di privilegi su Linux per due falle critiche

Scoperte due vulnerabilità concatenate che permettono a un attaccante locale di ottenere privilegi root su Linux. Disponibili le patch e i consigli di mitigazione.

04-07-2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

www.securityopenlab.it - 8.3.21 - 4.6.1