Wiz
Tutti gli articoli

Che cos'è lo Shadow IT? Cause, rischi ed esempi

Team di esperti Wiz
9 minuti di lettura
Best practice per la sicurezza cloudProva Wiz Cloud
Main Takeaways from Shadow IT:

  • Shadow IT occurs when employees bypass security oversight to use unauthorized and unvetted technology. Research found that 41% of employees used shadow IT in 2022, a number expected to climb to 75% by 2027.

  • Several factors lead to shadow IT, including a lack of transparency in IT procurement processes, the need for faster solutions, insufficient IT-provided tools, and the widespread availability of cloud-based services.

  • The risks associated with shadow IT include an expanded attack surface, data breaches, potential compliance violations, and increased IT costs, all of which can strain organizational security and resources.

  • While shadow IT can encourage innovation, boost productivity, and allow teams to solve problems quickly, these benefits often come at the expense of security and governance.

  • Organizations can combat shadow IT by adopting detection tools, enhancing visibility, fostering collaboration across teams, enforcing strict access controls, and educating employees on its potential risks.

Che cos'è una Shadow IT?

  • Lo shadow IT si verifica quando I dipendenti aggirano la supervisione della sicurezza per utilizzare tecnologie non autorizzate e non controllate. La ricerca ha rilevato che il 41% dei dipendenti ha utilizzato lo shadow IT nel 2022, un numero che dovrebbe salire al 75% entro il 2027.

  • Diversi fattori portano allo shadow IT, tra cui la mancanza di trasparenza nei processi di approvvigionamento IT, la necessità di soluzioni più rapide, l'insufficienza degli strumenti forniti dalle tecnologie dell'informazione e l'ampia disponibilità di servizi basati su cloud.

  • Le rischi associati allo shadow IT includono una superficie di attacco estesa, violazioni dei dati, potenziali violazioni della conformità e aumento dei costi IT, tutti fattori che possono mettere a dura prova la sicurezza e le risorse dell'organizzazione.

  • Sebbene lo shadow IT possa incoraggiare l'innovazione, aumentare la produttività e consentire ai team di risolvere rapidamente i problemi, questi I vantaggi spesso vanno a scapito della sicurezza e della governance.

  • Le organizzazioni possono combattere lo shadow IT Adottando strumenti di rilevamento, migliorando la visibilità, promuovendo la collaborazione tra i team, applicando rigorosi controlli di accesso ed educando i dipendenti sui potenziali rischi.

Che cos'è lo shadow IT? 

Lo shadow IT è l'uso non autorizzato da parte di un dipendente di servizi, applicazioni e risorse IT che non sono controllati o visibili al reparto IT di un'organizzazione. Lo Shadow IT può includere: 

  • Servizi cloud IaaS, PaaS e SaaS

  • Endpoint come computer e telefoni

  • Api

  • Server e reti,

  • Prodotti OOTB non autorizzati

  • Plugin di Chrome

  • App a livello di piattaforma 

Secondo Gartner, il 41% dei dipendenti nel 2022 ha installato e utilizzato applicazioni che erano al di fuori della visibilità dei propri reparti IT. Si prevede che questa cifra salirà al 75% entro il 2027.

Cause dello shadow IT

Lo shadow IT non nasce dal nulla, ma è il prodotto delle dinamiche organizzative, delle esigenze dei dipendenti e delle tendenze tecnologiche. Ecco i fattori chiave:

Lack of visibility into IT procurement

Immagina un team che ha bisogno di un nuovo strumento per migliorare il flusso di lavoro, ma non ha un processo chiaro per l'approvazione dell'IT. Senza trasparenza, potrebbero bypassare del tutto l'IT, utilizzando una carta di credito aziendale per acquistare software o registrandosi per una prova gratuita. Il problema? I team IT non ne sono consapevoli, consentendo a questi strumenti di introdurre lacune di sicurezza operando al di fuori dei controlli di sicurezza e della governance formali.

Desiderio di soluzioni più rapide

Ci siamo passati tutti: la frustrazione di aspettare le approvazioni per settimane o addirittura mesi. Quando le scadenze incombono, i dipendenti possono evitare completamente l'IT per accedere a strumenti che ritengono in grado di portare a termine il lavoro più rapidamente. Questa urgenza di "far funzionare le cose" spesso porta alla comparsa dello shadow IT.

Insufficient IT-provided solutions

Cosa succede quando gli strumenti forniti dall'IT non sono sufficienti? Forse sono troppo goffi o mancano di funzionalità chiave per un reparto specifico'. Quando i team non si sentono supportati, spesso cercano altrove soluzioni che si allineino meglio alle loro esigenze. Questa soluzione alternativa può sembrare innocua inizialmente, ma può portare a punti ciechi di sicurezza e problemi di conformità.

Maggiore accesso ai servizi basati su cloud

L'ascesa di applicazioni basate su cloud come SaaS (Software as a Service) ha reso incredibilmente facile per chiunque abbia una carta di credito implementare strumenti senza coinvolgere l'IT. Il fascino? Soluzioni accessibili e a basso costo che promettono di risolvere i problemi con un tempo di configurazione minimo. Il rischio? Questi strumenti potrebbero non soddisfare gli standard di sicurezza dell'organizzazione e possono introdurre vulnerabilità nell'ecosistema.

Perché lo shadow IT è diventato un trend in crescita?

Sempre più I dipendenti sono sotto pressione per lavorare in ambienti ad alto numero di ottani. Ciò si traduce in tentativi di auto-ottimizzazione e semplificazione dei progetti attingendo a una gamma di servizi cloud facilmente disponibili. 

Sfortunatamente, l'uso non autorizzato di questi servizi cloud è molto comune. Le percezione che i reparti IT siano letargici può far sentire i dipendenti frustrato dalla burocrazia e dalle procedure burocratiche che si frappongono tra loro e l'accesso alle risorse informatiche critiche. Insieme alla crescente necessità di sviluppare soluzioni rapide e gestire rapidamente i carichi di lavoro, non sorprende che molti dipendenti stiano prendendo in mano l'IT.

Vantaggi dello shadow IT

Lo shadow IT ha spesso una brutta reputazione, ma diamo un'occhiata obiettiva. Se gestito (o si è incontrato) con attenzione, lo shadow IT può portare vantaggi inaspettati:

  • Accesso più rapido agli strumenti: I team possono adottare rapidamente soluzioni su misura per le loro esigenze senza attendere lunghi processi di approvazione IT.

  • Innovazione attraverso la sperimentazione: I dipendenti possono esplorare strumenti e tecnologie all'avanguardia, a volte introducendo soluzioni che l'intera organizzazione non aveva considerato.

  • Aumento della produttività dei dipendenti: Quando i dipendenti trovano strumenti che funzionano perfettamente per le loro attività, possono semplificare i flussi di lavoro e aumentare la produzione.

  • Team autonomi e responsabilizzati: Lo shadow IT spesso promuove un atteggiamento "get it-done", consentendo ai team di risolvere i problemi in modo indipendente e rispettare le scadenze critiche.

Tuttavia, questi vantaggi sono accompagnati da un avvertimento significativo: le potenziali ripercussioni dello shadow IT non sono una questione da poco. Strumenti non controllati possono introdurre Vulnerabilità della sicurezza, violazioni della conformità e inefficienze che finiscono per costare di più nel lungo periodo.

Progettare criteri di sicurezza specifici per l'azienda:

Quali sono i rischi dello shadow IT?

Di seguito sono riportati i quattro maggiori rischi dello shadow IT: 

  • Rischi e vulnerabilità per la sicurezza: L'uso dello shadow IT comporta un aumento del rischio di attacchi malware e di esfiltrazione di dati da hardware, software e applicazioni cloud IT non autorizzati. Le risorse IT non autorizzate non sono rafforzate da un'organizzazione'La strategia, gli strumenti e le tattiche di sicurezza informatica li rende vulnerabili agli attori delle minacce il cui obiettivo è rubare informazioni sensibili e risorse di dati di alto valore.

  • Superficie di attacco estesa: Lo shadow IT spesso porta alla proliferazione delle app, con applicazioni non autorizzate che si moltiplicano all'interno dell'organizzazione. Questa proliferazione crea endpoint non monitorati e connessioni non protette, Espansione della superficie di attacco e offrire agli attori delle minacce maggiori opportunità di sfruttare le vulnerabilità.

  • Perdita o perdita di dati: Lo shadow IT spesso si traduce in dati sensibili essere memorizzati o trasmessi attraverso canali non protetti, lasciandoli esposti a violazioni o Perdite. Ad esempio, un team potrebbe utilizzare un'app di condivisione file gratuita per collaborare, inserendo inconsapevolmente informazioni proprietarie in un sistema privo di crittografia o garanzie di conformità.

  • Problemi di conformità e normativi: Le implicazioni di conformità dello shadow IT possono essere dannose quanto le violazioni della sicurezza. Le aziende devono rispettare i quadri normativi specifici della regione e del settore, come il California Consumer Privacy Act (CCPA), il Regolamento generale sulla protezione dei dati (GDPR), l'Health Insurance Portability and Accountability Act (HIPAA), il Federal Risk and Authorization Management Program (FedRAMP) e il Payment Card Industry Data Security Standard (PCI DSS). I fallimenti di conformità possono costare alle aziende milioni di multe e spese legali.

  • Mancanza di controllo e governance: Le carenze nel controllo centralizzato e nella visibilità degli ambienti e delle risorse IT possono essere estremamente dannose per un'organizzazione. La maggior parte dei dipendenti non ha l'acume tecnico e il punto di vista di alto livello per controllare e governare bene le risorse IT non ufficiali. Come accennato in precedenza, l'approvvigionamento di shadow IT può portare a guadagni a breve termine, ma può anche aprire le porte a blocchi stradali per la risposta agli incidenti e la correzione e alle sfide post-mortem dovute alla debolezza degli audit trail.

  • Aumento dei costi IT e delle inefficienze: Lo shadow IT ha importanti conseguenze in termini di costi, tra cui una collaborazione non ottimale, un uso inadeguato delle risorse esistenti, lock-in non autorizzati dei fornitori, operazioni disorganizzate e inefficienti, potenziali tempi di inattività e compromissione dei dati.

Esempi di shadow IT

Le aziende devono essere in grado di identificare casi specifici di shadow IT per mitigare i rischi e prevenire eventi simili in futuro.

Alcuni esempi importanti di shadow IT a cui prestare attenzione includono:

ExampleDescription
Cloud storage and collaboration toolsEmployees may utilize a range of unsanctioned applications from cloud storage and collaboration suites on a short-term or project-to-project basis or for interdepartmental collaboration. Even storage and collaboration tools from trusted providers can be vulnerable if they aren’t under the supervision of the IT department.
SaaSShadow SaaS is a growing form of shadow IT. There are thousands of free or freemium SaaS solutions that attract employees who want to augment their work without undergoing permissions processes. A simple example of shadow SaaS can be an employee from an accounting department using an unsanctioned SaaS graphic design tool to create a report.
Personal devices and applicationsThe rise in hybrid work-from-home models means that numerous employees access enterprise IT resources on personal devices. Employees working on personal smartphones and computers may tend to use non-approved applications for work, and this can introduce numerous vulnerabilities and risks.
External software subscriptionsEmployees may subscribe to a service or software for a particular project and then lose track of its status. These dormant, neglected, and hidden software subscriptions are capable of causing significant—and costly—problems for enterprises.
Developer toolsDevelopers often leverage unauthorized programming libraries, frameworks, or open-source software to tackle the pressures and challenges of agile environments. Unauthorized developer tools may have powerful capabilities that empower employees and teams, but their hidden presence can create unforeseen complexities.

Alcune semplici best practice per prevenire lo Shadow IT

Lo shadow IT può essere prevenuto con una combinazione di best practice a livello di organizzazione, strumenti e tecnologie robusti e strategie proattive. 

Per prevenire lo shadow IT, tenere a mente questi suggerimenti:

1. Massimizza la visibilità: Le aziende dovrebbero implementare meccanismi per monitorare l'uso delle risorse cloud, dei dispositivi mobili e degli endpoint, delle applicazioni, dei sistemi operativi, del codice e dei pacchetti nei loro ambienti IT. La visibilità può aiutare a rafforzare il livello di sicurezza, rafforzare i protocolli di conformità, ottimizzare le spese e semplificare le distribuzioni dei carichi di lavoro. 

An example of the level of visibility needed for a cloud service and technology inventory

2. Rendi efficiente il rilevamento: Il rilevamento automatizzato in frazioni di secondo dei servizi cloud esistenti e appena commissionati può aiutare le aziende a sorvegliare e controllare il proprio ambiente IT in modo più efficace. La capacità di rilevare le attività e di accedere alle visualizzazioni grafiche e alle mappature di risorse PaaS, macchine virtuali, container, bucket pubblici, volumi di dati e database può aiutare le aziende a prevenire lo shadow IT e a correggere le istanze esistenti. 

An example detection of a newly introduced cloud service to an environment

3. Progettare criteri di sicurezza specifici per l'azienda: I criteri di sicurezza devono essere in linea con l'organizzazione'requisiti e obiettivi unici. Questo approccio può fare molto per mitigare i rischi in un panorama di minacce in rapida evoluzione.

4. Implementare la gestione dei dispositivi mobili (MDM): Solide soluzioni MDM sono essenziali per combattere lo shadow IT, proteggere gli endpoint proliferanti e sostenere i modelli di lavoro ibrido e remoto. Esempi di funzionalità MDM includono meccanismi per impedire ai dipendenti di iscriversi ad applicazioni esterne senza account di posta elettronica aziendali ufficiali e schemi Single Sign-On (SSO). Le aziende dovrebbero applicare le liste IT bloccate e consentite sia sui dispositivi aziendali che su quelli BYOD per controllare quali applicazioni possono essere introdotte.

5. Elimina il codice ombra: Il codice shadow si riferisce al codice non autorizzato utilizzato dagli sviluppatori. Le aziende devono integrarsi SAST (test statico di sicurezza delle applicazioni), DAST (Dynamic Security Testing) e IAST (Interactive Application Security Testing) per scansionare tutto il codice e i framework open source utilizzati dagli sviluppatori. Questo può aiutare le aziende a eludere rischi come violazioni della sicurezza, furto di dati e inefficienze operative. Garantisce inoltre che solo il codice accuratamente controllato e autorizzato venga aggiunto ai repository Git.

6. Sfrutta i controlli di accesso: La definizione, l'integrazione e l'implementazione dei controlli di accesso in ambienti cloud, endpoint, applicazioni e processi può aiutare le organizzazioni a determinare e controllare quali risorse IT sono consentite, dove possono essere integrate e chi può commissionarle. Questi controlli dovrebbero essere formalizzati, integrati nella struttura di un'organizzazione e rigorosamente rispettati.

An example of an AWS excessive access detection

7. Automatizza gli avvisi: I meccanismi automatizzati possono avvisare in tempo reale i dipartimenti IT e di sicurezza informatica in caso di violazioni delle policy di sicurezza e attività anomale. Gli avvisi possono aiutare le organizzazioni ad affrontare i primi segnali di shadow IT e a ridurre al minimo i danni causati dagli incidenti.

Example alert for an unreviewed/unwanted cloud service

8. Organizza la formazione: I dipendenti spesso ricorrono allo shadow IT per comodità, ignoranza o perché ritengono che gli strumenti approvati non soddisfino le loro esigenze. Seminari periodici sui rischi dello shadow IT possono dissuadere i dipendenti dall'utilizzare IT non autorizzato. Le sessioni di formazione aiutano anche a promuovere un ambiente in cui i dipendenti si sentano a proprio agio nel soddisfare le proprie esigenze tecnologiche con l'IT.

9. Offri un catalogo di servizi IT: È una buona idea fornire un catalogo di software, applicazioni e servizi approvati per l'uso da parte dei dipendenti. Un catalogo aggiornato puo impedire ai dipendenti di cercare soluzioni al di fuori dei canali autorizzati.

10. Incoraggiare la collaborazione tra IT e business unit: Ogni volta che i team IT lavorano a stretto contatto con altri reparti, comprendono meglio le loro esigenze specifiche e possono quindi fornire strumenti e servizi appropriati che soddisfino le loro esigenze specifiche. 

11. Completare gli audit regolari: L'audit delle risorse IT consente all'azienda di identificare software o servizi non autorizzati e garantisce che tutte le applicazioni e i servizi utilizzati all'interno dell'organizzazione siano conformi alle politiche aziendali e legali.

12. Impegnarsi per una risposta rapida: I team IT devono disporre di un piano per affrontare il problema dello shadow IT quando's rilevato. I protocolli potrebbero includere la rimozione di software o servizi non autorizzati e la fornitura di un'alternativa appropriata e approvata.

Scopri le applicazioni Shadow IT nel tuo ambiente

La creazione di un inventario completo degli ambienti IT esistenti è il modo migliore per ottenere informazioni dettagliate sul potenziale panorama dello shadow IT. In passato, ottenere una mappa topografica accurata dei nuovi servizi cloud in un ambiente IT aziendale era un processo lungo e scrupoloso. Wiz consente di iniziare a mappare un inventario completo dei servizi cloud in pochi clic. 

Richiedi una demo di Wiz ora per iniziare a consentire ai team di sviluppo e cloud di comprendere i rischi IT. Proteggi e ottimizza un solido motore basato su cloud per la tua organizzazione a velocità senza precedenti.

Shine a Light on Shadow IT

Learn how Wiz offers visibility into what cloud resources, applications, operating systems, and packages exist in your environment in minutes.

Richiedi una demo 

Domande frequenti sullo shadow IT