Il concetto di shadow IT non è certo cosa nuova. È da anni che si parla di come l'ingresso "libero" - ossia fuori dal controllo dello staff IT - in azienda di nuovi dispositivi, servizi digitali e applicazioni rappresenti, a seconda dei punti di vista, un problema o un vantaggio. Nel tempo il dibattito si è trasformato in una constatazione di un dato di fatto: la shadow IT comunque esiste, in qualsiasi azienda.

I termini della questione però non sono cambiati da quanto le aziende hanno iniziato a porsela, e valgono anche nell'era della trasformazione digitale massiva. Che sia solo lo staff IT aziendale a decidere cosa usare e come, può rappresentare una rigidità eccessiva. D'altro canto "aprire" indiscriminatamente l'infrastruttura IT d'impresa - già abbastanza attaccabile di suo, mediamente - comporta problemi importanti di cybersecurity.

Gli anni passano ma la situazione non migliora. Semmai il contrario, perché il controllo (quasi) totale dello staff IT su quello che i colleghi usano è ormai impossibile. Perché comporta un notevole sforzo operativo ma soprattutto perché è opinione diffusa, lato business, che l'innovazione proceda insieme all'adozione rapida di strumenti sempre più nuovi e numerosi. E il CIO, o il CISO, non possono certo frenarla.

Problema: ignorare o aggirare le policy e le procedure di cybersecurity nell'adozione di nuovi strumenti IT è un rischio. Lo conferma Kaspersky, con uno studio secondo cui negli ultimi due anni l’11% delle aziende di tutto il mondo ha subito incidenti informatici dovuti all’uso di dispositivi IT non autorizzati da parte dei dipendenti.

Il problema ha riguardato in particolare le aziende del comparto IT, per le quali la quota di incidenti informatici dovuti alla shadow IT sale al 16%. Ma non sono messe bene - con una percentuale del 13% - nemmeno le imprese che operano nei settori delle infrastrutture critiche e della logistica.

Kaspersky porta come esempio dei pericoli della shadow IT la recente violazione delle infrastrutture di Okta. Un dipendente ha utilizzato un account Google personale su un dispositivo aziendale e in questo modo ha involontariamente "aperto" ad hacker ostili la rete della sua azienda. Gli attaccanti hanno potuto così accedere al sistema di assistenza clienti di Okta e sottrarre token di sessione che potevano essere utilizzati per condurre attacchi mirati.

Uno degli aspetti che rende più complessa la questione della shadow IT, spiega Kaspersky, è che questa può assumere molte forme. Alcune sono davvero ovvie, come i servizi cloud e i dispositivi personali usati anche in azienda perché percepiti come semplici e produttivi. Altre sono meno scontate, come dispositivi hardware dismessi, ma ancora usati, o piccoli software sviluppati in-house - e magari in maniera non proprio "secure by design" - per risolvere esigenze interne specifiche.

Considerato che non lo si può eliminare del tutto, come si riduce il rischio della shadow IT? Per Kaspersky le soluzioni tecniche ci sono - ad esempio le piattaforme di IT inventory, scansione della rete e ovviamente cybersecurity in generale - ma è soprattutto una questione di formazione e consapevolezza, dei dipendenti ma anche dello staff di cybersecurity. Tutte misure da seguire, secondo Kaspersky, perché il problema di certo non si risolve da solo: la shadow IT potrebbe diventare una delle principali minacce alla sicurezza informatica aziendale entro il 2025.