In tutte le organizzazioni si sperimentano fenomeni di “Shadow IT” o “Rogue IT”. Spesso, quando il reparto IT dell’azienda non è in grado di soddisfare le richieste in breve tempo, i dipartimenti aziendali cercano strade alternative per portare a termine le loro attività. Così facendo, però, corrono il rischio di aggirare importanti controlli di sicurezza o di disponibilità, e di creare funzioni impossibili da gestire. In effetti, l’IT può sembrare lento perché si assicura che vengano effettuati i controlli di sicurezza necessari. La presenza dello Shadow IT è un indicatore della mancata soddisfazione delle esigenze aziendali. Nurani Parasuraman, AWS Customer Solutions
Lo Shadow IT non è un concetto nuovo: è un termine utilizzato per descrivere i sistemi e le soluzioni IT che vengono implementate all’interno delle organizzazioni senza autorizzazione. Alcuni sostengono che il cloud è stato il motivo della proliferazione di questo fenomeno, anche se, in realtà, esisteva ben prima dell’arrivo di questa tecnologia. Tuttavia, il cloud, che ha permesso a cui chiunque disponesse di una connessione Internet e di una carta di credito di fornire hardware, creare e avviare applicazioni, ha sicuramente accelerato questa pratica. Questo articolo mostra come affrontare lo Shadow IT e come trovare il giusto equilibrio tra rischi e benefici.
Cosa alimenta lo Shadow IT? Le organizzazioni dovrebbero essere preoccupate?
La nascita dello Shadow IT può essere attribuita alla sostanziale differenza con cui management e reparto IT valutano le caratteristiche essenziali di una funzionalità, di un prodotto o di un’offerta di servizi. Naturalmente, il primo si concentra su requisiti funzionali e tangibili per l’utente finale come facilità d’uso, pertinenza dei contenuti, personalizzazione e così via. Il dipartimento tecnologico, d’altra parte, ritiene più importanti gli aspetti non funzionali o immateriali come prestazioni, controlli, sicurezza, riutilizzo, scalabilità, ripristino di emergenza e manutenibilità.
Sulla base dei feedback ricevuti da diversi leader aziendali e tecnologici, i motivi principali per cui lo Shadow IT può crescere e prosperare includono: la facilità di provisioning dei servizi cloud rispetto ai cicli di governance e approvazione dell’IT on-premise, processi di consegna non agili, tempistiche allungate e maggiori costi associati all’IT, esigenze aziendali non soddisfatte dalle soluzioni IT, la mancanza delle competenze informatiche necessarie o, addirittura, all’azienda che ha più autorità e discrezione per raggiungere i propri obiettivi dipartimentali.
In questi casi, all’interno dell’organizzazione, vengono create e distribuite soluzioni che aggirano l’organizzazione IT!
Il dipartimento di informatica aziendale ha tre opzioni per gestire lo Shadow IT: ignorare, resistere o accettare. Ignorarlo non è consigliabile poiché ci sono troppi rischi coinvolti. Resistere combattendo duramente questa pratica con controlli più severi e azioni disciplinari è dannoso per il morale e la produttività dei dipendenti. Quindi rimane un’unica opzione: accettare lo Shadow IT, che, se monitorato e gestito, può fungere da terreno fertile per l’innovazione e fornire indicazioni per nuove soluzioni aziendali. In media, il personale IT è meno del 5% di un’organizzazione: non prendere in considerazione le idee provenienti dal resto dell’azienda significherebbe impedire alla maggioranza silenziosa (cioè il 95%) di innovare.
Se lo Shadow IT è un fenomeno positivo, quindi, le organizzazioni non dovrebbero preoccuparsi? Non proprio.
Nel 2016, Gartner aveva correttamente previsto che entro il 2020 un terzo degli attacchi informatici subiti dalle aziende sarebbe stato causato dalle risorse di Shadow IT. Questo dato mette in evidenza i pericoli a cui le aziende sono sottoposte se questa pratica non viene controllata. I principali rischi includono una maggiore vulnerabilità agli attacchi informatici e alle violazioni dei dati, esposizione a malware e ransomware, rischio di non soddisfare i requisiti normativi e di conformità, perdita di proprietà intellettuale, scalabilità, prestazioni, ripristino di emergenza e problemi di manutenzione se implementati senza considerazioni operative, rischio di multe e sanzioni se la licenza del venditore e i termini dell’accordo non vengono gestiti correttamente e i vantaggi di prezzo perso dell’acquisto all’ingrosso.
Quindi, è possibile promuovere una cultura della sperimentazione che incoraggi a pensare e ad agire fuori dagli schemi, ma in modo controllato e a basso rischio?
Gestione dello Shadow IT: le best practice
Di seguito sono riportate alcune delle best practice che hanno avuto successo nell’affrontare lo Shadow IT nel corso degli anni.
Sfruttare le offerte cloud per standardizzare e rendere disponibili per l’uso i servizi di “uso comune”. I servizi di “uso comune” sono quelli richiesti da quasi tutte le funzioni di un’organizzazione, ed è proprio qui che lo Shadow IT è più diffuso. Tra questi compaiono i servizi di archiviazione, destinati principalmente alla condivisione di documenti e file sia internamente che esternamente, i servizi di produttività dell’ufficio come strumenti di gestione dei progetti, il monitoraggio delle attività, l’acquisizione e condivisione di note, la pianificazione e la redazione di report sullo stato e monitoraggio di richieste/problemi di lavoro, i servizi di collaborazione destinati a una rapida collaborazione ad hoc come chat, videoconferenze e conferenze Web e la condivisione desktop e servizi di business intelligence come interfaccia utente di reporting, database locali, query, dashboard, modellazione e analisi dei dati.
Assicurarsi che il provisioning dei servizi cloud sia automatizzato e abilitato per il self-service. Uno dei maggiori vantaggi offerti dal cloud è la flessibilità e la velocità della gestione di hardware, software e provisioning degli accessi. Qualsiasi processo interno che ritarda il processo di fornitura vanifica l’intero scopo dell’agilità. Molte organizzazioni hanno adottato il cloud ma operano ancora con una mentalità legacy on-premise.
Eliminare gli ostacoli alla sperimentazione. Una strategia efficace consente di sperimentare nuovi prodotti e servizi non ancora approvati in un ambiente sicuro e controllato sul cloud utilizzando criteri di accesso adeguati senza il rischio di violazioni o malware. Inoltre, garantire una rapida risposta a qualsiasi richiesta di prove di servizio può aiutare.
Decentralizzare le funzioni di innovazione e sviluppo software. È importante centralizzare solo quelle funzioni che aggiungono valore e abilitano i team decentralizzati. Un IT centralizzato spesso non riesce a tenere il passo delle modifiche richieste dalle diverse business unit. Il reparto IT centralizzato può concentrarsi su attività che accelerano il lavoro dei team decentralizzati per aiutarli nelle loro operazioni con la creazione di servizi condivisi per gestione dei fornitori, degli strumenti di automazione per gli sviluppatori, per il provisioning di utenti e infrastrutture, aggiornamenti software, best practices per la tecnologia, standard e guardrail per l’ingegneria delle applicazioni e per le operazioni e la sicurezza.
Monitorare, valutare il rischio e rimediare continuamente. Non è possibile proteggere qualcosa che non è visibile. Pertanto, è necessario assicurarsi che siano disponibili strumenti per scansionare continuamente registri, traffico di rete e dispositivi alla ricerca di attività non approvate. I servizi cloud eccellono in tale strumentazione, fornendo strumenti pronti all’uso per la scansione automatizzata di avvisi e persino il rilevamento intelligente dei pattern, tutto a pochi clic di distanza. Un’ottima modalità per gestire lo Shadow IT è valutare il rischio di ogni attività, assegnare priorità e agire in base al punteggio di rischio, così i team coinvolti nell’attività non approvata possono comprendere le cause del loro problema e intraprendere azioni correttive.
Creare un team dedicato per la gestione dei rischi dello Shadow IT. Prendere in considerazione la creazione di un team dedicato, anche di dimensioni modeste, che monitori e riduca continuamente i rischi può tracciare e correggere i rischi derivanti da questo fenomeno. Questo team può far parte del team Cloud Center of Excellence (COE).
Essere tolleranti. Incoraggiare un ambiente aperto e sicuro affinché i dipendenti siano trasparenti senza timore di ritorsioni e organizzare riunioni tra IT e business unit è fondamentale per massimizzare lo Shadow IT. La maggior parte dei team che aggirano le misure create dall’IT hanno buone intenzioni e, spesso, una buona ragione per farlo. Mantenere un dialogo aperto con le unità aziendali permette di comprendere la vera motivazione per ciò che l’azienda sta cercando di risolvere prima di implementare una soluzione.
Migliorare la formazione e la consapevolezza. Molte attività di Shadow IT nascono per la mancata conoscenza dei servizi e degli strumenti già disponibili e approvati per l’uso. Fornendo un repository online è possibile ridurre drasticamente le pratiche di Shadow IT non necessarie. Per esempio, è possibile fornire al reparto IT sandbox sicuri nel cloud per provare prodotti e servizi non autorizzati. Inoltre, tutti dovrebbero essere formati su come pratiche di sicurezza deboli possono portare a violazioni dei dati ed esporre l’azienda a tutti i tipi di rischi e sanzioni.
Considerazioni finali
Secondo il manager di Aws, lo Shadow IT è qui per restare, per questo è importante sfruttarne i vantaggi. I servizi cloud offrono strumenti potenti per gestire il rischio senza soffocare l’innovazione. Le migliori pratiche descritte finora hanno dimostrato la loro utilità e possono aiutare a gestire lo Shadow IT a livello strategico. Ancora più importante, una buona strategia ha bisogno di una solida cultura aziendale come fondamento. Come afferma Brian Chesky, co-fondatore e CEO di Airbnb, «Quando la cultura è forte, puoi fidarti che tutti facciano la cosa giusta». Ricordarsi di promuovere una cultura di fiducia e di apertura ed assumere un intento positivo è la chiave per rendere felici i propri clienti.
