Shadow IT

Shadow IT è un termine spesso usato per descrivere sistemi e soluzioni IT implementati e usati all’interno delle organizzazioni senza l'approvazione esplicita dell’organizzazione stessa. È inoltre usato, con il termine “Stealth IT” (IT furtiva) per descrivere soluzioni specificate e implementate da reparti diversi da quello IT.

La Shadow IT è considerata da molti un’importante fonte per l’innovazione e sistemi di questo tipo potrebbero risultare essere prototipi per soluzioni IT future.

D’altra parte, soluzioni che utilizzano Shadow IT non sono spesso in linea con la richiesta da parte delle organizzazioni di avere controllo, documentazione, sicurezza, affidabilità ecc., anche se queste problematiche possono applicarsi in modo uguale alle soluzioni IT autorizzate.

Problemi di conformità - Compliance Issues

È un termine usato in informatica per qualsiasi applicazione o trasmissione di dati, basata su processi aziendali, che non è sotto la giurisdizione di un dipartimento informatico o sistema informatico. Il dipartimento informatico non lo sviluppa, o non ne era al corrente o non lo supporta. Ciò incrementa la probabilità di flussi di dati “non ufficiali” e non controllati, rendendo più difficile rispettare la legge Sarbanes-Oxley Act (USA) e molte altre iniziative in tema di conformità, come:

  • Basilea II(International Standards for Banking)
  • COBIT (Control Objectives for Information and related Technology)
  • IFRS (International Financial Reporting Standards)
  • ITIL (Information Technology Infrastructure Library)
  • PCI DSS (Payment Card Industry Data Security Standard)
  • Qualità totale

Esempi

Alcuni esempi di questi flussi di dati non ufficiali sono chiavette USB o altri dispositivi portabili per l’immagazzinamento di dati, software per la messaggistica online, Gmail o altri servizi di posta elettronica on line, Google Docs o altri sistemi di condivisione di documenti e Skype o altri software online VOIP, ma anche altri prodotti minori come database Access e fogli di calcolo e macro Excel. Rischi alla sicurezza vengono introdotti quando avvengono movimenti di dati o applicazioni all’esterno di sistemi, reti o luoghi fisici protetti o domini sicuri.

Un sondaggio francese del 2012[1] riguardante 129 manager informatici ha rivelato alcuni esempi di Shadow IT.

  • macro Excel 19%
  • software 17%
  • soluzioni cloud 16%
  • ERP 12%
  • Sistemi BI (business Intelligence) 9%
  • siti web 8%
  • hardware 6%
  • VoIP 5%
  • supporti shadow IT 5%
  • progetti shadow IT 3%
  • BYOD 3%.

Un altro studio ha scoperto che le greynet, app di contenuti e strumenti di servizio sono i sistemi shadow maggiormente utilizzati nelle organizzazioni.[2] Tuttavia, i CIO largamente sottostimano l’estensione della Shadow IT.[3]

Un’altra forma di Shadow IT viene fornita da applicazioni OAuth connesse, dove un utente autorizza l’accesso a un’applicazione esterna tramite un’applicazione approvata. Per esempio, l’utente può usare le proprie credenziali di Facebook per loggarsi su Spotify, o un’altra applicazione terza tramite la sua cloud aziendale (Google G Suite o Microsoft Office 365). Con questo accesso, l’applicazione esterna potrebbe avere eccessivo accesso all’applicazione approvata, introducendo in tal modo un rischio non pianificato.

Motivi di utilizzo

L’incombente gestione del reparto IT, che si trova ad affrontare infrastrutture datate e sfide sulla gestione dei dati, non può facilmente fornire servizi di Data as a service o perché non sono a conoscenza dei suoi vantaggi, o perché non può acquisire il budget per una sua implementazione di successo. Sulla base di questo, il reparto IT non potrebbe comunque mai operare, a fronte di tutte le esigenze aziendali, a un costo abbastanza basso rispetto ad un vero reparto DaaS IT. Queste mancanze conducono l’azienda a implementare soluzioni IT che potrebbero essere percepite come meno costose, pur introducendo rischi che un progetto informatico potrebbe evitare.

Per esempio, con l’aumento di potenti CPU desktop, esperti di settore possono usare sistemi shadow IT per estrarre e manipolare complessi dataset senza dover chiedere l’aiuto dal reparto IT. La sfida per il reparto IT è di riconoscere questa attività e migliorare l’ambiente di controllo tecnico, o di guidare l’azienda nella selezione di strumenti di analisi dei dati che siano robusti e scalabili per le grosse imprese.

Un’ulteriore barriera per l’adozione dei servizi DaaS è la consolidata predisposizione di massa dell’IT al solo elemento “Read” della Tabella CRUD (Create, Read, Update, Delete). Questo porta l’IT a trascurare il bisogno di “riscrivere” nel dataset originale, poiché risulta difficile da realizzare. Gli utilizzatori di shadow IT si trovano quindi nel bisogno di memorizzare separatamente i dati modificati (isolamento) che risulta in una perdita di integrità dei dati organizzativi.

Porre barriere allo Shadow IT può essere l’equivalente di apportare innovazione organizzativa e riduzione dei costi. Uno Studio[4] conferma che il 35% dei dipendenti sente il bisogno di lavorare ignorando misure o protocolli di sicurezza per poter svolgere efficientemente il proprio lavoro. Il 63% invia documenti al proprio indirizzo di posta elettronica personale per continuare il lavoro da casa, anche essendo consapevoli che probabilmente non sia consentito dall’azienda.

Implicazioni

Oltre ai rischi per la sicurezza, alcune implicazioni dello Shadow IT sono:[5][6]

Perdita di tempo

La Shadow IT aggiunge costi nascosti alle aziende, costituiti soprattutto da lavoratori di reparti diversi da quello IT, come finanza, marketing, risorse umane ecc, che trascorrono una notevole quantità di tempo per discutere e rivedere la validità di alcuni dati, impostare e gestire sistemi e software senza esperienza.

Logica aziendale incoerente

Se un’applicazione di fogli di calcolo Shadow IT incapsula le proprie definizioni e calcoli, è probabile che nel tempo le incongruenze sorgeranno dall'accumulo di piccole differenze da una versione all'altra e da un gruppo all’altro, poiché i fogli di calcolo vengono spesso copiati e modificati. Inoltre, molti errori che si verificano da una mancanza di comprensione dei concetti o da un uso errato del foglio di calcolo spesso non vengono rilevati a causa della mancanza di testing rigorosi e di controllo delle versioni.

Approccio incoerente

Anche quando le definizioni e le formule sono corrette, la metodologia di analisi può essere distorta dall'accordo e dal flusso di fogli elettronici collegati, oppure il processo stesso può essere errato.

Investimento sprecato

Le applicazioni dello Shadow IT talvolta impediscono il pieno ritorno sugli investimenti (ROI) da investimenti in sistemi progettati per eseguire le funzioni ora sostituite da Shadow IT. Questo lo si nota spesso nei progetti di Data warehouse e Business Informatics, che vengono avviati con buone intenzioni, in cui l'uso più ampio e coerente di questi (DW E BI) nell'impresa non si avvia veramente. Ciò può essere causato anche dal fallimento della gestione per anticipare i costi di distribuzione, licenza e capacità di sistema quando si tenta di fornire soluzioni DW e BI. Anche l'adozione di un modello di costo interno che obbliga i potenziali nuovi utenti del sistema DW / BI a scegliere alternative meno economiche (shadow), ha la funzione di impedire uno sviluppo efficace dell’impresa.

Inefficienze

La Shadow IT può essere una barriera all’innovazione bloccando la creazione di processi lavorativi più efficienti. Ulteriori colli di bottiglia sulle prestazioni e nuovi singoli punti di fallimento possono essere introdotti quando sistemi Shadow IT si estendono sopra a sistemi già esistenti. I dati potrebbero essere esportati da un sistema condiviso a un foglio di calcolo per eseguire compiti o analisi critiche.

Maggior rischio di perdita o diffusione di dati riservati

Procedure shadow it per il backup dei dati potrebbero non essere fornite o verificate. Il personale e gli appaltatori nelle operazioni Shadow IT potrebbero non essere stati posti di fronte a normali processi di istruzione, procedure o verifiche. Gli ideatori di sistemi Shadow IT potrebbero lasciare l’organizzazione spesso, andandosene con dati di proprietà o lasciandosi alle spalle complessi sistemi che il personale restante non può gestire.

Barriera al miglioramento

La Shadow IT può comportarsi da freno sull’adozione di una nuova tecnologia. Poiché i sottoprodotti dello sviluppo IT, come ad esempio fogli di calcolo, modelli UML ecc, vengono distribuiti per sopperire a bisogni critici, devono essere sostituiti con attenzione. Ma senza una documentazione, controlli e standard adeguati, questo processo è lento e presenta errori.

Disfunzione organizzativa

La Shadow IT crea un ambiente disfunzionale che porta ad animosità tra i reparti IT e non IT all’interno di un’organizzazione. Le motivazioni inadeguate dietro gli sforzi della Shadow IT come la ricerca della sicurezza del posto di lavoro (vale a dire "Bob è l'unica persona con questi dati" o "che cosa accadrà se se ne va?"), la raccolta di dati, l'auto-promozione, lo scambio di favori, ecc. possono portare a significativi problemi di gestione.

Un sondaggio del 2015 su oltre 400 CIO a livello globale ha mostrato che il 90% dei CIO in tutto il mondo si è trovato almeno qualche volta sorpassato sulla linea aziendale. Un terzo (31%) dei CIO a livello globale è regolarmente fiancheggiato quando si tratta di prendere decisioni sugli acquisti di natura IT.[7]

Effetti sui reparti IT

Secondo il Gartner, entro il 2015, il 35% delle spese aziendali nell’ambito IT, per la maggior parte delle organizzazioni, sarà gestito al di fuori del dipartimento IT.[8]

Note

  1. ^ (FR) RESULTATS DE L’ENQUETE SUR LE PHENOMENE DU « SHADOW IT » par Thomas Chejfec Archiviato il 16 novembre 2017 in Internet Archive.
  2. ^ (EN) Silic, M., & Back, A. (2014) Shadow IT – A view from behind the curtain, Computers & Security, 45, 274-283
  3. ^ (EN) http://securitygamified.com/task/ Archiviato il 16 novembre 2017 in Internet Archive.
  4. ^ (EN) RSA,November 2007,The Confessions Survey: Office Workers Reveal Everyday Behavior That Places Sensitive Information at Risk, available from: (PDF), archived from the original (PDF) on February 11, 2012, retrieved September 15, 2017.
  5. ^ (EN) Raden, N., October 2005, Shadow IT: A Lesson for BI, BI Review Magazine, Data Management Review and SourceMedia, Inc.
  6. ^ (EN) Myers, Noah and Starliper, Matthew W. and Summers, Scott L. and Wood, David A.,The Impact of Shadow IT Systems on Perceived Information Credibility and Managerial Decision Making (March 8, 2016)
  7. ^ (EN) SHADOW IT IS A REALITY FOR 90% OF CIOS Archiviato il 23 novembre 2015 in Internet Archive., Logicalis. Retrieved 2015-11-23.
  8. ^ (EN) "Predictions Show IT Budgets Are Moving Out of the Control of IT Departments", Gartner. Retrieved 2012-04-25.

Voci correlate