Servizi IT Shadow! Un’insidia da gestire

Gli IT service provider, sia interni (Dipartimenti IT che erogano servizi all’interno della stessa organizzazione) che esterni (Società che erogano servizi IT a più clienti), hanno un nemico sempre più forte: i servizi IT Shadow. Tali servizi IT vengono spesso erogati dagli stessi service provider senza però la piena consapevolezza e controllo.

Nella progettazione e nelle fasi di delivery di ogni servizio IT, oltre a definirne lo scopo, l’ambito, la security c’è un aspetto fondamentale da considerare: “Le vie e le modalità di accesso al servizio”. Bisogna quindi definire, non solo chi può accedere a cosa, ma anche la via o lo strumento di accesso a quel qualcosa.

Possiamo quindi definire “Servizi IT Shadow” tutti quei servizi IT che esistono e funzionano all’interno delle nostre infrastrutture, senza la piena consapevolezza e controllo degli amministratori.

Servizi IT Shadow

Nello scenario sempre più diffuso del BYOD (Bring Your Own Device) in cui il dipendente\consulente può accedere alle risorse aziendali, utilizzando asset personali e non aziendali, il fenomeno IT Shadow è ancora più evidente e il rischio per l’infrastruttura è chiaramente più alto.
Anche l’evoluzione tecnologica nel mondo delle infrastrutture come: Risorse Virtuali, Servizi Cloud, SDN, Direct Access VPN, Smart Working, Workplace Join, da un lato aumentano la semplicità di accesso alle risorse aziendali, dall’altra aprono nuovi scenari nei quali un servizio IT può esistere senza però che lo scenario in cui il servizio lavora sia stato approvato o considerato dagli amministratori IT.

Rischi e Opportunità

In generale il fenomeno dell’IT Shadow è considerato un rischio in quanto un servizio IT erogato in modalità non controllata e non sottoposto alle stesse misure di sicurezza standard dell’organizzazione è di per sé un rischio. Se però si considerano opportunamente tutti gli scenari e possibilità di fruizione dello stesso servizio, esso può rappresentare un’opportunità.
Il bivio quindi è quello di scegliere tra:

  • Irrigidire le policy aziendali, bloccando ogni forma di fenomeno IT Shadow;
  • Accogliere il fenomeno ed investire su politiche per la supervisione, monitoraggio e gestione dei servizi IT Shadow;

Una terza strada è quella della classificazione dove decidere aree meno critiche e controllate dove accettare scenari Shadow ed aree più sensibili nella quali implementare scenari di “cyber security” pro-attiva, non fornendo spazio a possibili interferenze.

Scenari di Servizi IT Shadow:

Cerchiamo di esaminare alcuni scenari di IT Shadow che oggi sono presenti nelle nostre infrastrutture e sui quali fare alcune riflessioni per una gestione ottimale:

  • Join a Dominio Active Directory non controllato;
  • Posta Elettronica su dispositivi non aziendali;
  • Firme e-mail non certificate e autorizzate;
  • Accessi VPN da dispositivi non aziendali;
  • Permessi risorse di rete / Auditing;
  • Back door di Processo;
  • Shadow Network: SSID e DHCP non autorizzati;

Probabilmente questi scenari tra i più comuni potrebbero essere uno standard nella tua infrastruttura generando rischi considerevoli. La causa della loro esistenza è solitamente un’analisi superficiale dei processi che governano i nostri servizi IT, ci si concentra troppo spesso sulla funzionalità del tool o del servizio non considerando le modalità di accesso a quel servizio. Il fatto che un servizio IT funzioni e abbia un’alta affidabilità e disponibilità non è sufficiente a classificarlo come un servizio conforme agli standard di un’organizzazione aziendale.

Conclusioni

Potremmo andare avanti con esempi di Shadow IT per molto tempo ma lo scopo di questa riflessione è quello di sensibilizzare i gestori dei servizi IT a considerare nella progettazione e nel delivery di un servizio questi scenari orientati alle modalità di accesso, al rischio e all’uso improprio dei servizi IT da parte degli utenti, molte volte non volontario e consapevole.

In conclusione, dico sì all’evoluzione e al consentire nuove modalità di accesso ai servizi IT ma a condizione che tali modalità siano sotto l’amministrazione dei dipartimenti IT e che i processi alla base di tali servizi abbiano un’analisi strutturata che  consideri per ogni servizio tutti i possibili scenari di accesso e utilizzo. Esistono da anni diversi framework, modelli di riferimento per la gestione strutturata dei processi IT (ITIL, COBIT, TOGAF, PMBOK, ecc.) aldilà del modello che un’azienda decide di seguire come guida di riferimento è fondamentale cambiare approccio, non buttandosi a capofitto nella realizzazione della soluzione tecnica. Prima di farlo è necessario definire la strategia del servizio dove prendere in considerazione tutti gli scenari descritti:

  • Qual è lo scopo del servizio;
  • Chi sono gli utilizzatori del servizio;
  • Quali sono le modalità di accesso (esclusive) di quel servizio;
  • Quale è la finestra di disponibilità del servizio;
  • Eventuali scenari shadow del servizio;

e cosi via fino all’identificazione e analisi dei rischi.

Share on facebook
Facebook
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp
Share on email
Email