Garantire la sicurezza della Shadow IT nell'ambiente aziendale
Ogni organizzazione ha due ambienti tecnologici. Quello che l'IT ha costruito, documentato e mantiene sotto controllo, e quello che i dipendenti hanno assemblato attorno ad esso per svolgere il proprio lavoro più rapidamente. Il secondo ambiente è il shadow IT, e nella maggior parte delle imprese, è più grande, più vario e più profondamente radicato nelle operazioni quotidiane di quanto i team di sicurezza siano a loro agio nel riconoscere. Strumenti SaaS non autorizzati, account di archiviazione cloud personali, estensioni del browser con ampie autorizzazioni di accesso ai dati, assistenti AI che elaborano documenti sensibili e integrazioni di terze parti che non sono mai state esaminate da nessuno con responsabilità di sicurezza costituiscono tutti il patrimonio shadow, e sta espandendosi più rapidamente di quanto i tradizionali framework di governance possano tenere traccia. Le implicazioni per la sicurezza non sono teoriche. Il shadow IT crea esposizione che si trova interamente al di fuori dell'infrastruttura di monitoraggio, patching e controllo degli accessi che i team di sicurezza aziendale hanno costruito, e lo fa attraverso canali che i dipendenti spesso non hanno motivo di riconoscere come rischiosi. Questo articolo esamina dove l'esposizione del shadow IT sta crescendo più rapidamente, come il rischio dei fornitori si interseca con il problema del shadow IT e quale aspetto ha un approccio realistico alla sua gestione nella pratica.
La dimensione del fornitore del shadow IT
Il shadow IT è spesso inquadrato come un problema di comportamento dei dipendenti, il che porta a risposte di governance che si concentrano sull'applicazione delle politiche e sulla consapevolezza degli utenti. Queste risposte affrontano il sintomo senza toccare la struttura sottostante che rende persistente il shadow IT. Il motivo per cui i dipendenti ricorrono a strumenti non autorizzati è che le alternative autorizzate sono più lente, meno capaci o più difficili da accedere rispetto a ciò che possono fornire da soli in pochi minuti. Fino a quando quel divario non si chiude, l'applicazione delle politiche ridurrà il shadow IT ai margini senza eliminare l'incentivo che lo produce. La valutazione del rischio dei fornitori è la capacità che affronta la dimensione di terze parti di questo problema su larga scala. Quando un dipendente fornisce uno strumento SaaS, sta stabilendo una relazione con un fornitore per conto dell'organizzazione, indipendentemente dal fatto che l'organizzazione lo riconosca come tale. Quel fornitore potrebbe avere accesso alle credenziali aziendali tramite integrazioni OAuth, potrebbe memorizzare dati in giurisdizioni con regimi normativi diversi e potrebbe avere una postura di sicurezza che non sopravviverebbe a un'analisi di base se qualcuno avesse pensato di applicarla. La valutazione continua dell'ecosistema dei fornitori, inclusi i fornitori shadow che i dipendenti introducono senza coinvolgimento formale degli acquisti, fornisce ai team di sicurezza la visibilità per comprendere quale esposizione di terze parti esista realmente piuttosto che quella che l'elenco dei fornitori approvati suggerisce dovrebbe esserci. La domanda di sicurezza più significativa non è se i dipendenti stiano utilizzando strumenti non autorizzati, ma cosa stiano facendo quegli strumenti con i dati aziendali e quale accesso abbiano a sistemi e credenziali che l'organizzazione considera importanti. Un articolo di Forbes sul shadow AI ha notato che i dipendenti stanno ora utilizzando regolarmente strumenti AI di cui l'organizzazione non ha visibilità, elaborando documenti sensibili, dati dei clienti e comunicazioni interne attraverso sistemi le cui pratiche di gestione dei dati non sono mai state esaminate da nessuno nella funzione di sicurezza. Il profilo di rischio di quel comportamento è significativamente diverso da quello di un dipendente che utilizza uno strumento di gestione dei progetti non autorizzato.
Dove stanno emergendo le vulnerabilità
Il recente record sulle violazioni del shadow IT è istruttivo. Una violazione di una piattaforma di messaggistica ha dimostrato come le infrastrutture di comunicazione sovrane e apparentemente controllate possano nascondere vulnerabilità che rimangono non rilevate proprio perché lo strumento è trattato come fidato senza una convalida di sicurezza continua. L'assunzione di sicurezza basata sulla provenienza istituzionale piuttosto che su una valutazione continua è esattamente il tipo di pensiero che il shadow IT sfrutta, perché gli strumenti scelti dai dipendenti sono fidati dalle persone che li utilizzano, indipendentemente dal fatto che quella fiducia abbia una base di sicurezza. La scoperta che un agente AI ha identificato più zero-day in software ampiamente utilizzati, inclusa l'infrastruttura del browser, punta a un problema correlato. I componenti software incorporati negli strumenti utilizzati dai dipendenti, inclusi gli strumenti shadow che operano al di fuori della visibilità IT, portano profili di vulnerabilità che cambiano continuamente man mano che nuove ricerche emergono. Uno strumento non autorizzato costruito su una libreria vulnerabile è un rischio che nessuna quantità di applicazione delle politiche dei dipendenti affronta, perché la vulnerabilità esiste a un livello al di sotto della consapevolezza del dipendente e al di sotto del perimetro di monitoraggio dell'organizzazione.
Il livello SSL e dei certificati
Una delle dimensioni più trascurate della sicurezza del shadow IT è l'infrastruttura dei certificati associata a strumenti e integrazioni non autorizzati. Il monitoraggio dei certificati SSL è importante nel contesto del shadow IT perché certificati scaduti o mal configurati su strumenti che i dipendenti stanno attivamente utilizzando creano esposizione man-in-the-middle che né il dipendente né il team di sicurezza sono in grado di rilevare senza un monitoraggio specifico in atto. Gli strumenti di shadow IT sono significativamente meno propensi rispetto al software aziendale autorizzato a mantenere un'igiene rigorosa dei certificati, sia perché operano al di fuori dei processi di gestione dei certificati dell'organizzazione sia perché i fornitori dietro di essi potrebbero non avere la maturità operativa che i requisiti di approvvigionamento aziendale altrimenti richiederebbero. Il risultato è una categoria di esposizione che si trova all'intersezione tra shadow IT e rischio di terze parti, visibile solo alle organizzazioni che hanno costruito monitoraggio su entrambe le dimensioni.
La dimensione geopolitica del rischio dei fornitori
Il quadro del rischio aziendale per la sicurezza aziendale si è espanso oltre la vulnerabilità tecnica in territori geopolitici in modi che la governance del shadow IT non ha ancora completamente assorbito. L'instabilità globale che rimodella il rischio aziendale ha prodotto un insieme di considerazioni attorno alla sovranità dei dati, alla giurisdizione dei fornitori e alla provenienza della catena di approvvigionamento che rendono la nazionalità e l'ambiente normativo dei fornitori shadow una legittima preoccupazione per la sicurezza piuttosto che solo una nota di conformità. Un dipendente che utilizza uno strumento di archiviazione cloud domiciliato in una giurisdizione con leggi obbligatorie di accesso ai dati ha introdotto un'esposizione al rischio sovrano che il framework di governance dei dati dell'organizzazione non era quasi certamente progettato per affrontare. Con l'aumento delle tensioni geopolitiche, il significato pratico della residenza dei dati e della giurisdizione dei fornitori ha reso l'ecosistema dei fornitori shadow un'esposizione più significativa di quanto non fosse quando quelle domande erano principalmente teoriche. La tabella sottostante evidenzia i comuni rischi del shadow IT, i fattori che li creano e i controlli che le organizzazioni possono utilizzare per identificare e gestire quelle esposizioni:
Categoria di rischio del shadow IT
Cosa lo crea
Cosa lo affronta
SaaS non autorizzato con accesso ai dati
Auto-provisioning dei dipendenti
Valutazione continua del rischio dei fornitori attraverso il patrimonio shadow
Strumenti AI che elaborano documenti sensibili
Adozione di shadow AI
Monitoraggio dei flussi di dati in uscita e delle autorizzazioni OAuth
Esposizione di certificati e SSL
Scarsa igiene sugli strumenti shadow
Monitoraggio dei certificati esteso oltre l'infrastruttura autorizzata
Rischio di giurisdizione e sovranità dei fornitori
Residenza dei dati non esaminata dei fornitori shadow
Valutazione dei fornitori inclusa la revisione normativa e giurisdizionale
Vulnerabilità nei componenti incorporati
Librerie di terze parti negli strumenti shadow
Monitoraggio della superficie di attacco nell'intero ecosistema dei fornitori
Costruire visibilità prima di applicare la politica
La sequenza della governance del shadow IT è più importante di quanto la maggior parte dei programmi di sicurezza riconosca. Le organizzazioni
Altri articoli
Garantire la sicurezza della Shadow IT nell'ambiente aziendale
La Shadow IT crea esposizione alla sicurezza aziendale al di fuori del monitoraggio, della correzione e dei controlli di accesso. Da SaaS non autorizzati e AI ombra ai rischi di sovranità dei dati geopolitici, questo articolo esamina dove cresce l'esposizione della Shadow IT e come la valutazione del rischio dei fornitori affronta la dimensione dei terzi su larga scala.
