Garantire la sicurezza della Shadow IT nell'ambiente aziendale

Garantire la sicurezza della Shadow IT nell'ambiente aziendale

      Ogni organizzazione ha due ambienti tecnologici. Quello che l'IT ha costruito, documentato e mantiene sotto controllo, e quello che i dipendenti hanno assemblato attorno ad esso per svolgere il proprio lavoro più rapidamente. Il secondo ambiente è il shadow IT, e nella maggior parte delle imprese, è più grande, più vario e più profondamente radicato nelle operazioni quotidiane di quanto i team di sicurezza siano a loro agio nel riconoscere. Strumenti SaaS non autorizzati, account di archiviazione cloud personali, estensioni del browser con ampie autorizzazioni di accesso ai dati, assistenti AI che elaborano documenti sensibili e integrazioni di terze parti che non sono mai state esaminate da nessuno con responsabilità di sicurezza costituiscono tutti il patrimonio shadow, e sta espandendosi più rapidamente di quanto i tradizionali framework di governance possano tenere traccia. Le implicazioni per la sicurezza non sono teoriche. Il shadow IT crea esposizione che si trova interamente al di fuori dell'infrastruttura di monitoraggio, patching e controllo degli accessi che i team di sicurezza aziendale hanno costruito, e lo fa attraverso canali che i dipendenti spesso non hanno motivo di riconoscere come rischiosi. Questo articolo esamina dove l'esposizione del shadow IT sta crescendo più rapidamente, come il rischio dei fornitori si interseca con il problema del shadow IT e quale aspetto ha un approccio realistico alla sua gestione nella pratica.

      La dimensione del fornitore del shadow IT

      Il shadow IT è spesso inquadrato come un problema di comportamento dei dipendenti, il che porta a risposte di governance che si concentrano sull'applicazione delle politiche e sulla consapevolezza degli utenti. Queste risposte affrontano il sintomo senza toccare la struttura sottostante che rende persistente il shadow IT. Il motivo per cui i dipendenti ricorrono a strumenti non autorizzati è che le alternative autorizzate sono più lente, meno capaci o più difficili da accedere rispetto a ciò che possono fornire da soli in pochi minuti. Fino a quando quel divario non si chiude, l'applicazione delle politiche ridurrà il shadow IT ai margini senza eliminare l'incentivo che lo produce. La valutazione del rischio dei fornitori è la capacità che affronta la dimensione di terze parti di questo problema su larga scala. Quando un dipendente fornisce uno strumento SaaS, sta stabilendo una relazione con un fornitore per conto dell'organizzazione, indipendentemente dal fatto che l'organizzazione lo riconosca come tale. Quel fornitore potrebbe avere accesso alle credenziali aziendali tramite integrazioni OAuth, potrebbe memorizzare dati in giurisdizioni con regimi normativi diversi e potrebbe avere una postura di sicurezza che non sopravviverebbe a un'analisi di base se qualcuno avesse pensato di applicarla. La valutazione continua dell'ecosistema dei fornitori, inclusi i fornitori shadow che i dipendenti introducono senza coinvolgimento formale degli acquisti, fornisce ai team di sicurezza la visibilità per comprendere quale esposizione di terze parti esista realmente piuttosto che quella che l'elenco dei fornitori approvati suggerisce dovrebbe esserci. La domanda di sicurezza più significativa non è se i dipendenti stiano utilizzando strumenti non autorizzati, ma cosa stiano facendo quegli strumenti con i dati aziendali e quale accesso abbiano a sistemi e credenziali che l'organizzazione considera importanti. Un articolo di Forbes sul shadow AI ha notato che i dipendenti stanno ora utilizzando regolarmente strumenti AI di cui l'organizzazione non ha visibilità, elaborando documenti sensibili, dati dei clienti e comunicazioni interne attraverso sistemi le cui pratiche di gestione dei dati non sono mai state esaminate da nessuno nella funzione di sicurezza. Il profilo di rischio di quel comportamento è significativamente diverso da quello di un dipendente che utilizza uno strumento di gestione dei progetti non autorizzato.

      Dove stanno emergendo le vulnerabilità

      Il recente record sulle violazioni del shadow IT è istruttivo. Una violazione di una piattaforma di messaggistica ha dimostrato come le infrastrutture di comunicazione sovrane e apparentemente controllate possano nascondere vulnerabilità che rimangono non rilevate proprio perché lo strumento è trattato come fidato senza una convalida di sicurezza continua. L'assunzione di sicurezza basata sulla provenienza istituzionale piuttosto che su una valutazione continua è esattamente il tipo di pensiero che il shadow IT sfrutta, perché gli strumenti scelti dai dipendenti sono fidati dalle persone che li utilizzano, indipendentemente dal fatto che quella fiducia abbia una base di sicurezza. La scoperta che un agente AI ha identificato più zero-day in software ampiamente utilizzati, inclusa l'infrastruttura del browser, punta a un problema correlato. I componenti software incorporati negli strumenti utilizzati dai dipendenti, inclusi gli strumenti shadow che operano al di fuori della visibilità IT, portano profili di vulnerabilità che cambiano continuamente man mano che nuove ricerche emergono. Uno strumento non autorizzato costruito su una libreria vulnerabile è un rischio che nessuna quantità di applicazione delle politiche dei dipendenti affronta, perché la vulnerabilità esiste a un livello al di sotto della consapevolezza del dipendente e al di sotto del perimetro di monitoraggio dell'organizzazione.

      Il livello SSL e dei certificati

      Una delle dimensioni più trascurate della sicurezza del shadow IT è l'infrastruttura dei certificati associata a strumenti e integrazioni non autorizzati. Il monitoraggio dei certificati SSL è importante nel contesto del shadow IT perché certificati scaduti o mal configurati su strumenti che i dipendenti stanno attivamente utilizzando creano esposizione man-in-the-middle che né il dipendente né il team di sicurezza sono in grado di rilevare senza un monitoraggio specifico in atto. Gli strumenti di shadow IT sono significativamente meno propensi rispetto al software aziendale autorizzato a mantenere un'igiene rigorosa dei certificati, sia perché operano al di fuori dei processi di gestione dei certificati dell'organizzazione sia perché i fornitori dietro di essi potrebbero non avere la maturità operativa che i requisiti di approvvigionamento aziendale altrimenti richiederebbero. Il risultato è una categoria di esposizione che si trova all'intersezione tra shadow IT e rischio di terze parti, visibile solo alle organizzazioni che hanno costruito monitoraggio su entrambe le dimensioni.

      La dimensione geopolitica del rischio dei fornitori

      Il quadro del rischio aziendale per la sicurezza aziendale si è espanso oltre la vulnerabilità tecnica in territori geopolitici in modi che la governance del shadow IT non ha ancora completamente assorbito. L'instabilità globale che rimodella il rischio aziendale ha prodotto un insieme di considerazioni attorno alla sovranità dei dati, alla giurisdizione dei fornitori e alla provenienza della catena di approvvigionamento che rendono la nazionalità e l'ambiente normativo dei fornitori shadow una legittima preoccupazione per la sicurezza piuttosto che solo una nota di conformità. Un dipendente che utilizza uno strumento di archiviazione cloud domiciliato in una giurisdizione con leggi obbligatorie di accesso ai dati ha introdotto un'esposizione al rischio sovrano che il framework di governance dei dati dell'organizzazione non era quasi certamente progettato per affrontare. Con l'aumento delle tensioni geopolitiche, il significato pratico della residenza dei dati e della giurisdizione dei fornitori ha reso l'ecosistema dei fornitori shadow un'esposizione più significativa di quanto non fosse quando quelle domande erano principalmente teoriche. La tabella sottostante evidenzia i comuni rischi del shadow IT, i fattori che li creano e i controlli che le organizzazioni possono utilizzare per identificare e gestire quelle esposizioni:

      Categoria di rischio del shadow IT

      Cosa lo crea

      Cosa lo affronta

      SaaS non autorizzato con accesso ai dati

      Auto-provisioning dei dipendenti

      Valutazione continua del rischio dei fornitori attraverso il patrimonio shadow

      Strumenti AI che elaborano documenti sensibili

      Adozione di shadow AI

      Monitoraggio dei flussi di dati in uscita e delle autorizzazioni OAuth

      Esposizione di certificati e SSL

      Scarsa igiene sugli strumenti shadow

      Monitoraggio dei certificati esteso oltre l'infrastruttura autorizzata

      Rischio di giurisdizione e sovranità dei fornitori

      Residenza dei dati non esaminata dei fornitori shadow

      Valutazione dei fornitori inclusa la revisione normativa e giurisdizionale

      Vulnerabilità nei componenti incorporati

      Librerie di terze parti negli strumenti shadow

      Monitoraggio della superficie di attacco nell'intero ecosistema dei fornitori

      Costruire visibilità prima di applicare la politica

      La sequenza della governance del shadow IT è più importante di quanto la maggior parte dei programmi di sicurezza riconosca. Le organizzazioni

Altri articoli

Una startup ha stampato in 3D tessuti renali e epatici nello spazio. Una startup ha stampato in 3D tessuti renali e epatici nello spazio. Auxilium afferma di aver biostampato tessuti renali e epatici sulla ISS, un primo. Il ritorno a breve termine è il test di farmaci su organoidi, non organi da trapianto. Garantire la sicurezza della Shadow IT nell'ambiente aziendale Garantire la sicurezza della Shadow IT nell'ambiente aziendale La Shadow IT crea esposizione alla sicurezza aziendale al di fuori del monitoraggio, della correzione e dei controlli di accesso. Dalle SaaS non autorizzate e dall'AI ombra ai rischi di sovranità dei dati geopolitici, questo articolo esamina dove sta crescendo l'esposizione della Shadow IT e come la valutazione del rischio dei fornitori affronta la dimensione dei terzi su larga scala. La vittoria di John Deere sul diritto alla riparazione riguarda davvero il software. La vittoria di John Deere sul diritto alla riparazione riguarda davvero il software. L'accordo della FTC con John Deere è la più grande vittoria negli Stati Uniti per il diritto alla riparazione fino ad ora, un avvertimento sul blocco del software in ogni dispositivo che possiedi. I genitori temono che l'IA stia diventando una stampella per i loro figli mentre le scuole faticano a tenere il passo, rivela un sondaggio. I genitori temono che l'IA stia diventando una stampella per i loro figli mentre le scuole faticano a tenere il passo, rivela un sondaggio. Un nuovo sondaggio di Deloitte ha rilevato che il 49% dei genitori è preoccupato che il proprio figlio si affidi troppo all'IA, mentre solo il 33% delle scuole ha delle linee guida sull'IA. I generatori di immagini AI hanno sfuggito le dita da incubo ed sono entrati nell'era del falso premium. I generatori di immagini AI hanno sfuggito le dita da incubo ed sono entrati nell'era del falso premium. Ho testato Meta Muse, Gemini Nano Banana 2 e ChatGPT Images 2.0. I fallimenti evidenti dell'IA stanno svanendo, ma i nuovi difetti sono più difficili da ignorare. Dopo Samsung e Apple, Oppo potrebbe essere il prossimo a unirsi al vasto club dei pieghevoli. Dopo Samsung e Apple, Oppo potrebbe essere il prossimo a unirsi al vasto club dei pieghevoli. Oppo potrebbe unirsi alla crescente corsa ai pieghevoli di Samsung e Apple con un dispositivo alimentato da Snapdragon 8 Gen 6 che porta una batteria insolitamente grande da 6.500mAh.

Garantire la sicurezza della Shadow IT nell'ambiente aziendale

La Shadow IT crea esposizione alla sicurezza aziendale al di fuori del monitoraggio, della correzione e dei controlli di accesso. Da SaaS non autorizzati e AI ombra ai rischi di sovranità dei dati geopolitici, questo articolo esamina dove cresce l'esposizione della Shadow IT e come la valutazione del rischio dei fornitori affronta la dimensione dei terzi su larga scala.