Vai al contenuto

Il Lato Oscuro

Shadow IT è un termine spesso usato per descrivere sistemi e soluzioni IT implementati e usati all’interno delle organizzazioni senza l’approvazione esplicita dell’organizzazione stessa. È inoltre usato, con il termine “Stealth IT” (IT invisibile) per descrivere soluzioni specificate e implementate da reparti diversi da quello IT.

Lo Shadow IT è considerato da molti una importante fonte per l’innovazione ed anche come metodo per la realizzazione di prototipi per soluzioni IT future.

D’altra parte, le soluzioni che utilizzano lo Shadow IT non sono spesso in linea con la richiesta da parte delle organizzazioni di avere controllo, documentazione, sicurezza, affidabilità ecc., anche se queste problematiche di norma si ritrovano anche nelle soluzioni IT tradizionali.

Come succede ?

Di solito comincia con piccole soluzioni realizzate direttamente dagli stessi utenti, che approfittano della possibilità offerta dalla maggioranza della applicazioni aziendali "Enterprise" di effettuare piccole estrazioni di dati dal database centrale per scaricare i risultati localmente sul PC ed effettuare alcune semplici elaborazioni tramite Excel o Access.
In questo modo diventa possibile ottenere rapidamente la risposta ad una esigenza di approfondimento puntuale, che diversamente richiederebbe un certo impegno per essere realizzata dall'IT.

Galvanizzati da questi brillanti risultati, gli utenti si spingono ben presto sempre più oltre e - nel frattempo - cominciano a manifestarsi i primi problemi:

  • le elaborazioni richiedono l'estrazione di una sempre più vasta mole di dati;
  • si vengono a creare tanti "database paralleli" rispetto al database centrale;
  • le informazioni memorizzate in questi database paralleli rischiano di non essere coerenti ed allineate con quelle memorizzate nel database centrale;
  • l'affidabilità dei risultati ottenuti attraverso le elaborazioni locali dipende dalla capacità degli utenti che le hanno realizzate di comprendere e interpretare correttamente il significato dei dati e le relazioni che intercorrono tra essi.

Come se non bastasse, iniziano a verificarsi anche alcuni fenomeni "pericolosi":

  • gli utenti fanno sempre più conto sui dati contenuti nei loro "database paralleli", rispetto ai dati contenuti nel database centrale;
  • le esigenze di elaborazione diventano sempre più sofisticate e ormai non basta più qualche formula di Excel o una query di Access per ottenere le risposte che si cercano.

Le cose iniziano a farsi difficili e gli utenti iniziano ad implementare per conto proprio vere e proprie soluzioni IT in grado di far fronte alle loro esigenze, senza però coinvolgere il reparto IT Aziendale (che "ci metterebbe troppo tempo").

Entra in scena lo "Shadow IT"

...e in un batter d'occhio sulla rete Aziendale "spuntano" come funghi nuove applicazioni non gestite dal reparto IT.

Una stima effettuata da Gartner colloca la spesa per lo Shadow IT tra il 30% e il 40% della spesa totale per l'IT nelle grandi imprese.
Alcune stime di Everest Group si spingono oltre il 50%.
E' addirittura possibile che questi numeri siano solo una valutazione "per difetto" dell'effettiva estensione dell'ecosistema "Shadow IT", in quanto spesso si tratta di voci di spesa non direttamente riferibili all'IT aziendale.

In passato, quando l'aumento di complessità di una soluzione di Shadow IT superava certi limiti o quando nasceva la necessità di portarla a livello aziendale, veniva coinvolto il reparto IT in quanto era l'unico che disponesse delle necessarie risorse di elaborazione e di programmazione.

Ora non è più così: grazie alla vasta disponibilità di risorse di elaborazione e servizi informatici in Cloud, anche lo Shadow IT è oramai in grado di operare su vasta scala e con soluzioni software che possono essere adattate e gestite anche da personale non inquadrato nell'IT aziendale.

Ma lo Shadow IT è buono o cattivo ?

Dal punto di vista del Business, lo Shadow IT non è poi così male... Anzi !
Il suo principale punto di forza, rispetto all'IT tradizionale, sta nella capacità di rendere rapidamente disponibili soluzioni informatiche in grado di far fronte alle esigenze di innovazione continua provenienti dal mercato.
La sua principale debolezza invece riguarda la reale affidabilità di soluzioni informatiche realizzate in questo modo, soprattutto quando diventa necessario consolidare quella che era inizialmente una semplice sperimentazione in una soluzione valida per tutta l'Azienda.

Dal punto di vista del reparto IT invece, lo Shadow IT è un grosso problema...
E' molto difficile per il reparto IT riuscire a conciliare la presenza di soluzioni Shadow IT all'interno di una infrastruttura che - per poter svolgere il ruolo di "linfa vitale" di una organizzazione - deve necessariamente essere standardizzata e controllabile.
Ecco perchè di solito - quando diventa necessario consolidare quella che era inizialmente una semplice sperimentazione in una soluzione valida per tutta l'Azienda - si opta per una "riconversione" delle soluzioni Shadow IT attraverso un lungo e difficoltoso processo di reverse engineering.

...e dal punto di vista della Sicurezza ?
L'introduzione in Azienda dello Shadow IT porta potenzialmente con sè diversi problemi di sicurezza.
L'impiego di architetture IT non standard e la scarsa conoscenza delle security policy aziendali (unitamente al mancato apporto della esperienza del personale del reparto IT, il quale di solito non è coinvolto nel progetto) possono condurre facilmente alla implementazione di soluzioni Shadow IT non adeguate agli standard di sicurezza Aziendali.

Quindi il verdetto è...

Lo Shadow IT non è né buono, né cattivo: dipende dall'uso che se ne fa...

Spetta al Management Aziendale decidere se ed entro quali limiti consentire l'adozione di soluzioni Shadow IT, tenendo conto dei rischi che questa scelta può comportare, in termini di:

Vulnerabilità di sicurezza
Le infrastrutture IT decentralizzate e le piattaforme utilizzate per lo Shadow IT potrebbero non essere sicure come quelle gestite dal reparto IT. Lo Shadow IT in questo caso può essere facile preda di virus, malware e ransomware che possono rapidamente propagarsi anche alle restanti componenti dell'IT Aziendale.

Perdita di riservatezza e disponibilità dei dati
Il personale che gestisce lo Shadow IT potrebbe non essere adeguatamente istruito sulla corretta gestione dei dati: in questo caso può capitare che dati sensibili vengano per errore condivisi con persone non autorizzate oppure che il mancato backup dei dati abbia come conseguenza una perdita irreversibile, in caso di compromissione.

Incoerenza e duplicazione dei dati
I sistemi Shadow possono causare incoerenza nei dati Aziendali. Una cattiva organizzazione dei flussi informativi e dei file può portare a differenze tra i dati "ufficiali" e quelli utilizzati dallo Shadow IT, con la conseguenza che i risultati delle elaborazioni svolte tramite lo Shadow IT possono produrre risultati errati.

Spreco di tempo e risorse
Lo Shadow IT viene di norma gestito da personale non specializzato, che quindi può impiegare molto tempo a controllare la validità dei dati, a configurare i sistemi e a gestire diverse versioni di software e di dati. Per implementare lo Shadow IT spesso vengono utilizzate le infrastrutture IT Aziendali: in questo caso il carico di lavoro derivante dalle elaborazioni di Shadow IT può distogliere risorse alle altre elaborazioni Aziendali.

Come convivere con lo Shadow IT

Lo Shadow IT non è certamente il modo migliore di risolvere i problemi, ma in certi casi può essere un valido complemento dell'IT tradizionale per dare risposte rapide alle esigenze di innovazione.

Un bravo IT Security Manager dovrebbe trovare un modo per:
- contenere l'utilizzo indiscriminato dello Shadow IT,
- promuovere attivamente l'impiego di soluzioni basate sull'IT tradizionale,
ma anche per:
- convivere con lo Shadow IT consentendone l'utilizzo controllato,
- ridurre il più possibile i rischi di sicurezza derivanti dallo Shadow IT.

Per far questo occorre:

Ridurre i tempi di valutazione

Le esigenze di innovazione del Business hanno bisogno di risposte rapide.
Spesso però accade che il processo di valutazione di queste esigenze da parte dell'IT tradizionale richieda tempi troppo lunghi, perchè il reparto IT:
- le considera a bassa priorità
oppure:
- ha bisogno di effettuare valutazioni approfondite, prima di decidere in merito.
Per effettuare queste valutazioni di fattibilità, il reparto IT dovrebbe dedicare una struttura di "Demand Management"  dotata di adeguate competenze, in grado di svolgere questo delicato compito in modo affidabile, ma in tempi rapidi.

Razionalizzare i processi di implementazione

Spesso si ricorre allo Shadow IT perché è un percorso più rapido per ottenere il risultato desiderato. L'implementazione delle soluzioni già valutate ed approvate dal Demand IT non dovrebbero richiedere tempi lunghi per l'implementazione a causa di processi di sviluppo lenti ed obsoleti.
Per evitare che il reparto IT diventi un collo di bottiglia che rallenta l'innovazione tecnologica occorre innovare anche i processi di sviluppo IT, mettendoli in grado di seguire rapidamente l'evoluzione della tecnologia. Ad esempio è utile introdurre metodologie "agili" per lo sviluppo e la gestione dei progetti IT.

Stare al passo coi tempi

Il reparto IT dovrebbe mantenersi all'avanguardia, tenendosi sempre aggiornato sui più recenti sviluppi tecnologici, per non rischiare di essere colto alla sprovvista da una tecnologia nuova e dirompente che potrebbe rappresentare un elemento chiave per l'innovazione nel Business.
Questa attività richiede tempo (e forse anche denaro), ma è certamente meglio investire nell'aggiornamento continuo delle competenze piuttosto che sprecare energie nell'inseguimento di un numero sempre crescente di progetti "Shadow IT".

Rafforzare i controlli

Aprire le porte allo Shadow IT non significa rinunciare al controllo dell'IT Aziendale. Vi sono alcune situazioni in cui lo Shadow IT può creare problemi di conformità o di rispetto della regolamentazione vigente.
Occorre pertanto vigilare attentamente sui casi di Shadow IT ed intervenire tempestivamente qualora le regole e le policy aziendali corrano il rischio di essere pesantemente violate da progetti che non sono sotto il controllo del reparto IT.

Prevedere margini di flessibilità nel budget

Troppo spesso il budget del reparto IT è rigorosamente controllato, e vi è poca flessibilità in termini di ri-allocazione dei fondi da un'area già prevista verso un'area diversa ma potenzialmente emergente in quanto fortemente richiesta dal Business.
In genere i progetti Shadow IT non sono preventivati ​​in bilancio e richiedono quindi finanziamenti ad hoc. Se il budget del reparto IT prevede alcuni margini di flessibilità, è possibile trovare il modo di soddisfare le esigenze del Business senza essere costretti a ricorrere allo Shadow IT.

Partecipare attivamente alle iniziative di innovazione

L'IT aziendale non può limitarsi ad essere solo uno strumento attraverso il quale è possibile realizzare soluzioni e servizi innovativi richiesti dal mercato.
Nelle imprese più all'avanguardia l'IT svolge un ruolo trainante nell'innovazione, collaborando attivamente con le unità di Business nei processi di ricerca e sviluppo.
Sono finiti i giorni in cui l'IT poteva starsene lì, ad aspettare che arrivassero le richieste di nuovi progetti. Se non vuole rischiare di essere lasciata da parte e subire passivamente il fenomeno dello Shadow IT, deve fare uno sforzo per essere maggiormente coinvolta.

Approvare l'impiego dello Shadow IT per soluzioni prototipali

Quando si scopre l'esistenza di una soluzione Shadow IT,  spesso la prima reazione che viene in mente è quella di bloccarla immediatamente.
A meno che non si abbia già a disposizione una valida soluzione sostitutiva da mettere in campo come alternativa, può essere il caso di lasciar correre.
Ciò consente alle unità aziendali che utilizzano quella soluzione Shadow IT di continuare ad operare nel modo che hanno già scelto e contemporaneamente offre all'IT tradizionale la possibilità di esplorare una nuova tecnologia e valutarne l'efficacia sul campo.
Si tratta di considerare le iniziative Shadow IT come soluzioni transitorie, da utilizzare a breve termine, fino a quando non si riesce a trovare la migliore soluzione a lungo termine.

3 pensieri su “Il Lato Oscuro

  1. antonio monteleone

    Grazie Franco articolo molto interessante e mi sono fatto un'idea di cose che assolutamente NON conoscevo.

    Cordialmente

    Antonio

    Rispondi
  2. marco crociani

    Franco,
    Con questa spiegazione mi hai evitato di dover spiegare di cosa si tratta, di quali rischi comporta ed ipotesi su come come gestirlo....se non ti dà problemi lo uso ....sempre citando la fonte

    Rispondi

Rispondi a Franco Tessarollo Annulla risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.