In un contesto lavorativo sempre più digitale, le aziende devono fare i conti con un fenomeno spesso sottovalutato ma potenzialmente devastante per la protezione dei dati: lo Shadow IT.

Lo Shadow IT

Questo termine si riferisce all'utilizzo di strumenti tecnologici non autorizzati da parte dei dipendenti per svolgere le proprie mansioni, senza il coinvolgimento o la conoscenza del reparto IT aziendale, dei responsabili o, peggio ancora, del DPO.

Potrebbe interessarti > Data Protection Officer (DPO): chi è, che cosa fa, perché serve

L'idea di utilizzare strumenti esterni, come app di file sharing, servizi cloud gratuiti o software di gestione non ufficiali, può sembrare una soluzione veloce per risolvere problemi pratici. Tuttavia, lo Shadow IT comporta gravi rischi per la sicurezza dei dati aziendali, oltre a possibili violazioni delle normative sulla privacy come il GDPR.

Lo Shadow IT si verifica quando i dipendenti utilizzano applicazioni, piattaforme e dispositivi non autorizzati dall'azienda per svolgere attività lavorative.

Questo può includere, ad esempio, l’uso di servizi di cloud storage personali (come Google Drive, Dropbox o OneDrive) o le forme di comunicazione tramite app non aziendali come WhatsApp o Telegram, purtroppo sati anche per l’invio di documenti che possono contenere ogni sorta di dato, magari sensibile.

Aggiungiamo l’uso di dispositivi personali non protetti che vanno dagli smartphone ai tablet fino a computer condivisi con tutto il nucleo familiare del dipendente. Questi strumenti, ovviamente, non passano attraverso i controlli di sicurezza IT aziendali, creando varchi che possono essere sfruttati per attacchi informatici o data breach.

Potrebbe interessarti > Errore umano e email ancora tra le prime cause di Data Breach

Approfondisci > Cosa fare in caso di violazione dati personali (Data breach)?

Purtroppo, i dipendenti ricorrono allo Shadow IT cercando soluzioni rapide per completare il proprio lavoro, soprattutto se gli strumenti aziendali sono considerati lenti o obsoleti o magari per gestire autonomamente alcune attività senza dover attendere autorizzazioni dall'IT.

Una questione di sicurezza

Da ciò si evince una assoluta mancanza di consapevolezza dei rischi legati alla sicurezza informatica e alla protezione dei dati ma anche una grave mancanza di formazione e informazione da parte delle aziende che non solo lasciano questa libertà ma neppure si preoccupano di vigilare.
Inoltre, il lavoro remoto ha accentuato il fenomeno dello Shadow IT, poiché i dipendenti utilizzano i propri dispositivi e reti domestiche.

Approfondisci > Il Cyber Risk per l'azienda inizia a casa dei dipendenti

Tutto ciò si riflette sul sistema di protezione dati delle aziende con l’aumento esponenziale delle possibilità di Data Breach ma anche perdita accidentale di dati. Come potrebbe giustificarsi un’azienda del furto del telefono personale di un dipendente o il figlio che cancella una memoria giocando sul PC del papà?

Inoltre la mancanza di controlli di sicurezza aziendali può facilitare la fuoriuscita di dati sensibili o personali, sia accidentalmente che a seguito di attacchi informatici.
In ogni caso si tratta di palesi violazioni del GDPR imputabili al Titolare del trattamento che, con questo sostanziale lassismo perde il controllo sui dati che sono stati a lui conferiti Del resto, se l'azienda non ha visibilità su come vengono raccolti, trasferiti o conservati i dati, non può garantirne la protezione.

Non dimentichiamo poi che, quando i dipendenti utilizzano app di terze parti, i dati aziendali possono finire in server situati in paesi con normative meno stringenti sulla privacy. Questo può compromettere la sovranità dei dati.

Si tratta di un problema poco considerato e sul quale dovremo tornare per analizzare meglio i rischi e i possibili interventi,