Lo sviluppo di Shadow IT nelle aziende
Shadow IT è la parte di IT in una società che viene effettuata al di fuori del controllo del vostro reparto IT.
Libero dai vincoli e dal budget dei CIO, lo sviluppo di "Shadow IT" consente di facilitare la trasformazione operativa del business per rimanere il più vicino possibile all'innovazione. I reparti aziendali creano le proprie applicazioni più velocemente e con più flessibilità rispetto al reparto IT.
La capacità di sviluppare applicazioni o siti web sempre più facilmente da parte di esperti non tecnici, così come la proliferazione di servizi cloud, sono favorevoli allo sviluppo di "Shadow IT".
Anche se queste pratiche possono portare a una digitalizzazione più veloce, a lungo termine "Shadow IT" è un grande rischio per le aziende perché questa pratica viola le regole della governance IT: urbanizzazione del sistema informativo, gestione dei dati e sicurezza dei sistemi informativi.
Sicurezza Shadow IT, rischio per le organizzazioni
Ad esempio, settings non supervisionati dal reparto IT possono portare a un rischio di manutenzione dell'applicazione, che può portare poi a rischi sulla continuità aziendale se il codice dell'applicazione non è più interpretato. Gli scambi al di fuori della rete possono anche rappresentare un rischio per la sicurezza se raggiungono destinatari non intenzionali.
Inoltre, se i dati personali sono trattati da applicazioni sconosciute al dipartimento IT, l'azienda assume un rischio legale e finanziario significativo. In un caso come questo, il Regolamento generale sulla protezione dei dati (GDPR) potrebbe multare fino a 20 milioni di euro o il 4% del fatturato annuo totale.
Un fenomeno in crescita: la governance Shadow SaaS
Negli ultimi anni, le soluzioni SaaS si sono fatte strada in quasi tutte le organizzazioni, a volte anche senza la loro conoscenza in quanto qualsiasi dipendente può iscriversi e accedere alle applicazioni senza restrizioni tramite un semplice browser. Questi usi invisibili sono problematici per i CIO e gli architetti aziendali perché portano agli stessi rischi che lo Shadow IT può comportare.
Shadow SaaS è l'utilizzo da parte dei dipendenti di soluzioni SaaS senza riferimento al reparto IT. Una situazione resa possibile dal principio intrinseco della modalità SaaS, che unisce funzionalità e infrastruttura in un'unica iscrizione diretta. Shadow SaaS è quindi un elemento dello Shadow IT, che rimane il più complesso da monitorare perché è al di fuori del reparto IT e ha un proprio budget.
Il fenomeno SaaS sta crescendo sempre più attraverso piattaforme collaborative e le organizzazioni scopriranno come durante gli audit tramite piattaforme di gestione SaaS, il 60-70% delle applicazioni SaaS rimangono completamente invisibili al reparto IT.
Il Ruolo del CIO e degli architetti aziendali per affrontare Shadow IT e Shadow SaaS
In un momento in cui la sicurezza IT e la gestione dei dati sono al centro delle preoccupazioni della maggior parte delle organizzazioni, lo sviluppo dello Shadow IT sembra essere incompatibile con questi grandi problemi. Il ruolo del CIO è quello di controllare lo Shadow IT e SaaS, mantenendo l'innovazione che questi approcci portano, permettendo uno sviluppo alla società, ma allo stesso tempo monitorando rischi e minacce.
Per padroneggiare questa innovazione, i CIO e gli architetti aziendali devono avvicinarsi alle aziende per essere considerati facilitatori e non vincoli. Se parliamo di Shadow SaaS, il rischio è spostato al servizio esterno, e le sfide dell’azienda sono legate al business, gli strati funzionali, la razionalizzazione delle applicazioni esistenti e funzionalità, e meno sulla distribuzione della tecnologia.
Il rischio di vedere lo Shadow SaaS distribuito in tutta l'azienda è quindi molto reale. Questo rischio può essere contenuto solo se gli architetti aziendali e i dipartimenti IT hanno sufficiente visibilità per gestire tutte queste applicazioni - e quindi ottimizzare i loro usi e costi. I dipartimenti IT e gli architetti dovranno affidarsi a strumenti specifici per la gestione SaaS e la pianificazione della trasformazione IT che monitorino anche tutte le possibili minacce e rischi.
