Esiste una narrazione tossica, diffusa da decenni nell’industria della cyber security, che dipinge l’utente finale come il nemico interno, l’anello debole della catena, colui che cerca costantemente di aggirare le regole per negligenza o pigrizia.

Quando scopriamo che un intero dipartimento marketing utilizza servizi cloud non approvati per scambiarsi file pesanti o che il team di sviluppo ha creato server di test su AWS con la carta di credito personale del manager, la prima reazione del reparto IT è quasi sempre repressiva: bloccare l’URL a livello di firewall, segnalare l’incidente disciplinare alle Risorse Umane, fare una lavata di capo generale.

Ecco, dunque, gli strumenti di governance necessari ai CISO per trasformare la Shadow IT da minaccia incontrollata a opportunità di innovazione, applicando framework che allineano finalmente le esigenze di velocità degli utenti con i requisiti di controllo dell’organizzazione.

Il fenomeno incontrollabile della Shadow IT

Ma se un intero dipartimento è l’anello debole della catena, come si è arrivati a questo punto?

Raramente ci chiediamo perché lo stiano facendo. Infatti, la Shadow IT (l’informatica “ombra”) non nasce quasi mai dalla malizia, dal dolo o dalla voglia di sabotare l’organizzazione. Nasce dalla disperazione operativa.

È il sintomo di un processo di business che si è scontrato con un muro di burocrazia tecnica e ha cercato una via alternativa per sopravvivere.

Se un dipendente deve inviare un video promozionale di 2GB a un fornitore entro un’ora per rispettare una scadenza contrattuale, e lo strumento ufficiale aziendale supporta allegati di massimo 20MB o richiede l’apertura di un ticket che verrà lavorato domani, quel dipendente si trova di fronte a un bivio etico e professionale.

Da una parte c’è la compliance: rispettare la regola, non inviare il file e fallire l’obiettivo di business. Dall’altra c’è l’efficacia: usare il WeTransfer o il Dropbox personale, inviare il file in tre minuti, soddisfare il cliente e portare a casa il risultato.

Se è un servizio cloud così famoso e usato da tutti, sarà anche sicuro, no? Nella quasi totalità dei casi, il dipendente sceglierà la seconda opzione. E dal punto di vista dell’azienda, intesa come entità che deve generare profitto, ha ragione a farlo.

Perché l’obiettivo primario dell’organizzazione è produrre valore, non essere sicura a spese dell’operatività. Se la sicurezza diventa un ostacolo insormontabile per il business, il business aggirerà la sicurezza.

Il ruolo della governance IT

In questo contesto, la Governance deve riscoprire ed applicare con rigore il principio KISS (Keep It Simple, Stupid), un concetto nato nell’ingegneria aeronautica della US Navy negli anni ’60 ma perfettamente applicabile alla security moderna.

Il principio afferma che la maggior parte dei sistemi funziona meglio se mantenuta semplice piuttosto che resa complessa. Nella cybersecurity, la complessità è nemica della sicurezza

Più rendiamo farraginosi i processi di approvazione, più stratifichiamo le tecnologie di controllo e più rendiamo ostili gli strumenti di lavoro, più aumentiamo la superficie di attacco creata proprio dalla Shadow IT.

Il ruolo del CISO moderno non può più essere quello del “Dottor NO”, la figura che presidia il cancello dicendo sempre di no a qualsiasi innovazione non standardizzata. Deve evolvere nel ruolo di “business enabler”. Di fronte alla scoperta di un fenomeno di Shadow IT, l’approccio corretto non è il blocco cieco, ma l’analisi del fabbisogno (Business Impact Analysis).

Stanno usando WhatsApp per le comunicazioni di crisi durante un disservizio? Significa che i canali ufficiali come Teams o Slack sono percepiti come troppo lenti, complessi o non fruibili efficacemente da mobile.

Stanno usando Google Drive personale per collaborare su fogli di calcolo? Significa che la soluzione on-premise aziendale non permette il co-authoring in tempo reale, rallentando il lavoro di squadra.

Come gestire lo Shadow IT

In ultima analisi, lo Shadow IT è una specie di indicatore di perfomance: praticamente è una forma di feedback non richiesto ma onesto da parte degli utenti. Ci sta dicendo dove i nostri strumenti ufficiali hanno fallito, almeno dal punto di vista della percezione.

Combatterla con i blocchi tecnologici è una guerra persa in partenza: per ogni sito di file sharing che blocchiamo sul proxy, ne nascono altri dieci nuovi ogni giorno. È come cercare di fermare l’acqua con le mani: troverà sempre una fessura dove passare.

E allora, WeTransfer o Dropbox – ormai finiti in blacklist e bloccati – rappresentano il male minore, perché almeno sono servizi noti. Dietro quelli nuovi che nascono ogni giorno chi c’è dietro? Ma la soluzione non è abilitarli nuovamente: la soluzione risiede nell’usabilità.

Applicare il principio KISS significa fornire alternative sicure che siano facili da usare almeno quanto quelle insicure. Se lo strumento sicuro è veloce, intuitivo ed integrato nel flusso di lavoro quotidiano, l’utente lo userà spontaneamente, senza bisogno di coercizione.

La sicurezza deve diventare “invisibile” o, quantomeno, priva di attrito (frictionless). Ad esempio, implementare una soluzione di Managed File Transfer (MFT) aziendale che sia accessibile via web, senza client da installare, e che permetta l’invio di file più grandi di WeTransfer con un semplice drag-and-drop, elimina alla radice la necessità di usare WeTransfer.

L’utente ottiene ciò che vuole (l’invio del file), l’azienda ottiene ciò che deve avere (log, cifratura, controllo degli accessi e data retention).

Inoltre, portare alla luce la Shadow IT permette di trasformare un rischio incontrollato in un rischio gestito. Spesso scopriamo che interi processi critici poggiano su macro Excel fatte in casa o su servizi SaaS gratuiti che potrebbero chiudere domani mattina.

Portare questi processi sotto il cappello della governance IT non serve solo a proteggere i dati, ma a garantire la continuità operativa del business stesso.