1Password, sviluppatore della nota app password manager, ha condiviso sul proprio blog una riflessione e alcuni suggerimenti su come ridurre al minimo i rischi dello shadow It, in una situazione in cui la pandemia di Covid-19 costringe le imprese a adattarsi a configurazioni di smart working e con i team It che si trovano a dover gestire da un momento all’altro le implicazioni sulla sicurezza del lavoro in remoto.
Uno di questi rischi è lo shadow It, vale a dire l’uso di app e servizi da parte dei dipendenti all’insaputa o senza la supervisione del team It.
Una recente analisi sempre di 1Password sui rischi dello shadow It ha mostrato che un notevole 63,5% dei lavoratori aveva creato almeno un account shadow It nei 12 mesi precedenti il sondaggio.
Al momento, sottolinea 1Password, l’uso dello shadow It è probabile che aumenti, in un periodo in cui le persone cercano nuovi flussi di lavoro per sostituire quelli vecchi che sono diventati improvvisamente inadatti a completare le attività, e dal momento che gli utenti sono ancora più tentati dalle prove gratuite estese, spesso offerte per affrontare il lavoro da casa a cui si è costretti dal coronavirus.
Vietare l’uso dello shadow It, secondo 1Password, non è pratico e farlo potrebbe soffocare la produttività e l’innovazione della propria organizzazione. Le persone, secondo gli esperti di 1Password, troveranno sempre un modo per aggirare le limitazioni imposte.
I pericoli per la sicurezza però ci sono, per cui 1Password suggerisce come mitigare i rischi posti dallo shadow It, quando si lavora in team da remoto.
Ma, innanzitutto, 1Password prova a identificare questi rischi, la cui natura non cambia particolarmente a causa del lavoro a distanza, ma che diventano più rilevanti che mai all’aumentare dell’utilizzo dello shadow It per l’aumento del lavoro in remoto.
Innanzitutto, l’azienda non sa dove sono i propri dati. Se l’impresa non sa quali servizi sta utilizzando il suo team, non sa nemmeno dove potrebbero nascondersi i dati sensibili dell’azienda o quelli dei clienti. Se uno di questi servizi viene violato, l’azienda non saprà che i dati sono stati compromessi.
Poi: non si sa chi abbia l’accesso. Nel caso in cui qualcuno lasci l’azienda all’improvviso, può essere già abbastanza difficile chiudere gli account di lavoro che il team It conosce, per non parlare di quelli che non conosce. Gli ex dipendenti potrebbero conservare l’accesso ai dati da condividere con i concorrenti.
Infine, la prassi di usare password deboli può diventare incontrollabile. Man mano che le persone registrano nuovi account, possono utilizzare password deboli o riutilizzare vecchie password. Il credential surfing e il riutilizzo della password sono i modi più comuni in cui gli aggressori ottengono l’accesso alle informazioni riservate.
Lo shadow It può spaventare, afferma 1Password, ma con alcuni passaggi di buon senso è possibile ridurne l’uso e mitigare i rischi.
Quando si lavora in remoto, tutti avranno bisogno di una manciata di servizi di base per lavorare. L’azienda dovrebbe dunque assicurarsi di fornire al proprio team modi per comunicare per iscritto, videochiamare, collaborare ai documenti, dare priorità alle attività e condividere informazioni in modo sicuro. Se un identity provider è già in uso, è consigliabile scegliere gli strumenti che funzionano con esso, in modo che il team abbia già un mezzo per accedere in modo sicuro, senza creare nuove password.
È poi necessario, sottolinea 1Password, essere agile e disponibile. Non è shadow It se l’impresa è a conoscenza che le persone lo stanno usando. Il consiglio di 1Password è quindi quello di incoraggiare le persone a condividere quali strumenti stanno utilizzando. Le policy aziendali esistenti che vietano i nuovi servizi potrebbero essere troppo rigorose per i team che si trovano improvvisamente a lavorare da remoto. È consigliabile indagare sugli strumenti che le persone utilizzano e suggerire alternative migliori e più sicure, ove opportuno.
Incoraggiare una cultura del buon senso, è il passo successivo suggerito da 1Password. I dipendenti apprezzeranno la tolleranza offerta dall’azienda quando si tratta di strumenti It e saranno pronti a incontrarsi a metà strada su come questi vengono utilizzati. Per la maggior parte delle comunicazioni e del lavoro quotidiani, potrebbe non essere necessario utilizzare o archiviare dati sensibili dell’azienda o dei clienti. L’azienda, ipotizza 1Password, potrebbe far sapere ai dipendenti che sono liberi di utilizzare determinati strumenti a condizione che le informazioni sensibili non vengano condivise.
Un suggerimento importante è: aumentare la consapevolezza sulla sicurezza online. L’azienda dovrebbe assicurarsi che il proprio team sia informato sulla sicurezza online quando si lavora in remoto. I dipendenti dovrebbero sapere che gli attacchi online e le truffe come il phishing e le frodi del Ceo (false email in cui cyber-criminali si fingono l’amministratore delegato dell’azienda per entrare in possesso di informazioni riservate o addirittura per far effettuare transazioni finanziarie) rappresentano attualmente una minaccia crescente. Tutti dovrebbero conoscere l’importanza di utilizzare password complesse e uniche e un’autenticazione a due fattori, ove possibile.
Per quanto riguarda le password, 1Password consiglia di utilizzare un password manager aziendale. Naturalmente ricordiamo che 1Password è un’azienda che sviluppa essa stessa una soluzione di questo tipo, ma un consiglio di questo tipo è comunque sensato. Con un password manager, evidenzia 1Password, se le persone devono per forza creare un account, possono assicurarsi almeno che sia il più sicuro possibile; inoltre, possono accedere facilmente alle credenziali se devono eliminare l’account o aggiornare la password in futuro. L’ideale per un’azienda sarebbe scegliere un software di gestione che consenta la condivisione sicura di password e altre informazioni importanti in modo che i dipendenti abbiano i mezzi per farlo in sicurezza in caso di necessità.
Un ulteriore suggerimento per i dipendenti e i dirigenti di aziende è di valutare attentamente le app: parla sempre con il tuo team It prima di provare una nuova app. Se sei tentato di usarne una nuova, assicurati di scegliere un’app sicura da una fonte attendibile: scarica l’app da un app store riconosciuto, se possibile. Controlla quali autorizzazioni sono necessarie per l’app ed evita le app che richiedono autorizzazioni che non hanno senso o che sembrano più invasive di quanto dovrebbero essere.
Come dipendente, suggerisce 1Password:
- Premia la fiducia riposta in te in questo momento facendo attenzione a quali servizi scegli di utilizzare e a come scegli di utilizzarli.
- Tieni traccia di tutti i servizi che usi e condividi i dettagli con il tuo team It.
- Non condividere dati sensibili al di fuori dei canali approvati.
- Assicurati di eliminare i dati o di sostituirli con dati fittizi da qualsiasi account non più necessario, chiudendo o eliminando gli account stessi al termine.
Nel caso di 1Password, la software house ha reso 1Password Business gratuito da utilizzare per 6 mesi per aiutare le aziende nello switch al lavoro remoto.