Il primo problema con gli avvocati che mettono in guardia sui pericoli legati alla sicurezza informatica legale e dello Shadow IT è che la maggior parte di loro non ha idea di cosa sia. Quindi cominciamo da lì.
La società di ricerca leader Gartner definisce lo shadow IT come dispositivi IT, software e servizi (inclusi i servizi cloud) al di fuori della proprietà o del controllo del dipartimento IT di uno Studio Legale.
Una volta che gli avvocati capiscono la definizione, generalmente dicono che tutto è sotto il controllo del loro reparto IT. La maggior parte delle volte, quella risposta sarebbe sbagliata, anche se molti non lo sanno.
Gli studi di Gartner hanno rivelato che lo shadow IT costituisce un incredibile 30%-40% della spesa IT nei grandi Studi Legali che devono fronteggiare la sicurezza informatica legale. La società di consulenza CEB stima che la percentuale sia del 40%. La ricerca di Everest Group afferma che costituisce il 50% o più della spesa.
I piccoli studi legali non sono immuni da questa tendenza. Quanti servizi di studi legali ci sono nel cloud, soprattutto oggi? E sono tutti sotto il controllo e la direzione del dipartimento IT? La risposta probabile è no.
In effetti, lo shadow IT a volte è implicitamente consentito o addirittura incoraggiato. Molti sosterrebbero che lo shadow IT rende gli Studi Legali più competitivi e consente una maggiore collaborazione e innovazione. Dal loro punto di vista, gli utenti scoprono applicazioni o servizi che consentono loro di svolgere meglio o più facilmente il proprio lavoro e l’IT può successivamente accedere e proteggere le applicazioni oi servizi. Tendenzialmente però, questo non è un modo utile per affrontare il comportamento rischioso dei dipendenti, le cui conseguenze possono essere disastrose a livello di sicurezza informatica legale.
Perché i dipendenti escono dal personale IT dello studio legale? A volte, un reparto IT si muove più lentamente della tartaruga media o solleva regolarmente obiezioni su ciò che vogliono i professionisti. Imperterriti, i dipendenti fanno un giro di boa alle regole, in genere è semplice per chi ha accesso ai dati metterli dove vogliono e usarli come vogliono utilizzando strumenti o servizi che potrebbero non essere autorizzati.
I reparti IT sono spesso gravati da un numero limitato di dipendenti e da una domanda costante di servizi. A volte quelli al di fuori del reparto IT sono piuttosto abili dal punto di vista tecnologico e l’esecuzione di operazioni IT ombra non li intimidisce.
I servizi cloud e altri fornitori rendono estremamente facile l’implementazione di nuove soluzioni che garantiscano anche il rispetto della sicurezza informatica legale. Basti pensare all’intelligenza artificiale; una volta era complicata da implementare, ma ora è così facile che la usano quasi tutti.
Un nuovo nemico in città per la sicurezza informatica legale: Shadow Policies
Gli esperti di sicurezza si sono preoccupati per molto tempo lo shadow IT, ma ora devono aggiungere criteri ombra al mix. Più grande è lo studio legale, più prevalenti sono le politiche ombra legate alla sicurezza informatica legale. Sono politiche canaglia scritte da un particolare gruppo o dipartimento che non vengono mai riviste o approvate e fanno parte delle politiche dell’azienda.
Eppure, espongono lo studio legale alla responsabilità legale impostando il proprio dovere di diligenza nei confronti dei dipendenti. Se qualcosa va male e vengono scoperte politiche canaglia, le porte alla responsabilità legale possono essere spalancate. Molte politiche ombra sono scritte da persone che non sono esperte nella stesura di politiche – senza revisione, spesso hanno poca relazione con le politiche ufficiali dello studio legale. Eppure, un intero dipartimento può rispettarli.
Le politiche ombra sono state stimolate dalla pandemia, con la collaborazione tra gruppi distinti che è diventata più intensa. Forse era naturale che cercassero di scrivere le proprie politiche.
Per quanto folle possa sembrare, ci deve essere una politica sulla scrittura delle politiche. Come mai? Perché stabilisce il quadro della gestione delle politiche, stabilisce come le politiche dovrebbero essere scritte e approvate, ecc.
Tutte le politiche dovrebbero essere in un posto dove tutti i dipendenti sanno di poterle trovare. Addestrare i dipendenti: se scoprono una politica ombra che non è nell’elenco delle politiche centralizzate, devono segnalare quella politica.
In uno studio del giugno 2021 della società di sicurezza Hysolate, gli autori hanno sottolineato ciò che sembra inevitabile dai dati citati sopra. I dipendenti hanno bisogno sia di più libertà che di più restrizioni. Inoltre, la maggior parte degli intervistati da Hysolate ha riferito che i loro budget 2021 includevano l’affrontare le sfide IT remote, incluso lo shadow IT.
Questa statistica si è distinta: solo il 7% degli utenti non si lamenta delle restrizioni di sicurezza, ma il restante 93% cerca modi per aggirarle. Con quella mentalità, possiamo certamente capire quanto sia difficile contenere l’IT ombra.
L’obiettivo è quello di chiudere i portelli consentendo al tempo stesso una maggiore libertà IT dei dipendenti. Nello studio Hysolate, l’87% degli intervistati desidera aumentare le libertà IT dei dipendenti, mentre il 79% desidera aumentare le restrizioni. Gli intervistati IT vogliono concedere più libertà ai dipendenti (le libertà principali sono navigare in Internet liberamente, installare app e plug-in di terze parti, stampare a casa ed eseguire attività personali sui dispositivi di lavoro), ma vogliono che sia fatto in modo sicuro. E qui sta il cuore del problema. Gli studi legali possono offrire ai dipendenti più libertà IT in modo sicuro? Possono davvero chiudere i portelli?
Secondo il sondaggio, il lato positivo è che la maggior parte delle persone crede che una maggiore libertà IT aumenterà la produttività, renderà le politiche IT più appetibili e ridurrà la frustrazione dei dipendenti.
Gli autori si chiedono se il cartellino del prezzo della libertà informatica rappresenti un pericolo maggiore per i dati riservati dello studio legale, ma è vero che guardiamo tutto da un punto di vista della sicurezza. Rabbrividiamo all’installazione di app non approvate e all’utilizzo degli endpoint per le attività personali. La controargomentazione è che potrebbe essere possibile utilizzare la gestione dei privilegi degli endpoint, l’isolamento delle applicazioni e l’isolamento del browser per proteggere le operazioni IT da parte dei dipendenti.
Come ha osservato il rapporto Hysolate 2020 dell’anno scorso in “The CISO’s Dilemma”, i leader IT e della sicurezza hanno quindi visto la produttività dei lavoratori e la sicurezza aziendale come obiettivi che si escludono a vicenda. La pandemia sembra aver cambiato questa visione. A questo punto, c’è una forte spinta all’utilizzo delle tecnologie di isolamento e di gestione dei privilegi per garantire sicurezza e libertà IT.
In conclusione, potremmo iniziare a vedere lo shadow IT uscire dall’ombra negli studi legali con la benedizione dell’IT. Tutti sono alla ricerca di soluzioni ai rischi presentati dallo shadow IT: resta da vedere se possono utilizzare con successo la tecnologia e i processi che garantiscono la libertà IT sicura dei dipendenti. E per aggiungere un altro pensiero al mix, forse gli studi legali dovrebbero indagare su Zero Trust Network Access invece di combattere lo shadow IT.
