Il DSPM: è di nuovo l'IT ombra

Di Tony Frum - Ingegnere di spicco, Gestione dei prodotti

19 marzo 2026 5 Tempo di lettura: 5 minuti

La gestione dello stato di sicurezza dei dati (DSPM) rappresenta un po’ un enigma per molte persone, me compreso. Mi capita spesso di partecipare a discussioni di carattere piuttosto accademico su cosa, esattamentesia realmente il DSPM. Dopo numerosi dibattiti di questo tipo, sono giunto alla seguente conclusione: il DSPM, nella sua essenza, non è altro che una soluzione per la sicurezza dei dati che individua i dati che non le avete chiesto di cercare. Non è necessario definire le classificazioni (che servono a determinare cosa sia sensibile) né una politica (che descrive dove cercare i dati sensibili e cosa fare quando li trova). Basta avviarlo e individua i dati sensibili di cui forse non era a conoscenza, catalogando tutto ciò che trova. Semplice.

Ancora oggi confermo questa definizione, ma uno dei miei colleghi, Suhaas Kodagali, l’ha descritta in modo molto più perspicace, e non riesco a smettere di pensarci. Ha detto: «Il DSPM è di nuovo Shadow IT», e questa affermazione mi ha lasciato senza parole. Permettetemi di spiegare quella che è essenzialmente una battuta tra addetti ai lavori.

Se torniamo indietro di circa 10 anni, il mercato Secure Web Gateway SWG) era già ben consolidato e, in sostanza, ormai superato. Le soluzioni SWG sono in grado di monitorare tutto il traffico web, bloccare qualsiasi contenuto desiderato e registrare ogni singola richiesta HTTP proveniente praticamente da qualsiasi dispositivo presente nel vostro ambiente.  Si tratta di una tecnologia potente e generalmente considerata assolutamente fondamentale in qualsiasi stack di sicurezza completo. Successivamente è emerso il mercato Cloud Access Security Broker CASB), avviato principalmente da Skyhigh Networks, una delle nostre società progenitrici, che ha sviluppato una soluzione che ancora oggi chiamiamo “Shadow IT”.

Che cosa fa lo Shadow IT? Me lo spiego con una domanda. Sapete che cos’è il dominio twtimg.com ? Probabilmente no, ma è l'abbreviazione di Twitter images, uno dei tanti domini associati a X, precedentemente noto come Twitter. Se lo vedeste nei dati di reporting di una soluzione SWG, probabilmente non avreste idea di cosa si tratti. Prendiamo un altro esempio a caso, sanpdf.com. Se non lo conoscete, una rapida ricerca su Google vi dirà che SanPDF è un insieme di strumenti per la conversione di documenti. Il dominio è chiaro, ma con quanta facilità potreste rispondere a domande relative alla sicurezza su SanPDF? Il loro linguaggio legale conferisce loro il diritto di utilizzare i vostri dati convertiti per i propri scopi? Sapete se archiviano i dati in modo sicuro? In breve, sapete se dovreste consentire ai vostri utenti di utilizzarlo?  Probabilmente non lo saprebbe. Questo è ciò che fa lo Shadow IT. Lo Shadow IT la aiuta a dare un senso ai suoi rapporti SWG e a definire una politica ragionevole basata sul rischio aziendale.

Ciò che è interessante in questo caso è che Skyhigh Networks, in qualità di fornitore di soluzioni per lo Shadow IT, non disponeva della capacità fondamentale di ispezionare il traffico web né di bloccare alcunché.  L'azienda importava i dati di log SWG e generava report dettagliati per evidenziare dove si trovavano i rischi, e voi potevate quindi utilizzarli per definire le politiche. Lo Shadow IT poteva generare elementi costitutivi delle politiche web consentendovi di definire determinati elementi di rischio inaccettabili, e ciò avrebbe creato elenchi di applicazioni da bloccare insieme a tutti i domini associati. Ecco il colmo della storia: lo Shadow IT non poteva applicare le proprie politiche da solo. Era costretto a integrarsi con uno SWG che potesse, oppure a creare un proprio proxy.  Lo Shadow IT era costretto a rimanere dipendente dallo SWG o a diventare un proxy ridondante, e nessuna delle due opzioni era allettante per i loro clienti.

Si tratta di un'analogia perfetta per le soluzioni DSPM specializzate attualmente disponibili. I fornitori Security Service Edge SSE) dispongono oggi di tutta la visibilità e il controllo necessari per proteggere i vostri dati nelle applicazioni cloud autorizzate, nel traffico web, nelle app private e così via; quindi, cosa vi offre il DSPM?  Il DSPM vi aiuta a utilizzare la vostra tecnologia di sicurezza dei dati SSE in modo più efficace proprio come lo Shadow IT ha aiutato le organizzazioni a utilizzare la propria tecnologia SWG in modo più efficace. Con i moderni portafogli SSE, è possibile classificare e proteggere accuratamente i dati, ma qualunque cosa si faccia, ci si ritroverà a chiedersi: «Cosa mi sfugge?»  A quali app i Suoi utenti stanno inviando dati sensibili per i quali non ha creato una politica di prevenzione? Con quali tipi di dati sensibili opera la Sua azienda che non ha mai preso in considerazione? Sta violando qualche legge di cui è totalmente all'oscuro? DSPM mira a rispondere a queste domande. Cerca qualsiasi tipo di dati sensibili ovunque gli permetta di cercare. Le comunica ciò che non sa, in modo che possa definire una politica per proteggersi, proprio come ha fatto lo Shadow IT.

La sfida consiste nel fatto che molti fornitori di DSPM si trovano ora nella stessa situazione in cui si trovava lo Shadow IT: sono costretti a scegliere se rimanere dipendenti o a diventare superflui. La maggior parte delle soluzioni DSPM specializzate sono esclusivamente strumenti di rilevamento che non proteggono i dati. Ora questi fornitori devono affidarsi a fornitori SSE affermati per applicare protezioni ai dati individuati, oppure devono sviluppare una serie di funzionalità per ottenere le capacità di protezione che molti dei loro clienti hanno già implementato grazie ai propri investimenti in SSE. La loro scelta sembra essere già stata fatta, poiché molti fornitori hanno già realizzato integrazioni API con applicazioni IaaS e SaaS che sono completamente ridondanti rispetto alla parte CASB delle soluzioni SSE affermate.

Mettasi nei panni di un'organizzazione che ha implementato una solida soluzione SSE e ha anche investito in un fornitore specializzato esclusivamente in DSPM. La soluzione DSPM le ha mostrato dove sono distribuiti i dati sensibili, ma deve ricorrere alla soluzione SSE per proteggere effettivamente ciò che è stato individuato.  Dispone di due soluzioni separate integrate, ad esempio, con Microsoft 365, ed è probabile che queste raggiungano i limiti di velocità delle API di Microsoft mentre entrambi gli strumenti cercano di eseguire la scansione degli stessi dati. Questo approccio ha senso? E, se lei fosse il fornitore specializzato in DSPM, come risolverebbe questo problema? Si metterebbe a sviluppare una soluzione per un problema che è stato risolto dal mercato CASB circa un decennio fa?

Non sono certo un oracolo del mercato, ma i parallelismi tra DSPM e Shadow IT sono innegabili. Ritengo quantomeno logico ipotizzare che il DSPM possa seguire lo stesso percorso, finendo per essere integrato nello stack tecnologico che mira a potenziare – in primo luogo l’SSE. Perché le organizzazioni dovrebbero essere costrette a implementare entrambi un DSPM e una soluzione SSE per individuare e poi proteggere i propri dati? Non avrebbe senso che l’approccio di individuazione automatica del DSPM fosse parte integrante dello stack SSE, che in ultima analisi è necessario per proteggere effettivamente i dati individuati? Sospetto che il mercato finirà per giungere alla stessa conclusione a cui è giunto con lo Shadow IT: l’individuazione e l’applicazione delle politiche devono coesistere nella stessa piattaforma.

Torna ai blog