破解“影子IT”的困境

关键要点

• “影子IT”是指未获得批准的IT系统和解决方案，它在企业中普遍存在，且常常是因业务需求未被满足。
• 云计算的兴起加剧了影子IT现象，企业需要有效管理影子IT的风险，以激发创新。
• 本文提供了若干最佳实践，以帮助企业在享受影子IT带来益处的同时，降低相关风险。

“影子IT”或“游离IT”—我敢说所有的IT组织都经历过这种现象。当业务部门感到IT无法快速满足他们的需求时，他们往往会寻找其他解决方案。问题在于，这可能会绕过重要的安全或可用性控制，甚至创建难以维护的IT功能。实际上，IT在某些时候看起来反应迟缓，是因为它正在加入这些安全控制。然而，影子IT的出现通常标志着业务需求未能得到满足。在我担任美国公民与移民服务局首席信息官（CIO）时，我们的解决方案与Nurani下面描述的类似，通过DevOps和云计算大大加快了IT交付速度。

作者：Nurani Parasuraman，AWS客户解决方案

影子IT并不是一个新概念。这个术语用于描述在组织内部部署的未经批准的IT系统和解决方案。有些人认为，云计算的兴起使影子IT现象愈发严重。实际上，这种现象在云服务出现之前就已存在。然而，随着云技术的民主化，任何拥有互联网连接和信用卡的人都可以配置硬件、构建和发布应用程序，这无疑加剧了影子IT的流行。本文将概述应对影子IT的最佳实践，力求在其固有风险和潜在收益之间取得平衡。

影子IT的成因与企业关注的必要性 影子IT的出现可以归因于业务与技术在功能、产品或服务要求方面存在根本差异。业务自然关注功能性、可触达的最终用户需求，如易用性、内容相关性和个性化等。然而，技术部门则更关注非功能性或无形因素，如性能、控制、安全、复用、可扩展性、灾难恢复和可维护性。

根据多位业务与技术领导者的反馈，影子IT成长的主要原因包括：与复杂的本地IT治理和审批流程相比，云服务的配置简便；非敏捷的交付流程、冗长的项目时间及更高的IT成本；IT无法满足的业务需求；缺乏必要的IT技能；IT容量有限；以及业务部门拥有更多支配资金的权力。

结果是，业务部门采取行动构建和部署解决方案，绕过IT组织！

企业IT有三种方式应对影子IT：忽视、抵制或接受。忽视显然不可取，因为这涉及太多风险。通过对影子IT施加更严格的控制和惩罚措施进行抵制，会对员工士气和生产率造成负面影响。因此，推荐的方案是：接纳影子IT的好处，以促进整体利益。影子IT并不一定是坏事，只要加以监控和管理。事实上，它为创新提供了土壤，可以为未来的企业解决方案提供概念验证。

然而，如果影子IT是有益的，我们是否可以说组织无需担心？并不是。让我们看看原因。

现今Gartner公司在2016年就准确预测到，到2020年，三分之一的成功网络攻击将针对企业的影子IT资源。失控的影子IT带来了严重风险，可能对公司产生重大影响。主要风险包括：面临网络攻击和数据泄露的脆弱性增加；暴露于恶意软件和勒索软件的风险；无法满足监管和合规要求的风险；知识产权的损失；在没有考虑运营的情况下可能导致的可扩展性、性能、灾难恢复和维护挑战；如果供应商许可和协议条款未得到妥善处理，可能面临罚款和惩罚；以及失去大宗采购的价格优势。

那么，如何在低风险的可控环境中促进实验文化，鼓励创新思维与行动？听起来似乎有些矛盾？其实并不完全如此。

管理影子IT： proven最佳实践 以下是多年来成功应对影子IT的从业者所总结的最佳实践：

1. 利用云服务标准化并提供“共用”服务。 持续评估并添加可用服务列表。“共用”服务是几乎所有部门所需要的服务，在这些领域中影子IT现象尤为突出。常见服务包括：用于内部和外部文档及文件共享的存储服务；办公室生产力服务，如项目管理工具、任务追踪、笔记共享、日程安排、状态报告和工作请求/问题跟踪；用于快速协作的服务，如聊天、视频及网络会议、桌面共享；业务智能服务，如报告界面、本地数据库、查询、仪表板、数据建模和分析。
2. 确保云服务配置无痛、自动化和自助式。 云所提供的一个重要优势就是在硬件、软件和访问权限的配置上迅速高效。任何拖延配置进程的繁琐内部流程都会违背敏捷性的内涵。目前许多企业虽然不是第一时间采用云计算，但仍然以传统的本地思维模式运作。
3. 消除实验障碍。 一项有效的策略是允许研发人员在安全的可控环境中使用云服务实验尚未批准的产品与服务，确保采用合适的访问政策，没有泄露或恶意软件的风险。同时，确保快速响应任何服务试用请求。
4. 去中心化创新与软件开发职能。 只将增值职能集中化，支持去中心化团队。集中式IT团队通常无法跟随多个业务部门要求的变化节奏，考虑将IT去中心化到各个业务单位，业务单位中配备专职IT团队。集中式IT部门可以专注于加速去中心化团队工作所需的活动。
5. 持续监控、评估风险和进行补救。 你无法保护看不见的事物。因此，确保有工具可以实时扫描日志、网络流量和设备，检测未批准的活动。云服务在此类监测中表现出色，提供开箱即用的工具进行自动扫描、警报，甚至智能模式检测。
6. 建立专门团队管理影子IT风险。 可以考虑设立专门团队，持续监控和减轻风险。一旦建立起稳定的追踪和补救影子IT风险的流程，团队规模可逐步缩减。此团队可作为云卓越中心（COE）的一部分。
7. 保持容忍，并鼓励员工在没有报复恐惧的环境中透明表达想法。 IT与业务单位之间建立定期会议机制。大多数绕过技术的团队背后都有良好的意图和合理的动机。保持与业务单位之间的开放对话，了解业务在尝试解决什么真正的问题，再实施相应的解决方案。
8. 提升培训与意识。 许多影子IT活动实际上是在缺乏可用且获得批准的工具和服务意识的情况下开始的。只需提供一个在线可搜索的可用解决方案存储库和自助流程，便可大幅降低不必要的影子IT冒险。

最终思考 影子IT现象不会消失。在此情况下，合理利用影子IT的好处是解决方案。云服务提供了强大的工具，可以在不扼杀创新的前提下管理影子IT风险。上述最佳实践已经证明有效，并可以帮助企业从战略层面应对影子IT。更重要的是，良好的战略需以强大的公司文化为基础。正如Airbnb联合创始人兼首席执行官BrianChesky所说：“当文化强大时，大家都可以信任彼此做正确的事情。”—记得促进信任和开放的文化。毕竟，我们都在为一个共同的目标努力：让客户满意！

参考文献

• Gartner, Inc. (2016, 6月15日). Gartner的2016年十大安全预测.
• Industry Week. (2007, 9月19日). IT问题：IT支持人员/最终用户比例“理想不足”.
• Joann Starke, Cisco. (2016, 3月23日). 影子IT的困境.
• Mark Schwartz. (2021, 9月2日). 要集中还是去中心化？

标签

、、