對企業(yè)來說最大的威脅之一并不是有相隔半個地球的黑客想獲取有價值的數(shù)據以便在黑市上販賣。也不是有一個滿腹牢騷的前雇員想做諸如此類的事情。甚至不是一個想要破壞大企業(yè)的流氓國家行為體。而是影子IT。
Gartner的分析師Simon Mingay在一份研究報告中寫道,廣義的影子IT包括“在正式IT組織的正式控制之外對IT解決方案進行收購,開發(fā)和/或運營的投資”。隨著云計算和移動技術消費IT的普及,影子IT聲名鵲起。員工可以通過私人的iPhone和Android智能手機通過企業(yè)網絡快速訪問國外的應用程序。從個人到專業(yè)的應用程序應有盡有,但他們多數(shù)肯定沒有得到批準。
影子IT變得更加多樣化了。如果問首席信息官他們的業(yè)務中的影子IT是怎么樣的,他們可能會隨口說出購買Salesforce.com許可的營銷主管,或者指向將公司文檔轉儲到Dropbox以便隨處訪問的業(yè)務分析師。他們可能會抱怨使用公司信用卡從Amazon Web Services購買云基礎架構的開發(fā)人員。他們可能會抱怨在世界各地用移動設備進行演示的銷售人員。
對于所有的場景來說,共同點都是一樣的:在沒有得到首席信息官的批準并在他們毫不知情的情況下發(fā)生了。就在2014年,首席信息官大會就首席信息官如何應對影子IT的問題召集了全體專家成員。盡管公然的無奈已經消退,但負責不同領域技術的首席信息官們卻告訴CIO.com,影子IT仍是一個問題。下面來看看幾位首席信息官分享有關影子IT的苦惱故事,以及他們如何處理這個獨特的問題。
開發(fā)運維(DevOps)還是影子IT?
影子IT在SAIC是一件大事(SAIC是為政府機構提供IT服務的供應商,市值50億)。由于SAIC雇用了10000名員工構建IT解決方案,因此首席信息官Bob Fecteau認為影子IT本質上就是開發(fā)運維。也就是說,一些組織正在構建、測試和運行自己的IT功能。Fecteau說:“業(yè)務部門表示,他們不會給我IT支持,所以我們將創(chuàng)建名為開發(fā)運維的運營開發(fā)功能,IT發(fā)生在這些空間中。”
雖然他承認IT工作是在他的職責范圍之外發(fā)生的,但他說,他仍然有責任知道企業(yè)預算中有多少是流向IT部門的——無論是否對其進行處罰。Fecteau說:“重要的是:我能對此做出解釋嗎?我知道它花了多少錢嗎?我知道它對業(yè)務有多大影響嗎?如果我能回答大部分問題,那么我可能是稱職的。”
Fecteau還必須平衡員工獲得完成任務所需的能力,同時制定適當?shù)目刂拼胧┍Wo士氣。Fecteau說,影子IT中最難的地方是獲得企業(yè)級許可,以支持影子IT一旦開始擴展。
Fecteau小心翼翼地將影子IT與“流氓IT”區(qū)別開來,前者雖然有風險,但在后者中,員工可能會將企業(yè)文件和其它數(shù)據遷移到未經批準的云應用程序(如Box)中,由于這違反了公司定義的合規(guī)性政策,因此這種行為會導致合同終止。出于對聯(lián)邦用戶的義務,SAIC無法承擔向供應商泄漏數(shù)據的風險。Fecteau說,他不斷調查SAIC的技術消耗,以了解運行情況。他說:“我們對進出企業(yè)的內容非常了解。”
不管怎么說,F(xiàn)ecteau承認首席信息官的職務已經從“我必須做一切”過渡到“我現(xiàn)在是與IT有關的一切事物的編排者”。最后,他說:“我有責任了解整個IT支出,我花費與否則無關緊要。”
IT在餐館里大行其道
影子IT使餐飲運營商HMHost的首席信息官Sarah Naqvi徹夜難眠。該公司擁有三萬五千名員工,分布在300多家餐飲品牌,這些品牌為機場、旅游廣場以及休息區(qū)里的旅客提供膳食。因為它處理著大約9.5億次的信用卡交易,所以它必須符合零售商的1級PCI標準。Naqvi說:“運營的分散性是對我們的一個挑戰(zhàn)。
為了保護她發(fā)放給HMHost的500名企業(yè)員工的筆記本電腦和智能手機,Navqi實施了移動設備管理軟件,它可以有效地將運行在設備上的應用程序容器化。大部分員工,從HMHost旗下的品牌,如Bubbles酒吧的服務員到在全國各地機場工作的星巴克咖啡師,都可以通過私人電話訪問HMHost的公司應用程序,包括日程安排和時間管理軟件。但他們通過安裝和訪問任何未經批準的筆記應用(如印象筆記、Box等)和消費應用(如Instagram和Pinterest)也招致了風險。
這造成了Naqvi正在為組織努力弄明白的西大荒,組織的安全性和合規(guī)性政策要求她對不受限制的訪問采取強硬的路線。但她也表示,她必須更好地把適當?shù)募夹g與業(yè)務需求和對技術消費的期望結合起來。為此,她創(chuàng)建了一個安全和合規(guī)性指導委員會,旨在審核HMHost員工消費的解決方案。她還在教育方面投入巨資,其中包括教授員工使用未經批準的技術的相關風險的課程。
Naqvi說:“無論我們喜歡與否,影子IT都以某種形式存在于每個組織中。我們可以假裝它不存在或試圖去了解它”。Naqvi正試圖了解它。
放棄應用并鎖定桌面
當Tom Anfuso于2014年加入國家人壽集團(National Life Group)擔任首席信息官時,他花費了大量的時間來“清理”由最終用戶計算應用程序組成的影子IT。該人壽保險公司的精算師和其他知識型員工為80萬名客戶提供了25億美元的保費,他們使用Microsoft SharePoint編寫的應用程序來查看數(shù)據、訪問報告和保存客戶記錄。他回憶說,還有很多為Excel電子表格編寫的精巧的VBA宏。
Anfuso說:“這往往是在這樣的環(huán)境滋生的,即‘IT沒有給我我想要的,所以我只能自己想辦法’,他們差不多建立了自己的東西。這是我們要應付的以影子IT的形式存在的大部分東西。”
Anfuso在最終淘汰不太重要的應用程序前對一些有價值的應用程序進行了盤點并將其遷移到Salesforce.com、Tableau或其它平臺。經過多年的努力,員工幾乎可以在桌面上做任何事情,Anfuso還將國家人壽集團的桌面環(huán)境虛擬化,將控制權牢牢地集中在IT上。Anfuso說:“我們使得人們難以建立、下載和安裝軟件。能夠通過盤點來了解運作情況并確保你擁有控制權是很關鍵的。”
Anfuso表示,讓國家人壽集團的行政領導層支持這些用來緩解安全性和風險的徹底變革并不難。“我得到了來自不同業(yè)務團隊的領導的全力支持,我們確實沒有面對任何阻力,事實上,大多數(shù)人都很高興IT能夠承擔起他們正在做的事情。
他說,最終,最棘手的挑戰(zhàn)與其說是技術不如說是變革管理。他與商界領袖合作,選擇最佳時機來制定變革。
底線是:溝通和透明度是至關重要的。Gartner的Mingay說,評估企業(yè)中影子IT的范圍,然后向高級管理人員簡要介紹其潛在價值和風險,這對首席信息官來說至關重要。
此外,如果你決定打擊影子IT實例并實施新技術和策略,請確保業(yè)務線(business line)都確切地知道你打算做什么以及如何做。
版權聲明:本文為企業(yè)網D1Net編譯,轉載需注明出處為:企業(yè)網D1Net,如果不注明出處,企業(yè)網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號