IT拥有成本,包括设备、许可证、服务正持续下降。至少你的最终用户这样认为。
笔记本电脑、平板和智能手机设备迫使企业在移动功能上投资巨大。软件即服务(Saas)几乎使得任何人都能以低成本甚至免费获得订阅,开源软件则免费提供给任何想要下载的人。
为什么最终用户要去IT部门索求他们认为需要花上很长一段时间来采购和激活,并且产生大量成本的东西?相反,他们可以自己解决,而且自给自足。
员工使用外部平台会带来无数的问题——有的明显,有的不是很明显。
影子IT模式可以帮助个体,但是否可以帮助小组、部门或企业?在数万人规模的大企业里,维持控制是个难题,即使其IT部门非常集中。例如,许多大型组织都拥有五个以上的企业资源规划软件运作——不是因为IT希望这样,而是因为它刚好这样发生了。
现在,每个拥有信用卡的员工,都成了事实上的“采购部”,成百上千这种用户将成为IT的噩梦。影子IT情况在小规模组织中要好得多。以一支50人的团队为例,基本没有IT部,能成为IT负责人可能是因为他家里的电脑配置***。此人负责调查和管理影子IT,可能只是简单询问业务是否都正常,没有合格性证明,功能测试,在合同谈判时也没有任何报价。
Dropbox、Box和其他简单易用的文件分享系统创建的信息孤岛,IT和业务部门对此都不知情,断开了与数据中心中央服务器和存储,甚至许可的云服务联系。所有这些信息都可能导致聚合能力、安全内容、使用情况和其他报告在一个较高的风险级别,可能使业务决策复杂化。虽然个人使用可能让其工作简化,但他的流氓IT可能导致经营失败。
将影子IT与GRC关联起来
组织不能指望员工理解公司的治理、风险与法规遵从(GRC)信息,如数据保护法案、个人身份信息或ISO标准。IT平台外部发现的数据往往会打破公司IT组织努力想要达到的GRC要求。
影子IT同样对未来也有影响。如果外部服务提供商倒闭?如果外部IT平台被黑客攻破?对影子存储数据会有什么影响?如果员工离职去了主要竞争对手那里,他是否能够继续访问这些外部网站数据?
首先,了解组织内真正发生了什么事件。采用映射工具简单记录硬件和软件资产关联情况,并了解哪些是与IT平台冲突的。那里很可能有个大惊喜。例如,没有获得授权使用企业级存储区域网络的部门,可能会拥有自己的网络存储设备,而且是在IT预算之外购买的。软件合规性也一样,还有那台NAS设备可能运行着MySQL或Microsoft SQL Server副本,即使组织的数据库管理标准是Oracle。
一旦你了解了哪些外部IT平台正在被使用,就可以做一些事情来控制它。
使用流量嗅探器,如Microsoft Network Monitor或Wireshark,寻找哪些流量正跨越你的网络边界:你可能只希望看到邮件和网络流量。SaaS供应商通常都提供标准的网站浏览协议,通过80端口传输信息,用户无须在防火墙上进行额外的操作。你可以查出这些流量是从何而来并去向何处,并建立用户行为记录数据库。
接着你可能对终端用户出示大棒政策,在他们做出蠢事之前加以阻止。但是这种方法绝对行不通。你拥有外部IT平台的全部记录,但不知道他们为何要使用这些。去和终端用户聊聊,并找出他们为何不用企业资源的原因。某些情况下,很可能是因为他们不知道自己拥有改企业功能。其他情况下,也许是因为他们找不到合适的方法,并且害怕接近你,因为觉得这方面需求会影响复杂性和IT项目总成本。评估他们的需求并判断项目对业务的价值。试着咨询用户这个项目是否对他们有利。
如果用户的影子IT拥有雄厚的商业价值,就必须评估正在使用的软件或服务。如果其满足企业的功能性与安全性需求,那也是个不错的方法。如果没有,是否可以找到相似的IT平台呢?
这也是开始让其变得更容易,并且让业务回归有序的方法。你正在展示自己愿意倾听,并且准备将他们在外部做的不少好事搬回组织。只要你能够提供相同甚至更好的功能,他们可以不用去担心底层技术——所以,在上述例子中,他们选择MySQL还是什么的都不再重要,只要你能通过Oracle实现这一点。
掌握了这些信息后,IT在申请投资企业级的本地化服务已经做了更好的准备,最终用户将可以自助访问服务。健全的IT内部成本控制,很容易被未受控制的最终用户带来的隐形成本而破坏,这些业务通过信用卡消费报销传递,并且不支持GRC,也不受数据访问控制安全的控制。
这样也有助于管理内的部门影子IT。管理层现在也知道了外部IT平台的隐性成本——如果有业务经理希望按他们的方式走,他不仅要向IT来证明。他还需要向公司管理层证明。IT就重新获得了预算、用户和企业信息的控制权。