今天的CIO如何应对未经批准的技术

随着云计算和移动技术消费IT的普及，影子IT声名鹊起。员工可以通过私人的iPhone和Android智能手机通过企业网络快速访问国外的应用程序。从个人到专业的应用程序应有尽有，但他们多数肯定没有得到批准。

由于云计算和移动设备，“影子IT”已成为各行业首席信息官们关注的重点。在这里，首席信息官们分享了在他们控制不在他们的正式控制范围之内的技术的现实经验。

对企业来说最大的威胁之一并不是有相隔半个地球的黑客想获取有价值的数据以便在黑市上贩卖。也不是有一个满腹牢骚的前雇员想做诸如此类的事情。甚至不是一个想要破坏大企业的流氓国家行为体。而是影子IT。

Gartner的分析师Simon Mingay在一份研究报告中写道，广义的影子IT包括“在正式IT组织的正式控制之外对IT解决方案进行收购，开发和/或运营的投资”。随着云计算和移动技术消费IT的普及，影子IT声名鹊起。员工可以通过私人的iPhone和Android智能手机通过企业网络快速访问国外的应用程序。从个人到专业的应用程序应有尽有，但他们多数肯定没有得到批准。

影子IT变得更加多样化了。如果问首席信息官他们的业务中的影子IT是怎么样的，他们可能会随口说出购买Salesforce.com许可的营销主管，或者指向将公司文档转储到Dropbox以便随处访问的业务分析师。他们可能会抱怨使用公司信用卡从Amazon Web Services购买云基础架构的开发人员。他们可能会抱怨在世界各地用移动设备进行演示的销售人员。

对于所有的场景来说，共同点都是一样的：在没有得到首席信息官的批准并在他们毫不知情的情况下发生了。就在2014年，首席信息官大会就首席信息官如何应对影子IT的问题召集了全体专家成员。尽管公然的无奈已经消退，但负责不同领域技术的首席信息官们却告诉CIO.com，影子IT仍是一个问题。下面来看看几位首席信息官分享有关影子IT的苦恼故事，以及他们如何处理这个独特的问题。

开发运维(DevOps)还是影子IT?

影子IT在SAIC是一件大事(SAIC是为政府机构提供IT服务的供应商，市值50亿)。由于SAIC雇用了10000名员工构建IT解决方案，因此首席信息官Bob Fecteau认为影子IT本质上就是开发运维。也就是说，一些组织正在构建、测试和运行自己的IT功能。Fecteau说：“业务部门表示，他们不会给我IT支持，所以我们将创建名为开发运维的运营开发功能，IT发生在这些空间中。”

虽然他承认IT工作是在他的职责范围之外发生的，但他说，他仍然有责任知道企业预算中有多少是流向IT部门的——无论是否对其进行处罚。Fecteau说：“重要的是：我能对此做出解释吗?我知道它花了多少钱吗?我知道它对业务有多大影响吗?如果我能回答大部分问题，那么我可能是称职的。”

Fecteau还必须平衡员工获得完成任务所需的能力，同时制定适当的控制措施保护士气。Fecteau说，影子IT中最难的地方是获得企业级许可，以支持影子IT一旦开始扩展。

Fecteau小心翼翼地将影子IT与“流氓IT”区别开来，前者虽然有风险，但在后者中，员工可能会将企业文件和其它数据迁移到未经批准的云应用程序(如Box)中，由于这违反了公司定义的合规性政策，因此这种行为会导致合同终止。出于对联邦用户的义务，SAIC无法承担向供应商泄漏数据的风险。Fecteau说，他不断调查SAIC的技术消耗，以了解运行情况。他说：“我们对进出企业的内容非常了解。”

不管怎么说，Fecteau承认首席信息官的职务已经从“我必须做一切”过渡到“我现在是与IT有关的一切事物的编排者”。最后，他说：“我有责任了解整个IT支出，我花费与否则无关紧要。”

IT在餐馆里大行其道

影子IT使餐饮运营商HMHost的首席信息官Sarah Naqvi彻夜难眠。该公司拥有三万五千名员工，分布在300多家餐饮品牌，这些品牌为机场、旅游广场以及休息区里的旅客提供膳食。因为它处理着大约9.5亿次的信用卡交易，所以它必须符合零售商的1级PCI标准。Naqvi说：“运营的分散性是对我们的一个挑战。

为了保护她发放给HMHost的500名企业员工的笔记本电脑和智能手机，Navqi实施了移动设备管理软件，它可以有效地将运行在设备上的应用程序容器化。大部分员工，从HMHost旗下的品牌，如Bubbles酒吧的服务员到在全国各地机场工作的星巴克咖啡师，都可以通过私人电话访问HMHost的公司应用程序，包括日程安排和时间管理软件。但他们通过安装和访问任何未经批准的笔记应用(如印象笔记、Box等)和消费应用(如Instagram和Pinterest)也招致了风险。

这造成了Naqvi正在为组织努力弄明白的西大荒，组织的安全性和合规性政策要求她对不受限制的访问采取强硬的路线。但她也表示，她必须更好地把适当的技术与业务需求和对技术消费的期望结合起来。为此，她创建了一个安全和合规性指导委员会，旨在审核HMHost员工消费的解决方案。她还在教育方面投入巨资，其中包括教授员工使用未经批准的技术的相关风险的课程。

Naqvi说：“无论我们喜欢与否，影子IT都以某种形式存在于每个组织中。我们可以假装它不存在或试图去了解它”。Naqvi正试图了解它。

放弃应用并锁定桌面

当Tom Anfuso于2014年加入国家人寿集团(National Life Group)担任首席信息官时，他花费了大量的时间来“清理”由最终用户计算应用程序组成的影子IT。该人寿保险公司的精算师和其他知识型员工为80万名客户提供了25亿美元的保费，他们使用Microsoft SharePoint编写的应用程序来查看数据、访问报告和保存客户记录。他回忆说，还有很多为Excel电子表格编写的精巧的VBA宏。

Anfuso说：“这往往是在这样的环境滋生的，即‘IT没有给我我想要的，所以我只能自己想办法’，他们差不多建立了自己的东西。这是我们要应付的以影子IT的形式存在的大部分东西。”

Anfuso在最终淘汰不太重要的应用程序前对一些有价值的应用程序进行了盘点并将其迁移到Salesforce.com、Tableau或其它平台。经过多年的努力，员工几乎可以在桌面上做任何事情，Anfuso还将国家人寿集团的桌面环境虚拟化，将控制权牢牢地集中在IT上。Anfuso说：“我们使得人们难以建立、下载和安装软件。能够通过盘点来了解运作情况并确保你拥有控制权是很关键的。”

Anfuso表示，让国家人寿集团的行政领导层支持这些用来缓解安全性和风险的彻底变革并不难。“我得到了来自不同业务团队的领导的全力支持，我们确实没有面对任何阻力，事实上，大多数人都很高兴IT能够承担起他们正在做的事情。

他说，最终，最棘手的挑战与其说是技术不如说是变革管理。他与商界领袖合作，选择最佳时机来制定变革。

底线是：沟通和透明度是至关重要的。Gartner的Mingay说，评估企业中影子IT的范围，然后向高级管理人员简要介绍其潜在价值和风险，这对首席信息官来说至关重要。

此外，如果你决定打击影子IT实例并实施新技术和策略，请确保业务线(business line)都确切地知道你打算做什么以及如何做。

（来源：企业网D1Net）