管理影子IT會對業務造成什麼風險？

it擁有成本，包括裝置、許可證、服務正持續下降。至少你的終端使用者這樣認為。

為什麼終端使用者要去it部門索求他們認為需要花上很長一段時間來採購和啟用，並且產生大量成本的東西?相反，他們可以自己解決，而且自給自足。

員工使用外部平台會帶來無數的問題——有的明顯，有的不是很明顯。

影子it模式可以幫助個體，但是否可以幫助小組、部門或企業?在數萬人規模的大企業裡，維持控制是個難題，即使其it部門非常集中。例如，許多大型組織都擁有五個以上的企業資源規劃軟體運作——不是因為it希望這樣，而是因為它剛好這樣發生了。

現在，每個擁有信用卡的員工，都成了事實上的「採購部」，成百上千這種使用者將成為it的噩夢。影子it情況在小規模塊織中要好得多。以一支50人的團隊為例，基本沒有it部，能成為it負責人可能是因為他家裡的電腦配置最高。此人負責調查和管理影子it，可能只是簡單詢問業務是否都正常，沒有合格性證明，功能測試，在合同談判時也沒有任何**。

dropbox、box和其他簡單易用的檔案分享系統建立的資訊孤島，it和業務部門對此都不知情，斷開了與資料中心**伺服器和儲存，甚至許可的雲服務聯絡。所有這些資訊都可能導致聚合能力、安全內容、使用情況和其他報告在乙個較高的風險級別，可能使業務決策複雜化。雖然個人使用可能讓其工作簡化，但他的流氓it可能導致經營失敗。

將影子it與grc關聯起來

組織不能指望員工理解公司的治理、風險與法規遵從(grc)資訊，如資料保**案、個人身份資訊或iso標準。it平台外部發現的資料往往會打破公司it組織努力想要達到的grc要求。

影子it同樣對未來也有影響。如果外部服務提供商倒閉?如果外部it平台被黑客攻破?對影子儲存資料會有什麼影響?如果員工離職去了主要競爭對手那裡，他是否能夠繼續訪問這些外部**資料?

首先，了解組織內真正發生了什麼事件。採用對映工具簡單記錄硬體和軟體資產關聯情況，並了解哪些是與it平台衝突的。那裡很可能有個大驚喜。例如，沒有獲得授權使用企業級儲存區域網路的部門，可能會擁有自己的網路儲存裝置，而且是在it預算之外購買的。軟體合規性也一樣，還有那台nas裝置可能執行著mysql或microsoft sql server副本，即使組織的資料庫管理標準是oracle。

一旦你了解了哪些外部it平台正在被使用，就可以做一些事情來控制它。

使用流量嗅探器，如microsoft network monitor或wireshark，尋找哪些流量正跨越你的網路邊界：你可能只希望看到郵件和網路流量。saas**商通常都提供標準的**瀏覽協議，通過80埠傳輸資訊，使用者無須在防火牆上進行額外的操作。你可以查出這些流量是從何而來並去向何處，並建立使用者行為記錄資料庫。

接著你可能對終端使用者出示大棒政策，在他們做出蠢事之前加以阻止。但是這種方法絕對行不通。你擁有外部it平台的全部記錄，但不知道他們為何要使用這些。去和終端使用者聊聊，並找出他們為何不用企業資源的原因。某些情況下，很可能是因為他們不知道自己擁有改企業功能。其他情況下，也許是因為他們找不到合適的方法，並且害怕接近你，因為覺得這方面需求會影響複雜性和it專案總成本。評估他們的需求並判斷專案對業務的價值。試著諮詢使用者這個專案是否對他們有利。

如果使用者的影子it擁有雄厚的商業價值，就必須評估正在使用的軟體或服務。如果其滿足企業的功能性與安全性需求，那也是個不錯的方法。如果沒有，是否可以找到相似的it平台呢?

這也是開始讓其變得更容易，並且讓業務回歸有序的方法。你正在展示自己願意傾聽，並且準備將他們在外部做的不少好事搬回組織。只要你能夠提供相同甚至更好的功能，他們可以不用去擔心底層技術——所以，在上述例子中，他們選擇mysql還是什麼的都不再重要，只要你能通過oracle實現這一點。

掌握了這些資訊後，it在申請投資企業級的本地化服務已經做了更好的準備，終端使用者將可以自助訪問服務。健全的it內部成本控制，很容易被未受控制的終端使用者帶來的**成本而破壞，這些業務通過信用卡消費報銷傳遞，並且不支援grc，也不受資料訪問控制安全的控制。

這樣也有助於管理內的部門影子it。管理層現在也知道了外部it平台的隱性成本——如果有業務經理希望按他們的方式走，他不僅要向it來證明。他還需要向公司管理層證明。it就重新獲得了預算、使用者和企業資訊的控制權。

管理影子IT會對業務造成什麼風險？

專案管理如何造「英雄」

業務規則管理

業務流程管理

管理影子IT會對業務造成什麼風險？

專案管理 如何造「英雄」

業務規則管理

業務流程管理

相關推薦

專案管理如何造「英雄」