IT擁有成本，包括設(shè)備、許可證、服務(wù)正持續(xù)下降。至少你的最終用戶這樣認(rèn)為。

筆記本電腦、平板和智能手機(jī)設(shè)備迫使企業(yè)在移動功能上投資巨大。軟件即服務(wù)(Saas)幾乎使得任何人都能以低成本甚至免費(fèi)獲得訂閱，開源軟件則免費(fèi)提供給任何想要下載的人。

為什么最終用戶要去IT部門索求他們認(rèn)為需要花上很長一段時間來采購和激活，并且產(chǎn)生大量成本的東西?相反，他們可以自己解決，而且自給自足。

員工使用外部平臺會帶來無數(shù)的問題——有的明顯，有的不是很明顯。

影子IT模式可以幫助個體，但是否可以幫助小組、部門或企業(yè)?在數(shù)萬人規(guī)模的大企業(yè)里，維持控制是個難題，即使其IT部門非常集中。例如，許多大型組織都擁有五個以上的企業(yè)資源規(guī)劃軟件運(yùn)作——不是因?yàn)镮T希望這樣，而是因?yàn)樗鼊偤眠@樣發(fā)生了。

現(xiàn)在，每個擁有信用卡的員工，都成了事實(shí)上的“采購部”，成百上千這種用戶將成為IT的噩夢。影子IT情況在小規(guī)模組織中要好得多。以一支50人的團(tuán)隊(duì)為例，基本沒有IT部，能成為IT負(fù)責(zé)人可能是因?yàn)樗依锏碾娔X配置***。此人負(fù)責(zé)調(diào)查和管理影子IT，可能只是簡單詢問業(yè)務(wù)是否都正常，沒有合格性證明，功能測試，在合同談判時也沒有任何報價。

Dropbox、Box和其他簡單易用的文件分享系統(tǒng)創(chuàng)建的信息孤島，IT和業(yè)務(wù)部門對此都不知情，斷開了與數(shù)據(jù)中心中央服務(wù)器和存儲，甚至許可的云服務(wù)聯(lián)系。所有這些信息都可能導(dǎo)致聚合能力、安全內(nèi)容、使用情況和其他報告在一個較高的風(fēng)險級別，可能使業(yè)務(wù)決策復(fù)雜化。雖然個人使用可能讓其工作簡化，但他的流氓IT可能導(dǎo)致經(jīng)營失敗。

將影子IT與GRC關(guān)聯(lián)起來

組織不能指望員工理解公司的治理、風(fēng)險與法規(guī)遵從(GRC)信息，如數(shù)據(jù)保護(hù)法案、個人身份信息或ISO標(biāo)準(zhǔn)。IT平臺外部發(fā)現(xiàn)的數(shù)據(jù)往往會打破公司IT組織努力想要達(dá)到的GRC要求。

影子IT同樣對未來也有影響。如果外部服務(wù)提供商倒閉?如果外部IT平臺被黑客攻破?對影子存儲數(shù)據(jù)會有什么影響?如果員工離職去了主要競爭對手那里，他是否能夠繼續(xù)訪問這些外部網(wǎng)站數(shù)據(jù)?

首先，了解組織內(nèi)真正發(fā)生了什么事件。采用映射工具簡單記錄硬件和軟件資產(chǎn)關(guān)聯(lián)情況，并了解哪些是與IT平臺沖突的。那里很可能有個大驚喜。例如，沒有獲得授權(quán)使用企業(yè)級存儲區(qū)域網(wǎng)絡(luò)的部門，可能會擁有自己的網(wǎng)絡(luò)存儲設(shè)備，而且是在IT預(yù)算之外購買的。軟件合規(guī)性也一樣，還有那臺NAS設(shè)備可能運(yùn)行著MySQL或Microsoft SQL Server副本，即使組織的數(shù)據(jù)庫管理標(biāo)準(zhǔn)是Oracle。

一旦你了解了哪些外部IT平臺正在被使用，就可以做一些事情來控制它。

使用流量嗅探器，如Microsoft Network Monitor或Wireshark，尋找哪些流量正跨越你的網(wǎng)絡(luò)邊界：你可能只希望看到郵件和網(wǎng)絡(luò)流量。SaaS供應(yīng)商通常都提供標(biāo)準(zhǔn)的網(wǎng)站瀏覽協(xié)議，通過80端口傳輸信息，用戶無須在防火墻上進(jìn)行額外的操作。你可以查出這些流量是從何而來并去向何處，并建立用戶行為記錄數(shù)據(jù)庫。

接著你可能對終端用戶出示大棒政策，在他們做出蠢事之前加以阻止。但是這種方法絕對行不通。你擁有外部IT平臺的全部記錄，但不知道他們?yōu)楹我褂眠@些。去和終端用戶聊聊，并找出他們?yōu)楹尾挥闷髽I(yè)資源的原因。某些情況下，很可能是因?yàn)樗麄儾恢雷约簱碛懈钠髽I(yè)功能。其他情況下，也許是因?yàn)樗麄冋也坏胶线m的方法，并且害怕接近你，因?yàn)橛X得這方面需求會影響復(fù)雜性和IT項(xiàng)目總成本。評估他們的需求并判斷項(xiàng)目對業(yè)務(wù)的價值。試著咨詢用戶這個項(xiàng)目是否對他們有利。

如果用戶的影子IT擁有雄厚的商業(yè)價值，就必須評估正在使用的軟件或服務(wù)。如果其滿足企業(yè)的功能性與安全性需求，那也是個不錯的方法。如果沒有，是否可以找到相似的IT平臺呢?

這也是開始讓其變得更容易，并且讓業(yè)務(wù)回歸有序的方法。你正在展示自己愿意傾聽，并且準(zhǔn)備將他們在外部做的不少好事搬回組織。只要你能夠提供相同甚至更好的功能，他們可以不用去擔(dān)心底層技術(shù)——所以，在上述例子中，他們選擇MySQL還是什么的都不再重要，只要你能通過Oracle實(shí)現(xiàn)這一點(diǎn)。

掌握了這些信息后，IT在申請投資企業(yè)級的本地化服務(wù)已經(jīng)做了更好的準(zhǔn)備，最終用戶將可以自助訪問服務(wù)。健全的IT內(nèi)部成本控制，很容易被未受控制的最終用戶帶來的隱形成本而破壞，這些業(yè)務(wù)通過信用卡消費(fèi)報銷傳遞，并且不支持GRC，也不受數(shù)據(jù)訪問控制安全的控制。

這樣也有助于管理內(nèi)的部門影子IT。管理層現(xiàn)在也知道了外部IT平臺的隱性成本——如果有業(yè)務(wù)經(jīng)理希望按他們的方式走，他不僅要向IT來證明。他還需要向公司管理層證明。IT就重新獲得了預(yù)算、用戶和企業(yè)信息的控制權(quán)。