管理影子IT会对业务造成什么风险?

IT拥有成本,包括设备、许可证、服务正持续下降。至少你的最终用户这样认为。

笔记本电脑、平板和智能手机设备迫使企业在移动功能上投资巨大。软件即服务(Saas)几乎使得任何人都能以低成本甚至免费获得订阅,开源软件则免费提供给任何想要下载的人。

为什么最终用户要去IT部门索求他们认为需要花上很长一段时间来采购和激活,并且产生大量成本的东西?相反,他们可以自己解决,而且自给自足。

员工使用外部平台会带来无数的问题——有的明显,有的不是很明显。

影子IT模式可以帮助个体,但是否可以帮助小组、部门或企业?在数万人规模的大企业里,维持控制是个难题,即使其IT部门非常集中。例如,许多大型组织都拥有五个以上的企业资源规划软件运作——不是因为IT希望这样,而是因为它刚好这样发生了。

现在,每个拥有信用卡的员工,都成了事实上的“采购部”,成百上千这种用户将成为IT的噩梦。影子IT情况在小规模组织中要好得多。以一支50人的团队为例,基本没有IT部,能成为IT负责人可能是因为他家里的电脑配置最高。此人负责调查和管理影子IT,可能只是简单询问业务是否都正常,没有合格性证明,功能测试,在合同谈判时也没有任何报价。

Dropbox、Box和其他简单易用的文件分享系统创建的信息孤岛,IT和业务部门对此都不知情,断开了与数据中心中央服务器和存储,甚至许可的云服务联系。所有这些信息都可能导致聚合能力、安全内容、使用情况和其他报告在一个较高的风险级别,可能使业务决策复杂化。虽然个人使用可能让其工作简化,但他的流氓IT可能导致经营失败。

将影子IT与GRC关联起来

组织不能指望员工理解公司的治理、风险与法规遵从(GRC)信息,如数据保护法案、个人身份信息或ISO标准。IT平台外部发现的数据往往会打破公司IT组织努力想要达到的GRC要求。

影子IT同样对未来也有影响。如果外部服务提供商倒闭?如果外部IT平台被黑客攻破?对影子存储数据会有什么影响?如果员工离职去了主要竞争对手那里,他是否能够继续访问这些外部网站数据?

首先,了解组织内真正发生了什么事件。采用映射工具简单记录硬件和软件资产关联情况,并了解哪些是与IT平台冲突的。那里很可能有个大惊喜。例如,没有获得授权使用企业级存储区域网络的部门,可能会拥有自己的网络存储设备,而且是在IT预算之外购买的。软件合规性也一样,还有那台NAS设备可能运行着MySQL或Microsoft SQL Server副本,即使组织的数据库管理标准是Oracle。

一旦你了解了哪些外部IT平台正在被使用,就可以做一些事情来控制它。

使用流量嗅探器,如Microsoft Network Monitor或Wireshark,寻找哪些流量正跨越你的网络边界:你可能只希望看到邮件和网络流量。SaaS供应商通常都提供标准的网站浏览协议,通过80端口传输信息,用户无须在防火墙上进行额外的操作。你可以查出这些流量是从何而来并去向何处,并建立用户行为记录数据库。

接着你可能对终端用户出示大棒政策,在他们做出蠢事之前加以阻止。但是这种方法绝对行不通。你拥有外部IT平台的全部记录,但不知道他们为何要使用这些。去和终端用户聊聊,并找出他们为何不用企业资源的原因。某些情况下,很可能是因为他们不知道自己拥有改企业功能。其他情况下,也许是因为他们找不到合适的方法,并且害怕接近你,因为觉得这方面需求会影响复杂性和IT项目总成本。评估他们的需求并判断项目对业务的价值。试着咨询用户这个项目是否对他们有利。

如果用户的影子IT拥有雄厚的商业价值,就必须评估正在使用的软件或服务。如果其满足企业的功能性与安全性需求,那也是个不错的方法。如果没有,是否可以找到相似的IT平台呢?

这也是开始让其变得更容易,并且让业务回归有序的方法。你正在展示自己愿意倾听,并且准备将他们在外部做的不少好事搬回组织。只要你能够提供相同甚至更好的功能,他们可以不用去担心底层技术——所以,在上述例子中,他们选择MySQL还是什么的都不再重要,只要你能通过Oracle实现这一点。

掌握了这些信息后,IT在申请投资企业级的本地化服务已经做了更好的准备,最终用户将可以自助访问服务。健全的IT内部成本控制,很容易被未受控制的最终用户带来的隐形成本而破坏,这些业务通过信用卡消费报销传递,并且不支持GRC,也不受数据访问控制安全的控制。

这样也有助于管理内的部门影子IT。管理层现在也知道了外部IT平台的隐性成本——如果有业务经理希望按他们的方式走,他不仅要向IT来证明。他还需要向公司管理层证明。IT就重新获得了预算、用户和企业信息的控制权。

作者:Clive Longbottom 翻译:陈德文

来源:51CTO

时间: 2024-11-02 01:01:38

管理影子IT会对业务造成什么风险?的相关文章

业务元数据管理——洞悉数据背后的业务含义

本文讲的是业务元数据管理--洞悉数据背后的业务含义,目前,很多企业已经意识到,由于业务人员看不懂系统中存储的数据,所以难以通过大数据来提升业务创新能力,本文就来谈谈解决这个问题的方法--业务元数据管理.(同系列文章请点击王轩的文章<面向业务的企业元数据管理>) 目录: 一.计算机和人之间出现"语义屏障" 二.业务元数据--数据背后的业务上下文 三.基于本体的业务元数据管理实践 四.总结与展望 一.计算机和人之间出现"语义屏障" 大概70多年前的一个情人节

通过云库存管理遏制随需应变的自助服务风险

影子IT可能会带来合规性和安全性问题,并增加云计算成本.企业需要采用一些最佳实践来控制云库存管理. 但是由于云计算的按需自助服务模式,业务的其他部分常常会提供新服务,并绕开企业的IT服务,这可能会增加云计算成本和风险.内部云审计可以帮助IT团队识别在其组织内运行的流氓云服务,并重新获得控制权. 根据马萨诸塞州剑桥市Forrester研究公司的分析师Lauren Nelson的说法,多云管理或者缺乏管理是一个大问题,其中大部分问题出在SaaS方面. "通常,用户从采用免费版本开始,然后支付费用出,

金达威核心产品卷入侵权漩涡新业务或暗藏风险

厦门金达威集团股份有限公司(下称"金达威")将于今日(5月16日)上会.该公司拟公开发行2300万股,占发行后总股本的25.56%,拟在深圳证券交易所上市,保荐人为华泰联合证券.然而此时上会的金达威,其主营业务及募投项目都存在诸多不确定性,一旦上市可能会成为"隐形炸弹".

以合同管理为载体 8Manage助拓维信息实现全局化业务管理

近日, 拓维信息系统股份有限公司成功与8Manage签约,将借助8Manage CRM,实现对合同的全生命周期管理,通过对合同的管理达到对业务全流程的管控,捕捉到企业整体的运营状况,为管理层制定业务战略提供决策支持. 拓维信息系统股份有限公司(以下简称"拓维信息")成立于1996年,主要从事文化创意类产品.移动电子商务.移动教育.行业软件开发等业务.通过科技与文化的结合,拓维信息已经发展成为以湖南为本部,在全国29个省市设立了分支机构的移动互联网公司.2008年7月,拓维信息在深圳成功

摩卡业务服务管理(Mocha BSM)解决方案

方案概述 http://www.aliyun.com/zixun/aggregation/13597.html">企业IT系统越来越多,网络.设备和产品越来越复杂,业越来越依赖于稳定可靠的系统运行,公司内部和外部用户对IT部门的支持服务和协调管理也提出了更高的要求.可是我们的IT部门被大量的设备所困扰,不能及时的发现问题.总是被动的去处理已发生的情况.IT资源当前的状态不了解以及管理设备的方式复杂,当我们的IT部门的相关人员离开这一地域时,我们处理工作和问题将变的十分困难. 摩卡业务服务管

面向业务的企业元数据管理

本文讲的是面向业务的企业元数据管理,最近Gartner在研究报告里明确指出,"元数据管理将是未来企业信息化的核心基础设施".确实,在大数据环境中,如果企业不通过元数据管理把多种复杂的信息管理起来,很难做到信息的有效利用.但是,很多企业逐渐发现元数据管理直接给企业业务创新带来的价值非常有限.目前的元数据管理现状是什么?如何充分释放元数据管理的业务价值?有哪些实践经验可以借鉴? 目录:一.现状分析:孤独的企业元数据管理二.解决方案:面向业务释放元数据价值三.技术实践:普元的企业元数据管理实

数据业务体验营销:重视对客户触点的管理

移动数据业务体验营销已经是一种趋向,这是由移动数据业务的自身特性和行业发展趋势所决定的, 而数据业务产品本身大多是以满足消费者娱乐.自我实现需求为目标而存在的,具有无形性.易逝性,游戏.音乐.移动搜索.个人门户产品本身就需要客户参与,数据业务产品本身即体验,与"客户参与互动"的体验核心相吻合:同时产业和技术的发展为客户良好的体验创造了条件,3G技术区别于2G的关键就在于高速率的网络体验.因此数据业务实施体验营销成为必然选择. 一.数据业务体验营销必须重视对客户触点的管理 从服务营销的角

中移动加强山寨机内置业务管理违规将直接下线

9月27日消息,为进一步加强移动梦网业务管理,中国移动近日将山寨机内置业务违规处罚措施进行修改,修改措施为今后涉及违规业务将直接下线. 据悉,为进一步加强移动梦网业务的管理,特别是加强终端渠道的管理,确保梦网业务运营的规范性,中国移动近日将山寨机内置业务违规处罚措施修改为:按照<移动梦网SP合作管理办法>的相关规定扣除信用积分.所有点播业务加二次确认,违约业务下线. 据了解,此前的处罚措施为:按照<移动梦网SP合作管理办法>的相关规定扣除信用积分.所有点播业务加二次确认.暂停违约业

东亚银行选用BMC业务服务管理平台

资讯走廊 1月5日,在华拥有最广泛分支网络的外资银行之一东亚银行(中国)选用BMC软件公司的业务服务管理(BSM)平台,采用BMC的多项管理产品来打造全面的IT管理系统,建立"精品数据中心",强化IT支撑以满足不断增长的银行业务需求.据介绍,东亚银行飞速发展的业务和动态变化的市场需求导致了软硬件数量的增加和IT系统的扩充,对银行的数据集中.流程管理和风险控制都提出了极大的挑战. 为了实现IT 管理的可视化.流程化.自动化,东亚银行选用了BMC软件公司的业务服务管理方案,旨在打造&quo