影子 IT 长期以来一直被视为对安全性和合规性的威胁,但如今,越来越多的企业意识到了它的优势。许多 IT 软件高管都在质疑:“有没有办法在提高灵活性的同时保留安全性?”随着云计算继续消耗其企业 IT 预算中越来越多的部分。如果执行得当,影子 IT 策略可能会帮助 IT 和企业感到舒适。然而,要做到这一点,需要熟悉它的含义、可能的缺点和潜在的好处。
什么是影子 IT,为什么?
“影子 IT”一词是指在没有 IT 或安全团队支持的情况下在企业中使用信息技术资源、软件或应用程序的做法。它可能涉及软件和硬件,以及基于云的资源。基于云的服务使用量的快速增长是目前最大的问题:随着越来越多的人使用它,“影子 IT”现象越来越多。用户已经习惯于访问和使用基于云的软件和服务来进行生产力应用程序或工具。将影子 IT 引入组织可以采取多种形式,但通常通过以下两种方法之一进行:
- 使用第三方程序访问、存储或分发公司信息。即使公司已正式批准 Google Workspace 进行文件共享,员工仍可能通过选择使用 Microsoft 365 来引入影子 IT。
- 非法使用受制裁的资源。同样,即使 IT 部门已通过公司管理的帐户批准使用 Google Workspace,员工仍可能通过使用自己不受监控的帐户访问 Google Workspace 来引入影子 IT。
影子 IT 的例子是什么?
将个人电子邮件帐户用于公司业务、使用未经批准的自带设备 (BYOD) 或部署不受公司 IT 团队管理的 SaaS(软件即服务)服务都是影子 IT 的常见示例。以下是影子 IT 的更具体示例:
- 用于提高生产力的应用程序或工具,包括 Trello 和 Asana 等软件。
- Microsoft Teams、Slack 和 Google Chat 是消息传递和协作应用程序的示例。
- 手机应用程序或工具、平板电脑和其他物联网 (IoT) 设备。
- 用于在云中存储数据或传输文件的服务和应用程序,包括 Google Drive、Dropbox、Box 和 OneDrive 软件。
- 用于在线会议的应用程序或工具,包括 Zoom、Skype、WebEx 和 GoToMeeting
- 约会安排和管理软件或工具,例如 Calendly、ScheduleOnce 和 Bookafy。
使用影子 IT 有哪些风险?
与影子 IT 相关的风险也隐藏在阴影中。尽管员工可以在影子 IT 软件工具或应用程序的帮助下更快、更轻松地完成工作,但这种软件或应用程序会为企业带来各种新的危险、效率低下和费用。
失去可见性和控制力
当数据转移到非官方系统或应用程序时,您将失去监督和管理。影子 IT 系统会带来诸如安全和监管违规、数据泄露以及无法对所述数据采取必要的灾难恢复措施等危险。
软件集成
系统集成是 IT 部门的共同特征。如果集成的任何部分受到损害,影子 IT 软件就会带来数据泄露的风险。如果用户不安装关键软件升级,则此违规的严重性会显着增加。更有可能的是,员工甚至可能不知道如何升级他们的工具。
当 IT 对集成系统执行升级时,以前未知的应用程序或软件可能会为攻击者提供访问整个数据库的后门。从重大破坏到对首席信息官的刑事指控,任何地方都可能由此类违规行为引起。
丢失数据
企业可能无法访问影子云数据,尤其是在创建数据的个人离开公司的情况下。用户合同、设计文档和其他项目应用程序或工具可能存储在用户的个人 Dropbox 帐户中。如果用户被解雇,公司可能无法从个人的个人账户中恢复重要的客户数据。当用户被终止并且不再为影子 IT 软件云服务付费时,很容易立即停用此类服务或应用程序。
成本
据估计,所有 SaaS 订阅或应用程序中有近三分之一未使用或未充分利用,从而导致效率低下和资金浪费。一些想要支持其影子 IT 软件的企业使用低效的手动方法,包括使用长电子表格来跟踪他们的 SaaS 服务,这是浪费时间和金钱。
未知的攻击面扩展
影子 IT 越多,组织受到攻击的可能性就越大。无组织的数据库系统不在任何已知安全协议的范围内。证书薄弱或默认存在将非托管资产暴露于 Internet 的风险。威胁日志管理、安全信息、事件管理 (SIEM) 系统软件和渗透测试不会涵盖影子 IT。
影子 IT 的好处
然而,影子 IT 也有它的好处。以下是使用 Shadow IT 的主要优势:
更高水平的生产力
根据 Entrust Datacard 进行的一项民意调查结果,几乎所有工人在有机会利用他们选择的技术时都会增加产量。此外,同一项民意调查发现,77% 的 IT 软件专业人士认为,如果高管们在确定使用应用程序问题的解决方案方面更加协作,他们的公司可能会获得竞争优势。当一个人仔细考虑手头的事情时,就会意识到这些结论并不是很令人震惊。例如,您不会期望美发师能够使用一把普通的剪刀完成与使用一组专业美发剪刀相同的工作量。
创新触发器或催化剂
当有更多人在寻找时,更容易识别更适合手头任务的工具。员工自己是最重要的评判者,哪些软件和硬件解决方案可能对他们最有用;因此,影子 IT 让他们使用他们想要的任何东西而不需要他们事先获得任何人的许可是非常有意义的。因此,管理层更有意义地深入研究员工已经开始自主使用的信息技术软件或应用程序,并探索在整个公司内正式采用它们的可能性。与管理层直接选择的解决方案相比,通过这个过程得出的解决方案更有可能与最初的业务需求密切相关。
带来最好和最聪明的
影子 IT 是一种信息技术形式,可以帮助企业,特别是那些在严重依赖信息技术软件的行业中运营的企业,招聘和留住最优秀的员工。拥有丰富经验的求职者在被允许使用最适合他们的工具而不是被迫学习如何使用可能会或可能不会过时的完全不同的工具集时,总是会心存感激,仅仅是因为在他们之前的人喜欢使用它们。同样,当他们能够使用最先进的 IT 软件时,表现出色的个人会更加投入和高效,他们甚至可能会拒绝工作环境不适合他们的竞争对手提供的更高薪酬。
最小化对影子 IT 的需求和风险
通过执行上面列出的一些操作,您可以减少对影子 IT 的需求以及与之相关的风险。
沟通与合作
找出 IT 用户真正想要什么。降低筒仓。让 IT 部门和 IT 用户能够以简单、舒适和高效的方式进行沟通,以便更好地了解最终用户对当前和新出现的必要技术的真实需求、体验和评论低代码/无代码平台。
培训和教育
告知用户与影子 IT 软件相关的危害以及公司如何在不规避通常的治理规则的情况下协助满足技术要求是减轻这些风险的非常重要的一步。了解安全并认同组织对信息技术软件安全愿景的员工更有可能掌握与影子 IT 相关的风险,并会被鼓励发现可接受的解决方案来满足他们的技术需求。
最后的想法
常规的办公室结构正在让位于更灵活、远程和混合的选项。云有助于这种转变,但您仍然需要处理一些重大后果。只要 SaaS 服务正在推动您的创新,影子 IT 威胁将仍然是一个问题。
但是如果我告诉你,你可以通过使用低代码/无代码平台来解决影子 IT 的所有风险呢?这些平台可以由 IT 部门控制,但它们也将帮助创建员工所需的业务工具。想象一下,您可以构建一个约会安排应用程序,例如,它完全符合您公司的需求。而且,您不会害怕影子 IT 的所有这些风险——因为它会由您的 IT 部门开发和控制。 AppMaster.io 是最先进的无代码平台之一,它将很乐意帮助您为您的企业创建最好的 Web 和移动应用程序,而无需编写任何代码。