SaaS时代影子IT的兴起

想象一下，一家公司的业务负责人试图提取一些数据来进行季度更新。她正在尝试在 Excel 上复制信息、创建报告并手动绘制图表。这是一个耗时的过程，她想知道是否有更简单的方法来做到这一点。

她向公司的 IT 团队解释了她的情况，他们告诉她他们可以为她构建一个解决方案，但他们已经提前了大约六个月的项目。她不能等那么久，所以她考虑了她的选择：

• 处理一长串批准，并将她的要求推到队列的最前面
• 继续努力
• 在线寻找现成的解决方案

在这一点上，您可能会猜到她最有可能做的事情。

云计算使工作场所用户更容易绕过 IT 安全协议来访问他们需要满足其工作要求的程序。研究表明，员工负责所有云应用程序下载的很大一部分，虽然 35% 是在部门级别购买的，但只有 15% 可以订阅 IT 团队。这表明大部分软件采购是在企业内 IT 安全部门不知情的情况下发生的。

软件采购的 IT 监督和治理政策已经到位以保护组织，但它们并未解决工作场所 IT 用户面临的挑战。在工作场所采用未经批准的 SaaS 软件的自由为影子 IT 创造了机会。

什么是影子 IT？

影子 IT 是公司在没有内部 IT 部门正式批准和支持的情况下构建或购买的任何 IT 技术解决方案、服务、项目或基础设施。影子 IT 技术通常不符合以下方面的组织要求和政策：

• 安全
• 遵守
• 成本
• 服务水平协议 (SLA)
• 文档
• 可靠性
• 其他关键因素

最普遍的影子 IT 系统形式是 SaaS 产品。其中包括满足组织已支持的 IT 解决方案中未包含的特定要求的独特产品和解决方案。

第二个最常见的来源是商业桌面软件以及手机和平板电脑应用程序。手机和平板电脑通常被锁定以接收电子邮件，但它们经常保持打开状态以进行应用程序安装。配置为桌面管理员的远程 PC 和笔记本电脑、使用不受 IT 控制的自己的设备的员工通常包含未经授权的免费和商业软件。

为什么用户转向影子 IT？

尽管 IT 团队谨慎行事，但业务用户仍会继续下载、订阅和共享他们找到的应用程序以完成工作。这些下载绕过了公司协议并冒着机密数据的风险，但用户觉得他们别无选择。

例如，销售团队成员正在与潜在客户会面。尽管销售团队的组织使用 WebEx，但潜在客户更喜欢 Zoom。然后，销售团队成员可以下载 Zoom 以与潜在客户联系。研究表明，35% 的员工需要绕过 IT 安全协议并访问未经授权的程序才能完成工作。

公司通过以下方式在员工下载未经授权的程序方面发挥重要作用：

• 不为员工需要的软件提供支持
• 使治理、批准和供应过程变得缓慢，直至无效

为什么影子 IT 对企业不利？

• 缺乏可见性——IT 团队必须对他们的应用程序进行分类、量化其重要性、分析风险并确定如何支持它们——而影子 IT 软件上的数据并没有让他们能够做到这一点。更多的软件会导致更多潜在的故障点。这会增加安全和监管不合规的风险，使发现数据泄漏变得更加困难，并阻碍团队在需要时对这些数据执行灾难恢复措施。
• 数据丢失- 组织可能无法访问存储在未经授权的程序中的基于云的数据，主要是在拥有信息的员工离开组织的情况下——例如，用户保存客户合同和其他项目文档的个人 Dropbox 帐户。如果没有用户，公司可能会面临从用户个人帐户取回关键客户信息的问题。当用户停止支付账单时，个人云服务帐户也可能很快断开连接。
• 无法看到全局 ——如果组织不了解数据流，IT 团队就无法规划容量、安全性和性能。在不同且孤立的影子 IT 应用程序中存储和使用数据可能会导致数据分析和报告出现偏差。当数据版本存在于不同的未映射基础设施位置时，这会变得更加复杂。然后最终需要花费数小时的拼凑工作来收集有意义的指标并了解您的组织的数据试图告诉您什么。
• 成本——一旦影子 IT 系统（如云存储）对项目变得至关重要并且 IT 用户需要扩展资源，组织为继续使用该服务而产生的成本可能是不合理的。
• 不合规 - 使用影子 IT 可能会产生深远的影响，尤其是对于受严格合规法规约束的组织。影子 IT 创建了额外的审计点，必须扩展合规性证明。例如，如果医疗机构将敏感的患者数据存储在未经授权的云存储中，他们最终将不得不审核、识别和披露每个事件的范围和影响。
• 网络攻击的风险——当非托管数据存储库位于已建立的安全边界之外时，薄弱的凭据可能会使隐私敏感信息面临网络攻击的风险。组织的渗透测试、入侵检测或威胁日志管理都无法涵盖影子 IT。
• 扼杀协作——跨多个工具和平台传播任务和对话会导致协作效率低下。当团队中的一个成员在 Slack、另一个在 Google Hangouts 和另一个在 Skype 上时，你会遇到一个根本问题：对话正在发生，但没有一个共同的地方可以让其他任何人看到或共享标准化协作. 这对于团队成员不共享物理空间的分布式组织至关重要。

影子 IT 带来了一系列问题，但仍有许多公司为此苦苦挣扎。为什么员工和团队如此迅速地承担使用新工具的风险？

答案就是结果。尽管存在风险，许多可下载的解决方案填补了许多传统软件解决方案无法填补的空白。使用 2001 年制造的旧软件的企业可能不再具有员工在 2021 年所需的所有功能。因此，员工会找到解决方法。下载必要的应用程序并购买一些许可证会更容易，而不是让已经很忙的 IT 团队重新设计包含多年数据的旧软件。

影子 IT 是一个更大问题的征兆，它的兴起标志着对可定制工具的需求，这些工具可以针对特定任务，但足够灵活，可以准确地完成个人需要的事情——不仅仅是整个部门或公司作为所有的。

影子 IT 的兴起试图告诉我们什么？

影子 IT 服务的兴起通常意味着以下几点：

需要高度可定制的软件，足够灵活以适应任何特定的工作流程

为工作场所开发的技术旨在吸引尽可能多的部门/任务/组，因此工具通常带有非常严格的定制限制。办公软件提供了广泛的功能，但这些功能通常是通用的；它们不提供特定的工作流程，而不需要用户跳过几个额外的、不必要的步骤。所有这些都表明需要定制——这些工具可以针对特定任务，但又足够灵活，可以准确地完成用户需要的工作。

IT 部门应该能够更快地提供解决方案

员工厌倦了等待 IT 部门提供应用程序或服务，因为实施通常需要很长时间。IT 部门根本无法在指定的时间范围内完成每一次实施，这使得影子 IT 成为不可避免且危险的必要条件。 定制软件的开发和实施需要更快。

对响应市场变化和用户需求的技术有很高的需求

我们开展业务的方式不断变化，而技术通常是这些发展的核心，分布在四五个不同的平台上。随着业务的增长和技术的转变，迫切需要工具来适应这些情况。

不幸的是，无论办公工具套件多么全面，用户可能找不到合适的工具来满足突然的需求。因此，他们使用可以帮助他们跟上需求的新工具找到解决方法。如果公司无法找到一种解决方案来保持其资源无所不包且响应迅速，那么影子 IT 是必然的。

如何应对影子 IT

以下是一些可用于应对影子 IT 的方法：

采取战略措施减少对影子 IT 解决方案的需求

您可以采取以下措施来减少对影子 IT 的需求：

打破 IT 团队和用户之间的隔阂：发现员工的需求，并在 IT 部门和用户之间实现更有效的沟通。为了提供高效的解决方案，IT 必须了解最终用户的需求、经验以及对现有和新所需技术的反馈。

教育用户了解与影子 IT 相关的风险 ，以及他们如何在不绕过标准治理协议的情况下满足技术要求。具有安全意识的员工更有可能寻找合适的解决方案来满足他们的技术需求。

主动检测和监控影子 IT：部署可以监控网络活动、未经授权的购买、数据迁移、IT 使用模式和影子 IT 的其他指标的技术。查看本地 Web 过滤日志和配置管理数据库等主动发现实践可以帮助您发现影子 IT 的实例。

制定预测和管理影子 IT 的政策

使用经过审查的技术，使用以用户为中心的策略开发 IT 治理结构。建立具有灵活性的策略实施，以发展和响应最终用户不断变化的 IT 需求。编制受制裁、授权和禁止的组织 IT 资源列表可以作为组织每月安全审查的一部分。对工作场所技术的持续评估可以让组织降低影子 IT 的风险。

考虑在敏捷性和安全性之间取得平衡的工具

员工之所以使用第三方应用程序，是因为他们的内部 IT 团队无法提供他们需要的工具，或者他们需要的工具无法验证。一种解决方案是让 IT 满足每个业务用户的需求，但这在许多情况下实际上并不可行。即使一个组织雇佣了更多的程序员，仍然会有额外的请求，而且本土解决方案并不总是像用户希望的那样实用。

如何在不追求影子 IT 解决方案的情况下获得灵活性和定制化？简单的自定义应用程序开发是我想到的解决方案 - 能够构建自定义 业务应用程序，而无需在传统应用程序开发上花费很长的项目时间。

软件行业取得了重大进展；新工具和开发平台可以让公司在单一生态系统中工作并支持他们的所有需求：安全性、灵活性、管理和维护。更好的是，有些平台可以提供高度可定制的功能、工作流程和界面。

低代码，可持续的定制解决方案

低代码平台加速了企业解决方案的开发。由组织的中央 IT 部门授权的低代码平台对于缓解影子 IT 至关重要。

低代码应用程序平台提供了许多强大的好处，例如允许业务用户和 公民开发人员按他们的时间表快速创建解决方案，而不是基于 IT 部门的优先级。但是，中央 IT 部门必须管理和支持低代码平台。团队可以拥有创建解决方案所需的工具，而不是让员工用极其缓慢的手动流程自生自灭。低代码平台让团队可以自由地开发他们需要的应用程序，而不会有影子 IT 的风险。

低代码与影子 IT

在对领先的低代码平台进行全面评估后，中央 IT 可以找到满足企业要求的平台。然后，业务用户可以使用该平台构建符合企业法规的工具，从而缩小与 IT 之间的差距。

现代低代码平台可以通过为您提供以下服务来帮助对抗影子 IT：

• 一个数字沙盒环境，您可以在其中安全地构建和测试您的业务应用程序
• 具有可视化编程界面的开发平台，任何技术水平的用户都可以轻松学习和使用
• 拖放图形，可用于构建强大、可定制的数据库和优化的工作流程
• 可以根据用户需求实时维护和修改的应用程序
• 开发、测试、生产环境分离，部署方便
• 将应用程序从个人使用扩展到部门再到组织范围的可扩展性
• 集成选项和 API，因此您可以无缝访问来自其他企业范围系统的数据
• 开箱即用的安全性和身份验证
• 适用于企业的本地和云选项，因此您可以选择更适合您的办公基础设施的解决方案

并非所有低代码平台都提供这些功能，因此请确保您选择的平台符合您组织的指导方针。

低代码企业生态系统会是什么样子？

假设一家软件公司的营销团队成员需要收集客户用例。他们需要销售团队或客户管理的支持来确定可以分享他们故事的客户。他们在用例中需要的数据包括客户姓名、他们使用的产品功能、客户面临的挑战等。

营销人员概述了生成更多客户故事的工作流程的基本流程图。他们概述了数据收集过程的步骤，确定他们需要的信息，并确定谁将负责每个步骤。

一旦需求明确，他们就会打开公司批准的低代码软件来创建工作流程。然后，在没有代码或 IT 团队帮助的情况下，他们在一两个小时内构建了一个新的工作流程。完成后，他们启动它——现在它可以使用了。

因为新的工作流程是在公司批准的生态系统中构建的，所以它不会超出 IT 指导方针。该应用程序不需要采用新软件，因为它是在预先存在的企业软件平台中创建的。最重要的是，营销人员可以在没有开发人员帮助的情况下设计和构建它，也无需尝试与 IT 团队交流他们的愿景。

低代码企业生态系统让员工：

• 创建新的工作流程以响应新的要求
• 自行构建解决方案，无需依赖 IT 或第三方开发人员
• 在不浪费时间评估新工具的情况下获得他们需要的定制
• 创建解决方案，而不会使他们的数据或公司的安全面临风险

低代码平台可以将 IT 从平凡的开发任务中解放出来，并创建与员工协作的环境。面向客户的团队可以根据需求快速构建解决方案，而无需等待 IT，而且 IT 可以监督结果，尤其是当这些解决方案要在公司范围内部署时。低代码开发减少了对影子 IT 的需求，将技术放回其所属的地方：支持业务。