影子IT

影子IT（Shadow IT）也稱為Stealth IT、Client IT、Fake IT，是組織中的信息技术（IT）系統是由組織內部建立並且使用，但沒有正式的組織核可，而系統是由IT部門以外的部門訂定規格並且布署^[1]^[2]。

有些人認為影子IT是重要的創新來源，這些系統可做為是未來核可IT方案的原型。不過也有些人認為這類的系統不一定可以符合組織有關內部控制、文件、資安以及可靠度上的要求。

起源

大型組織裡的資訊系統常常是造成員工挫折感的來源^[3]。為了避開中央資訊部門提供資訊方案的限制，也避開一些各部門認為會破壞個人生產力的限制，非IT的部門可能會因為其緊急的需要或是需求而開發部門內的資訊系統^[4]。有些情形下，會從中央IT部門以外再雇用IT專門人員，或是採購軟體方案，企業治理層級可能不知道這些情形，或是沒有核可這樣的事情。

優點

影子IT常常會視為破壞公司治理的行為，不過影子IT的存在也可以視為是中央管理的IT系統無法滿足個別部門需求的指標。影子IT有以下立即性的優點：

創新：影子IT可以視為是因應變化中的企業需求，潛在解決方案或是方案原形的沙盒。另外，透過更廣泛業務範圍內的限制，可以強化或限制各部門之間的相依關係。
部門生產力：影子IT是依個別部門所客製化，因此可以讓這些部門更有效的參與其中。研究^[5]指出有35%的員工認為為了有效率的工作，需要迴避公司的安全措施以及相關規定。
減少內部成本：有些影子IT的政策，例如自攜設備（BYOD）可以減少直接的硬體成本以及軟體成本，也減少IT部門支援各單位產生的支出。

缺點

影子IT增加了不受控資料流的可能性，也不容易符合相關的法令、規定以及最佳實務，例如新巴塞爾資本協定、GLBA（金融服务法现代化法案）^[6]、美國的萨班斯-奥克斯利法案等。

除了信息安全以及合規的風險以外，影子IT也可能會有以下的缺點^[7]^[8]：

成本：若公司發現了影子IT的基礎設施，企業層級需要額外的時間以及投資進行整合、驗證和合規。另一方面，部門可能因為影子IT方案的價格便宜而採用，但沒有考慮其佈署以及維護的額外成本。也可能因為沒有效率的採購造成投資效益的減少。
一致性：影子IT的方案可能不在中央化的版本控制範圍內，違反標準化的方法論或是運算方式。多重且共存的影子基礎設施句可能產生高度碎片化的應用軟體地圖，也讓中央化的組態管理更為困難。
營運沒有效率：建立影子方案後，可能因為其廣為使用，或是文件化不佳的原因，後續企業實現整體性，更有效率的改善時，可能會跳過影子方案。影子系統也可能超過中央IT部門整合以及維護的能力範圍，特別是一些影子IT系統是「大到不能倒」的情形。

發生率

依照定義，組織內的影子IT活動是未知的，尤其是各單位為了使其業務持續運作，會有隱藏影子IT活動的預防性措施。就算知道實際的情形，組織也不願意承認影子IT活動的存在。不過也有例外，波音公司發表了經驗報告^[9]，說明其各部門為了避開其正式資訊系統的限制，已引起了許多的影子應用程式。

依照Gartner公司2015年的報告，大部份組織中，有35%的企業IT支出是在其中央IT部份的預算控管之外^[10]。

2012年有一個法國針對129個IT經理的問卷^[11]，揭露了一些影子IT的例子：

Excel巨集：19%
軟體：17%
雲端方案：16%
ERP：12%
企業智慧（BI）系統：9%
網站：8%
硬體：6%
VoIP：5%
影子IT支援：5%
影子IT專案：3%
BYOD：3%.

例子

組織內非官方資訊流的例子包括隨身碟或是其他行動資料儲存裝罝、即時訊息軟體、Gmail或是其他郵件服務、Google文件或其他線上文件共享程式、Skype或是其他線上VoIP軟體，也有一些比較不直接的例子，像是自行開發的Microsoft Access資料庫，自行開發的Excel試算表以及巨集。若資訊或是應用程式移到受保護系統、網路、實體地點或是安全域以外，或是和以外的區域有互動，就可能有安全風險。

參考資料

^ Shadow IT - Should CIOs take umbrage?. CXO Unplugged. [2012-04-25]. （原始内容存档于2022-04-06）.
^ How no-code development tools can benefit IT. [2017-12-25]. （原始内容存档于2017-03-31）.
^ Newell, Sue; Wagner, Eric; David, Gary. Clumsy Information Systems: A Critical Review of Enterprise Systems. Agile Information Systems: Conceptualization, Construction, and Management. 2006: 163. ISBN 1136430482.
^ Zarnekow, R; Brenner, W; Pilgram, U. Integrated Information Management: Applying Successful Industrial Concepts in IT. 2006. ISBN 978-3540323068.
^ RSA,November 2007,The Confessions Survey: Office Workers Reveal Everyday Behavior That Places Sensitive Information at Risk,available from (PDF), [September 15, 2017], （原始内容 (PDF)存档于February 11, 2012）
^ Gramm-Leach-Bliley Act.
^ Tamás, Fábián. Shadow IT in the New IT Management Triangle. 2022.
^ Myers, Noah; Starliper, Matthew W.; Sumers, Scott L.; Wood, David A. The Impact of Shadow IT Systems on Perceived Information Credibility and Managerial Decision Making. March 8, 2016.
^ Handel, Mark J.; Poltrock, Steven. Working around official applications: experiences from a large engineering project. CSCW '11: Proceedings of the ACM 2011 conference on Computer supported cooperative work. 2011: 309–312. S2CID 2038883. doi:10.1145/1958824.1958870. [1]
^ Predictions Show IT Budgets Are Moving Out of the Control of IT Departments. Gartner. [2012-04-25]. （原始内容存档于June 29, 2013）.
^ RESULTATS DE L’ENQUETE SUR LE PHENOMENE DU "SHADOW IT" par Thomas Chejfec : http://chejfec.com/2012/12/18/resultats-complets-de-lenquete-shadow-it/

外部連結

Industry's First Cloud Adoption and Risk Report Reveals Organizations Are Flying Blind as They Embrace Cloud Services （页面存档备份，存于互联网档案馆） Industry's First Cloud Adoption and Risk Report

这是一篇與科技相關的小作品。您可以通过编辑或修订扩充其内容。

[1] Shadow IT - Should CIOs take umbrage?. CXO Unplugged. [2012-04-25]. （原始内容存档于2022-04-06）.

[2] How no-code development tools can benefit IT. [2017-12-25]. （原始内容存档于2017-03-31）.

[Newel-2006-3] Newell, Sue; Wagner, Eric; David, Gary. Clumsy Information Systems: A Critical Review of Enterprise Systems. Agile Information Systems: Conceptualization, Construction, and Management. 2006: 163. ISBN 1136430482.

[4] Zarnekow, R; Brenner, W; Pilgram, U. Integrated Information Management: Applying Successful Industrial Concepts in IT. 2006. ISBN 978-3540323068.

[5] RSA,November 2007,The Confessions Survey: Office Workers Reveal Everyday Behavior That Places Sensitive Information at Risk,available from (PDF), [September 15, 2017], （原始内容 (PDF)存档于February 11, 2012）

[6] Gramm-Leach-Bliley Act.

[7] Tamás, Fábián. Shadow IT in the New IT Management Triangle. 2022.

[8] Myers, Noah; Starliper, Matthew W.; Sumers, Scott L.; Wood, David A. The Impact of Shadow IT Systems on Perceived Information Credibility and Managerial Decision Making. March 8, 2016.

[Handel-2010-9] Handel, Mark J.; Poltrock, Steven. Working around official applications: experiences from a large engineering project. CSCW '11: Proceedings of the ACM 2011 conference on Computer supported cooperative work. 2011: 309–312. S2CID 2038883. doi:10.1145/1958824.1958870. [1]

[10] Predictions Show IT Budgets Are Moving Out of the Control of IT Departments. Gartner. [2012-04-25]. （原始内容存档于June 29, 2013）.

[11] RESULTATS DE L’ENQUETE SUR LE PHENOMENE DU "SHADOW IT" par Thomas Chejfec : http://chejfec.com/2012/12/18/resultats-complets-de-lenquete-shadow-it/

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]