影子IT
此條目需要補充更多來源。 (2024年11月) |
影子IT(Shadow IT)也稱為Stealth IT、Client IT、Fake IT,是組織中的信息技術(IT)系統是由組織內部建立並且使用,但沒有正式的組織核可,而系統是由IT部門以外的部門訂定規格並且布署[1][2]。
有些人認為影子IT是重要的創新來源,這些系統可做為是未來核可IT方案的原型。不過也有些人認為這類的系統不一定可以符合組織有關內部控制、文件、資安以及可靠度上的要求。
起源
大型組織裏的資訊系統常常是造成員工挫折感的來源[3]。為了避開中央資訊部門提供資訊方案的限制,也避開一些各部門認為會破壞個人生產力的限制,非IT的部門可能會因為其緊急的需要或是需求而開發部門內的資訊系統[4]。有些情形下,會從中央IT部門以外再僱用IT專門人員,或是採購軟件方案,企業治理層級可能不知道這些情形,或是沒有核可這樣的事情。
優點
影子IT常常會視為破壞公司治理的行為,不過影子IT的存在也可以視為是中央管理的IT系統無法滿足個別部門需求的指標。影子IT有以下立即性的優點:
- 創新:影子IT可以視為是因應變化中的企業需求,潛在解決方案或是方案原形的沙盒。另外,透過更廣泛業務範圍內的限制,可以強化或限制各部門之間的相依關係。
- 部門生產力:影子IT是依個別部門所客製化,因此可以讓這些部門更有效的參與其中。研究[5]指出有35%的員工認為為了有效率的工作,需要迴避公司的安全措施以及相關規定。
- 減少內部成本:有些影子IT的政策,例如自攜設備(BYOD)可以減少直接的硬件成本以及軟件成本,也減少IT部門支援各單位產生的支出。
缺點
影子IT增加了不受控資料流的可能性,也不容易符合相關的法令、規定以及最佳實務,例如新巴塞爾資本協定、GLBA(金融服務法現代化法案)[6]、美國的薩班斯-奧克斯利法案等。
除了信息安全以及合規的風險以外,影子IT也可能會有以下的缺點[7][8]:
- 成本:若公司發現了影子IT的基礎設施,企業層級需要額外的時間以及投資進行整合、驗證和合規。另一方面,部門可能因為影子IT方案的價格便宜而採用,但沒有考慮其佈署以及維護的額外成本。也可能因為沒有效率的採購造成投資效益的減少。
- 一致性:影子IT的方案可能不在中央化的版本控制範圍內,違反標準化的方法論或是運算方式。多重且共存的影子基礎設施句可能產生高度碎片化的應用軟件地圖,也讓中央化的組態管理更為困難。
- 營運沒有效率:建立影子方案後,可能因為其廣為使用,或是文件化不佳的原因,後續企業實現整體性,更有效率的改善時,可能會跳過影子方案。影子系統也可能超過中央IT部門整合以及維護的能力範圍,特別是一些影子IT系統是「大到不能倒」的情形。
發生率
依照定義,組織內的影子IT活動是未知的,尤其是各單位為了使其業務持續運作,會有隱藏影子IT活動的預防性措施。就算知道實際的情形,組織也不願意承認影子IT活動的存在。不過也有例外,波音公司發表了經驗報告[9],說明其各部門為了避開其正式資訊系統的限制,已引起了許多的影子應用程式。
依照Gartner公司2015年的報告,大部份組織中,有35%的企業IT支出是在其中央IT部份的預算控管之外[10]。
2012年有一個法國針對129個IT經理的問卷[11],揭露了一些影子IT的例子:
- Excel巨集:19%
- 軟件:17%
- 雲端方案:16%
- ERP:12%
- 企業智慧(BI)系統:9%
- 網站:8%
- 硬件:6%
- VoIP:5%
- 影子IT支援:5%
- 影子IT專案:3%
- BYOD:3%.
例子
組織內非官方資訊流的例子包括隨身碟或是其他行動資料儲存裝罝、即時訊息軟件、Gmail或是其他郵件服務、Google文件或其他線上文件共享程式、Skype或是其他線上VoIP軟件,也有一些比較不直接的例子,像是自行開發的Microsoft Access資料庫,自行開發的Excel試算表以及巨集。若資訊或是應用程式移到受保護系統、網絡、實體地點或是安全域以外,或是和以外的區域有互動,就可能有安全風險。
參考資料
- ^ Shadow IT - Should CIOs take umbrage?. CXO Unplugged. [2012-04-25]. (原始內容存檔於2022-04-06).
- ^ How no-code development tools can benefit IT. [2017-12-25]. (原始內容存檔於2017-03-31).
- ^ Newell, Sue; Wagner, Eric; David, Gary. Clumsy Information Systems: A Critical Review of Enterprise Systems. Agile Information Systems: Conceptualization, Construction, and Management. 2006: 163. ISBN 1136430482.
- ^ Zarnekow, R; Brenner, W; Pilgram, U. Integrated Information Management: Applying Successful Industrial Concepts in IT. 2006. ISBN 978-3540323068.
- ^ RSA,November 2007,The Confessions Survey: Office Workers Reveal Everyday Behavior That Places Sensitive Information at Risk,available from (PDF), [September 15, 2017], (原始內容 (PDF)存檔於February 11, 2012)
- ^ Gramm-Leach-Bliley Act.
- ^ Tamás, Fábián. Shadow IT in the New IT Management Triangle. 2022.
- ^ Myers, Noah; Starliper, Matthew W.; Sumers, Scott L.; Wood, David A. The Impact of Shadow IT Systems on Perceived Information Credibility and Managerial Decision Making. March 8, 2016.
- ^ Handel, Mark J.; Poltrock, Steven. Working around official applications: experiences from a large engineering project. CSCW '11: Proceedings of the ACM 2011 conference on Computer supported cooperative work. 2011: 309–312. S2CID 2038883. doi:10.1145/1958824.1958870.[1]
- ^ Predictions Show IT Budgets Are Moving Out of the Control of IT Departments. Gartner. [2012-04-25]. (原始內容存檔於June 29, 2013).
- ^ RESULTATS DE L』ENQUETE SUR LE PHENOMENE DU "SHADOW IT" par Thomas Chejfec : http://chejfec.com/2012/12/18/resultats-complets-de-lenquete-shadow-it/
外部連結
- Industry's First Cloud Adoption and Risk Report Reveals Organizations Are Flying Blind as They Embrace Cloud Services (頁面存檔備份,存於互聯網檔案館) Industry's First Cloud Adoption and Risk Report
這是一篇與科技相關的小作品。您可以透過編輯或修訂擴充其內容。 |