跳转到内容

影子IT

维基百科,自由的百科全书

影子IT(Shadow IT)也称为Stealth ITClient ITFake IT,是组织中的信息技术(IT)系统是由组织内部建立并且使用,但没有正式的组织核可,而系统是由IT部门以外的部门订定规格并且布署[1][2]

有些人认为影子IT是重要的创新来源,这些系统可做为是未来核可IT方案的原型。不过也有些人认为这类的系统不一定可以符合组织有关内部控制、文件、资安以及可靠度上的要求。

起源

大型组织里的资讯系统常常是造成员工挫折感的来源[3]。为了避开中央资讯部门提供资讯方案的限制,也避开一些各部门认为会破坏个人生产力的限制,非IT的部门可能会因为其紧急的需要或是需求而开发部门内的资讯系统[4]。有些情形下,会从中央IT部门以外再雇用IT专门人员,或是采购软件方案,企业治理层级可能不知道这些情形,或是没有核可这样的事情。

优点

影子IT常常会视为破坏公司治理的行为,不过影子IT的存在也可以视为是中央管理的IT系统无法满足个别部门需求的指标。影子IT有以下立即性的优点:

  • 创新:影子IT可以视为是因应变化中的企业需求,潜在解决方案或是方案原形的沙盒。另外,透过更广泛业务范围内的限制,可以强化或限制各部门之间的相依关系。
  • 部门生产力:影子IT是依个别部门所客制化,因此可以让这些部门更有效的参与其中。研究[5]指出有35%的员工认为为了有效率的工作,需要回避公司的安全措施以及相关规定。
  • 减少内部成本:有些影子IT的政策,例如自携设备(BYOD)可以减少直接的硬件成本以及软件成本,也减少IT部门支援各单位产生的支出。

缺点

影子IT增加了不受控资料流的可能性,也不容易符合相关的法令、规定以及最佳实务,例如新巴塞尔资本协定、GLBA(金融服务法现代化法案[6]、美国的萨班斯-奥克斯利法案等。

除了信息安全以及合规的风险以外,影子IT也可能会有以下的缺点[7][8]

  • 成本:若公司发现了影子IT的基础设施,企业层级需要额外的时间以及投资进行整合、验证和合规。另一方面,部门可能因为影子IT方案的价格便宜而采用,但没有考虑其布署以及维护的额外成本。也可能因为没有效率的采购造成投资效益的减少。
  • 一致性:影子IT的方案可能不在中央化的版本控制范围内,违反标准化的方法论或是运算方式。多重且共存的影子基础设施句可能产生高度碎片化的应用软件地图,也让中央化的组态管理更为困难。
  • 营运没有效率:建立影子方案后,可能因为其广为使用,或是文件化不佳的原因,后续企业实现整体性,更有效率的改善时,可能会跳过影子方案。影子系统也可能超过中央IT部门整合以及维护的能力范围,特别是一些影子IT系统是“大到不能倒”的情形。

发生率

依照定义,组织内的影子IT活动是未知的,尤其是各单位为了使其业务持续运作,会有隐藏影子IT活动的预防性措施。就算知道实际的情形,组织也不愿意承认影子IT活动的存在。不过也有例外,波音公司发表了经验报告[9],说明其各部门为了避开其正式资讯系统的限制,已引起了许多的影子应用程序。

依照Gartner公司2015年的报告,大部分组织中,有35%的企业IT支出是在其中央IT部分的预算控管之外[10]

2012年有一个法国针对129个IT经理的问卷[11],揭露了一些影子IT的例子:

  • Excel巨集:19%
  • 软件:17%
  • 云端方案:16%
  • ERP:12%
  • 企业智慧(BI)系统:9%
  • 网站:8%
  • 硬件:6%
  • VoIP:5%
  • 影子IT支援:5%
  • 影子IT专案:3%
  • BYOD:3%.

例子

组织内非官方资讯流的例子包括随身碟或是其他行动资料储存装罝、即时讯息软件、Gmail或是其他邮件服务、Google文件或其他线上文件共享程式、Skype或是其他线上VoIP软件,也有一些比较不直接的例子,像是自行开发的Microsoft Access数据库,自行开发的Excel试算表以及巨集。若资讯或是应用程序移到受保护系统、网络、实体地点或是安全域以外,或是和以外的区域有互动,就可能有安全风险。

参考资料

  1. ^ Shadow IT - Should CIOs take umbrage?. CXO Unplugged. [2012-04-25]. (原始内容存档于2022-04-06). 
  2. ^ How no-code development tools can benefit IT. [2017-12-25]. (原始内容存档于2017-03-31). 
  3. ^ Newell, Sue; Wagner, Eric; David, Gary. Clumsy Information Systems: A Critical Review of Enterprise Systems. Agile Information Systems: Conceptualization, Construction, and Management. 2006: 163. ISBN 1136430482. 
  4. ^ Zarnekow, R; Brenner, W; Pilgram, U. Integrated Information Management: Applying Successful Industrial Concepts in IT. 2006. ISBN 978-3540323068. 
  5. ^ RSA,November 2007,The Confessions Survey: Office Workers Reveal Everyday Behavior That Places Sensitive Information at Risk,available from (PDF), [September 15, 2017], (原始内容 (PDF)存档于February 11, 2012) 
  6. ^ Gramm-Leach-Bliley Act. 
  7. ^ Tamás, Fábián. Shadow IT in the New IT Management Triangle. 2022. 
  8. ^ Myers, Noah; Starliper, Matthew W.; Sumers, Scott L.; Wood, David A. The Impact of Shadow IT Systems on Perceived Information Credibility and Managerial Decision Making. March 8, 2016. 
  9. ^ Handel, Mark J.; Poltrock, Steven. Working around official applications: experiences from a large engineering project. CSCW '11: Proceedings of the ACM 2011 conference on Computer supported cooperative work. 2011: 309–312. S2CID 2038883. doi:10.1145/1958824.1958870. [1]
  10. ^ Predictions Show IT Budgets Are Moving Out of the Control of IT Departments. Gartner. [2012-04-25]. (原始内容存档于June 29, 2013). 
  11. ^ RESULTATS DE L’ENQUETE SUR LE PHENOMENE DU "SHADOW IT" par Thomas Chejfec : http://chejfec.com/2012/12/18/resultats-complets-de-lenquete-shadow-it/

外部链接