影子IT
此条目需要补充更多来源。 (2024年11月) |
影子IT(Shadow IT)也称为Stealth IT、Client IT、Fake IT,是组织中的信息技术(IT)系统是由组织内部建立并且使用,但没有正式的组织核可,而系统是由IT部门以外的部门订定规格并且布署[1][2]。
有些人认为影子IT是重要的创新来源,这些系统可做为是未来核可IT方案的原型。不过也有些人认为这类的系统不一定可以符合组织有关内部控制、文件、资安以及可靠度上的要求。
起源
大型组织里的资讯系统常常是造成员工挫折感的来源[3]。为了避开中央资讯部门提供资讯方案的限制,也避开一些各部门认为会破坏个人生产力的限制,非IT的部门可能会因为其紧急的需要或是需求而开发部门内的资讯系统[4]。有些情形下,会从中央IT部门以外再雇用IT专门人员,或是采购软件方案,企业治理层级可能不知道这些情形,或是没有核可这样的事情。
优点
影子IT常常会视为破坏公司治理的行为,不过影子IT的存在也可以视为是中央管理的IT系统无法满足个别部门需求的指标。影子IT有以下立即性的优点:
- 创新:影子IT可以视为是因应变化中的企业需求,潜在解决方案或是方案原形的沙盒。另外,透过更广泛业务范围内的限制,可以强化或限制各部门之间的相依关系。
- 部门生产力:影子IT是依个别部门所客制化,因此可以让这些部门更有效的参与其中。研究[5]指出有35%的员工认为为了有效率的工作,需要回避公司的安全措施以及相关规定。
- 减少内部成本:有些影子IT的政策,例如自携设备(BYOD)可以减少直接的硬件成本以及软件成本,也减少IT部门支援各单位产生的支出。
缺点
影子IT增加了不受控资料流的可能性,也不容易符合相关的法令、规定以及最佳实务,例如新巴塞尔资本协定、GLBA(金融服务法现代化法案)[6]、美国的萨班斯-奥克斯利法案等。
除了信息安全以及合规的风险以外,影子IT也可能会有以下的缺点[7][8]:
- 成本:若公司发现了影子IT的基础设施,企业层级需要额外的时间以及投资进行整合、验证和合规。另一方面,部门可能因为影子IT方案的价格便宜而采用,但没有考虑其布署以及维护的额外成本。也可能因为没有效率的采购造成投资效益的减少。
- 一致性:影子IT的方案可能不在中央化的版本控制范围内,违反标准化的方法论或是运算方式。多重且共存的影子基础设施句可能产生高度碎片化的应用软件地图,也让中央化的组态管理更为困难。
- 营运没有效率:建立影子方案后,可能因为其广为使用,或是文件化不佳的原因,后续企业实现整体性,更有效率的改善时,可能会跳过影子方案。影子系统也可能超过中央IT部门整合以及维护的能力范围,特别是一些影子IT系统是“大到不能倒”的情形。
发生率
依照定义,组织内的影子IT活动是未知的,尤其是各单位为了使其业务持续运作,会有隐藏影子IT活动的预防性措施。就算知道实际的情形,组织也不愿意承认影子IT活动的存在。不过也有例外,波音公司发表了经验报告[9],说明其各部门为了避开其正式资讯系统的限制,已引起了许多的影子应用程序。
依照Gartner公司2015年的报告,大部分组织中,有35%的企业IT支出是在其中央IT部分的预算控管之外[10]。
2012年有一个法国针对129个IT经理的问卷[11],揭露了一些影子IT的例子:
- Excel巨集:19%
- 软件:17%
- 云端方案:16%
- ERP:12%
- 企业智慧(BI)系统:9%
- 网站:8%
- 硬件:6%
- VoIP:5%
- 影子IT支援:5%
- 影子IT专案:3%
- BYOD:3%.
例子
组织内非官方资讯流的例子包括随身碟或是其他行动资料储存装罝、即时讯息软件、Gmail或是其他邮件服务、Google文件或其他线上文件共享程式、Skype或是其他线上VoIP软件,也有一些比较不直接的例子,像是自行开发的Microsoft Access数据库,自行开发的Excel试算表以及巨集。若资讯或是应用程序移到受保护系统、网络、实体地点或是安全域以外,或是和以外的区域有互动,就可能有安全风险。
参考资料
- ^ Shadow IT - Should CIOs take umbrage?. CXO Unplugged. [2012-04-25]. (原始内容存档于2022-04-06).
- ^ How no-code development tools can benefit IT. [2017-12-25]. (原始内容存档于2017-03-31).
- ^ Newell, Sue; Wagner, Eric; David, Gary. Clumsy Information Systems: A Critical Review of Enterprise Systems. Agile Information Systems: Conceptualization, Construction, and Management. 2006: 163. ISBN 1136430482.
- ^ Zarnekow, R; Brenner, W; Pilgram, U. Integrated Information Management: Applying Successful Industrial Concepts in IT. 2006. ISBN 978-3540323068.
- ^ RSA,November 2007,The Confessions Survey: Office Workers Reveal Everyday Behavior That Places Sensitive Information at Risk,available from (PDF), [September 15, 2017], (原始内容 (PDF)存档于February 11, 2012)
- ^ Gramm-Leach-Bliley Act.
- ^ Tamás, Fábián. Shadow IT in the New IT Management Triangle. 2022.
- ^ Myers, Noah; Starliper, Matthew W.; Sumers, Scott L.; Wood, David A. The Impact of Shadow IT Systems on Perceived Information Credibility and Managerial Decision Making. March 8, 2016.
- ^ Handel, Mark J.; Poltrock, Steven. Working around official applications: experiences from a large engineering project. CSCW '11: Proceedings of the ACM 2011 conference on Computer supported cooperative work. 2011: 309–312. S2CID 2038883. doi:10.1145/1958824.1958870.[1]
- ^ Predictions Show IT Budgets Are Moving Out of the Control of IT Departments. Gartner. [2012-04-25]. (原始内容存档于June 29, 2013).
- ^ RESULTATS DE L’ENQUETE SUR LE PHENOMENE DU "SHADOW IT" par Thomas Chejfec : http://chejfec.com/2012/12/18/resultats-complets-de-lenquete-shadow-it/
外部链接
- Industry's First Cloud Adoption and Risk Report Reveals Organizations Are Flying Blind as They Embrace Cloud Services (页面存档备份,存于互联网档案馆) Industry's First Cloud Adoption and Risk Report
这是一篇与科技相关的小作品。您可以通过编辑或修订扩充其内容。 |