为了尽量减少企业中影子IT风险, IT专家发现,最好的方法就是秉承那句古老的谚语,“如果你不能打败他们,就加入他们”。
一直以来都存在这样一种现象,至少跟PC的历史一样久:业务部门和最终用户决定挣脱企业IT的限制来照自己的方法做事。如今,部分得益于云提供的广泛产品,这种现象——现在被称为影子IT,正在经历一次重大的反击。
尽管建立一个影子IT战略的挑战性和35年前一样,如今对组织来说越来越普遍的一个做法是接受,而不是抗争。
“如果你不能打败他们,就加入他们。”Joe Fuller说,总部位于弗吉尼亚州Norfolk的销售公司Dominion Enterprises副总裁兼CIO。他的公司主要生产印刷广告杂志,如Auto trader,现在运维26个站点上,包括Homes.com和Boattrader.com。而这又意味着要运营2个数据中心,因大部分站点都托管在这两个数据中心上。
“我们不同影子IT战斗,我们试图拥抱它,”Fuller说。他的部门提供了从维吉尼亚州Ashburn附近的数据中心到亚马逊网络服务(AWS)和微软Azure的直接连接。Dominion内部托管费率则是模仿AWS的费率。“当我们把托管账单发送给我们的内部业务客户时,我们也会包含一个他们所有云花费的回顾,也让企业主管可以看到他们在公司内部和外部的花费,”Fuller说。
Fuller还培训公司自己的AWS和Azure的系统和网络工程师,这样他们可以对在IT托管环境之外使用那些服务的开发团队有所帮助。
创建影子IT战略的四个关键步骤
影子IT在密歇根大学Ann Arbor分校是一个长达十年之久一直以来的问题,Tim Rolston,该机构的前IT主管说。所以他的团队最终变得善于管理和整合影子IT与官方IT的。基于这一经验,Rolston给出了创建一个影子IT战略的四个关键步骤。
1. 创建一条采纳的路径。大多数用户部署影子IT系统是用来填补官方IT系统还没有解决的需求。Rolston称这种影子IT系统为“差距的解决方案。”
“当你发现一个在你的环境中成功运行的差距解决方案,拥抱它,资助它,将吸收进你的服务目录中去,如果它提供了足够的价值,”Rolston说。
2. 考虑调整现有服务。有时,影子应用仅仅因为对用户来说要比你的IT服务目录里所提供的服务更好用。因此,“你应该考虑改善你[自己]的服务,专门解决那些会促使影子服务使用的问题点”Rolston说。如果可以,在这个过程中让影子IT的最终用户也参与进来,并鼓励使用调整后的IT服务。
接下来,同整个用户群沟通说明你正准备改变现有的服务,为什么呢。“这是肯定那些做出影子系统的人的成绩,”他说。“这将鼓励其他人带着他们的需求来找你,而不是创建更多的影子系统”。
3. 在你不能为最终用户提供更好服务的情况下,不要“扼杀”影子IT。有一种可能是你根本无法提供比一个小规模的影子IT系统所能做得更好的产品。如果是这样的话,让影子应用继续运行,并提供任何你能负担得起的支持或资助。
如果你无法负担,请坦率表明,Rolston说。“这将避免该影子IT产品的使用在你的组织里隐藏得更深,以至于发现他们几乎成为不可能,”Rolston说。
4. 颁发“自主研发IT”奖项。组织应该对最佳自主研发IT系统的最终用户给予认可或表彰,或者那些给出改善现有IT服务最佳建议的用户。“这将鼓励人们在选择走‘影子'路线之前带着他们自行开发的系统来找你,”他说。
虽然上述四个步骤不一定对每一个组织都适用,但他们“帮助我们的用户看到我们和他们是一条战线的,而不是用一种‘我们对抗他们’的心态,”Rolston补充道。
通过改进消除影子IT的风险
阴影IT的存在可以被当作该IT部门不能满足业务目标的一个很好的指标。因此,重点不应该是对影子IT的管理或者是根除它,而应该让其失去存在的必要性,Ben Piper,一名位于佐治亚州亚特兰大的Ben Piper咨询公司的作家兼IT顾问说。
当创建影子IT战略时,IT团队应该寻求每个业务请求背后的目的。当他们收到一个安装新软件的需求时,应该问一下:“为什么?”,了解业务真正的需求。“很多时候,IT将自己定位成一个服务提供方,而忽略了其在企业中的咨询角色。IT经理必须能够在业务目的层面上解释IT的每一项花费-而不是提供的服务上,”Piper说。
最后,请记住,影子IT风险一直都存在,并将继续存在,位于旧金山的安全咨询公司New Context的安全服务副总裁Andrew Storm表示。这意味着IT在建立一个影子IT战略时所能做的最好的事情就是沟通。“走出你的工作间,去和你的用户交谈;从建立和培养人脉到了解你的用户需求和挑战还有很长的一段路要走,”他说。