二十年前,影子IT几乎还未引起大多数CIO的重视(事实上,当时CIO才刚刚出现,CISO这个角色也才刚刚出现)。当时大多数局域网还没有连接到互联网,即使连接到互联网,也几乎不用担心黑客入侵公司网络。
当影子 IT 确实出现时
它是超级用户的权限,他们得到副总裁的支持,可以绕过 IT 并设置副总裁所需的基础设施和应用程序,以产生其老板所要求的结果。
影子 IT 出现的另一种最常见方式是,工程师、研究人员或科学家会绕过 IT 部门来获取他们想要的技术,因为 IT 部门(或其老板)说他们无法 购买电话营销数据 获得该技术。
这两个例子的共同点是,参与影子 IT 的人都是技术娴熟的个人,他们有能力和手段来采购、配置、协调、管理和运行自己的技术堆栈,或者至少可以自行解决应用程序问题。
20年后
如今,情况已不复存在。随着 IaaS、PaaS 和 SaaS 的出现,绕过 IT 的唯一条件就是有意愿去做。根据AV 公司 McAfee和其他研究,对于内容协作和消息传递工具(例如电子邮件、项目管理、文件共享等)而言,这一点尤其重要。大多数云 SaaS 供应商提供免费增值服务,让普通企业用户可以轻松绕过 IT 设下的任何障碍。
当今的例子与过去的例子之间的共同点在 用户生成内容示例 于IT部门的无知。过去和现在一样,如果IT部门对此一无所知,那就不是影子IT,而是流氓IT。两者之间的区别不仅仅是语义上的——尤其是在新冠疫情推动的云应用激增的背景下。
俄亥俄州AAA公司首席信息官
情爆发前,IT部门允许业务用户找到并使用自己喜欢的应用程序的意愿就已迅速改变。疫情只是加速了这种范式转变。
“让我们听听这个项目是什么,相信我们,”他在谈到IT部门在审批部门级技术项目方面的作用时说道。“我们手头上有很多工作要做。我们会听取……给你一些建议,如果看起来确实不需要IT部门介入,[我们就会批准]。”
如果IT部门知道业务伙伴在做什么,但无需参 比利时商业指南 与日常技术管理,那么这就是影子IT:一个已知的技术栈,在IT部门直接监管之外运行。其他一切都是流氓IT。
如今,IT 分为三种截然不同的类型。一种是 IT 负责协调、配置和管理的技术(传统 IT),另一种是影子 IT 和流氓 IT。它们在成本、管理时间和精力以及风险方面对业务的影响各不相同。
流氓IT在安全性和合规性方面对组织构成最大风险。影子IT也紧随其后,如果管理不善,可能会造成巨额损失。即使是IT部门也会犯错,所以没有万能药。但他们至少知道哪里出了问题,通常也知道如何解决。