根據iThome 2016年CIO大調查結果顯示,今年超過有7成臺灣企業自評有影子IT,而且不分產業普遍都面臨了影子IT難題,甚至少數企業影子IT占自家IT支出的占比更超過50%。這些都在在增加了企業IT管理與資安風險的管控難度。
Gartner研究副總裁Andrew Rowsell-Jones建議,面對影子IT時,臺灣企業CIO得轉變領導風格,以影響力取代傳統的命令式管理。
這幾年,雲端、行動、大資料等技術的成熟,掀起一波企業數位轉型浪潮,也使得越來越多企業內部的非IT部門,如業務或人力資源等,能很方便利用這些新興技術,來加快應用導入的時間並降低成本。但這同時也帶來了IT部門管控不易的新問題,使得影子IT對企業的影響日益加劇,這樣的改變不只已發生在臺灣,國外許多企業也都面臨相同的困境。
甚至有時這些影子IT問題遠比CIO想像還更為嚴峻。例如,從思科最近一份影子IT報告就有類似的發現。
思科過去2年利用Cloud Consumption服務平臺,從美國、歐洲、加拿大、澳洲的思科企業客戶蒐集數百萬用戶的實際使用網路資料,來完成這份企業影子IT報告。調查結果發現,企業內部未經批准的雲端App數量,遠比起CIO原先想設想的數量還高出15~20倍之多,而這些影子IT支出多使用在雲端SaaS、儲存及備份,以及銷售等雲端應用上。而這些未受IT監管的雲端App,也將對於企業各種網路安全、業務及營運帶來風險。
Andrew Rowsell-Jones也針對臺灣企業CIO如何管理影子IT提出建議。他表示,企業CIO處理影子IT時,得先從轉變IT的領導風格下手,從傳統命令式管理的IT主管,走向影響式管理的IT領導者。要讓CIO具備影響式的領導風格,就在於不能只懂IT,更必須具備能掌握公司各部門業務流程與知識能力,才能夠用這些業務部門聽得懂的語言來做良性溝通。
應優先減少高風險的影子IT,而非一味根治
影子IT效應並不會消失,所以Andrew Rowsell-Jones認為,企業CIO在心態上不能一味只想阻止或根治,而是要評估影子IT的風險高低,來逐步減少高風險的影子IT支出。例如,先讓員工願意主動告知使用了哪些類的影子IT設備或正在進行中的專案,再針對高風險的影子IT部分來逐一處理。
而在與這些業務部門溝通的作法上,Andrew Rowsell-Jones建議,CIO得要以善意溝通來取代批評,除了讓業務部門了解採用後可能帶給公司的潛在威脅外,同時也鼓勵他們改用適當的方法,來提高安全性,或是使用更專業的服務,來降低影子IT可能帶來資料外洩等相關風險。
不僅如此,Andrew Rowsell-Jones也認為,企業IT部門在IT管理及維運之外,更肩負有對公司員工教育的責任,應培養員工建立針對影子IT該有的正確風險觀念。畢竟排除IT部門以外,企業內部其他員工對於IT往往缺乏專業,對於使用影子IT可帶來哪些嚴重的影響後果,也多欠缺足夠的認知。
因此,他表示,惟有透過教育的方式,讓企業員工在未來使用這些影子IT支出時,能有更深一層的安全考慮,而不會僅以提高業務執行效率或降低成本為優先考量。
Andrew Rowsell-Jones甚至以高齡年長者學習開車來當例子。一開始這位年長新手並不懂得如何開車,而CIO扮演的角色就如同駕訓班教練,持續在開車過程訓練他控制車輛行進方向,避免車輛遭遇到危險,再經過不斷指導後,才能通過測試並取得汽車駕駛執照,可是一旦駕駛沒有經過訓練的過程就貿然開上路,也將大大地增加意外事故發生的機率,例如出車禍等。
同樣地,如果一家企業CIO沒有告訴自家員工使用影子IT會帶來何種風險,而任由各部門自行運用這些影子IT費用的話,就像是讓未受過訓練的汽車新手上路一樣,因而易衍生出包括資料外洩及遺失等潛在風險。
所以,要減少影子IT的發生,「CIO就得善盡教育及訓練員工的責任,並協助員工建立該有的正確風險觀念,才能在面對影子IT時,仍可做出正確的判斷和選擇。」Andrew Rowsell-Jones表示。
不過,有別一般企業IT部門多將影子IT視為一種威脅,只有百害而無一利。但根據今年調查則顯示,有超過6成臺灣企業CIO反而是將影子IT當成是對於IT部門的一種機會,而非威脅。
對此,Andrew Rowsell-Jones也有相同的看法。他表示,對企業IT而言,影子IT的發生已是不可避免的現象,而且隨著越來越多企業應用上雲端,未來影子IT影響只會越來越大。
即使影子IT勢必會帶來各種安全風險的疑慮,但Andrew Rowsell-Jones亦認為,它也同時能真實反映各部門實際的IT需求,拉近IT部門與其他部門間的距離,甚至讓IT部門能直接與這些擁有影子IT的部門來聯手合作,運用彼此各自擅長的領域,來發揮出對於企業IT風險管控的綜效。
為何影子IT是威脅 1. 缺乏有效IT監督管理 2. 無法落實資安風險控管 3. 未能全面整合IT資源運用 4. 易衍生系統不一致問題 5. 管理權責畫分不清 為何影子IT是機會 1. 能真實反映各部門實際的IT需求 2. 有利於加深使用者對於IT依賴程度 3. 增加IT員工更多磨練的機會 4. 減輕IT瑣碎工作,專心加強IT專業技能 5. 可以凸顯IT人力的價值 資料來源:iThome 2016年CIO大調查,2016年1月 |