您还未登录! 登录 | 注册 | 帮助  

您的位置: 首页 > 软件开发专栏 > 网络/安全 > 正文

影子IT给企业带来致命安全隐患如何通过七个步骤将其转化为竞争优势

发表于:2023-11-24 作者:Isaac Sacolick 来源:企业网D1Net

向IT领导者询问他们对影子IT的挑战时,大多数人会列举使影子IT名声不佳的各种安全、运营和集成风险,但对于少数人来说,在没有IT参与的情况下为部门的技术需求提供资金、采购和管理的更深层次的挑战是错失了更好地参与和满足部门技术需求的机会。

这并不是要淡化影子IT的内在风险,根据EnTrust的一份报告,77%的IT专业人士担心影子IT的原因很充分,毕竟,41%的员工在IT可见性之外获取、修改或创建技术,在安永全球第三方风险管理调查中,52%的受访者在过去两年中由第三方导致停机-38%的受访者报告数据泄露。

尽管如此,流氓IT和影子IT之间仍然存在着巨大的鸿沟,这一点在我最近主持的一次Coffee with Digital Trailblazers活动中得到了讨论。当业务领导者不信任IT并故意绕过协作和合规时,流氓IT就会出现,而影子IT通常不那么具有对抗性,这是因为缺乏如何与IT打交道的知识,或者正如Kissflow的CPO Dinesh Varadharajan所说的那样,“缺乏IT支持来解决企业用户面临的特定问题。”

这就是将影子IT作为改善协作机会的IT战略可以产生深远影响的地方,这绝不是一个快速而简单的转变,它需要同时解决等式的两个方面:IT如何管理技术请求的需求方,以及如何根据适当的解决方案审查技术要求的供应方。以下是指导这种转变以获得竞争优势的七个步骤。

1、扩展你的业务关系计划

Fluree的首席执行官兼联合创始人Brian Platz表示:“企业通常不一定通过消除影子IT来解决影子IT问题,而是通过官方渠道找到方法将这些未经批准的IT解决方案纳入其中,确保安全性、合规性和有效管理,同时仍允许最初驱使员工跟踪IT的创新和灵活性。”

但要做到这一点,IT领导者必须首先通过扩大他们与业务领导人接触的范围、增加他们的对话频率以及更深入地研究员工工作流程,来揭示阴影中正在发生的事情。

作为这些努力的一部分,大型企业通常配备业务关系经理,让他们在理解部门技术需求并将其转化为需求和业务案例方面发挥关键作用。中小型企业可以通过制定与企业和利益相关者接触的沟通计划、建立构思流程来捕获新的业务需求以及利用设计思维方法来弥补这些差距。

2、设定参数,强调协作

要解决影子IT的一个根本原因,CIO还必须建立用于评估、采购和实施部门技术解决方案的治理和交付模型,同样重要的是与利益相关者沟通如何加入技术请求,分享部门技术需求的优先顺序,记录寻求新技术时的利益相关者责任,并提供活动计划的状态。

如果没有强大的交付模型和沟通计划,沮丧的业务利益相关者更有可能购买并尝试在没有IT参与的情况下实施技术解决方案。购买和实施技术解决方案需要时间,因此CIO打击影子IT的最简单工具是让利益相关者相信协作符合他们的最佳利益。

要做到这一点,IT领导者必须认识到与人们联系的重要性,并让他们相信IT已经准备好与他们合作。

SADA的副首席技术官Brian Suk表示:“人的因素是最重要的。”人们普遍希望遵守政策,但过于严格、制造太多摩擦往往会导致影子IT。经常就政策及其原因和好处进行清晰和经常的沟通,创造反馈和协作的文化,并灵活并愿意随着用户需求的发展而调整政策。

3、对风险进行分类,对机会进行优先排序,促进财务控制

影子IT让IT领导者有机会重新评估他们围绕部门技术解决方案的战略,这应包括IT在以下方面的计划:

  • 解决现有影子IT实施问题
  • 与业务团队合作开发新的解决方案
  • 增强和支持现有应用程序和技术
  • 提高利用率并改善员工体验
  • 获取指标并展示交付的业务价值

正式和透明的轻重缓急程序也很重要。CIO需要一种方法来捕获轻量级业务案例或预测业务价值,以帮助确定新机会的优先顺序,同时,CIO、CISO和合规官需要建立风险管理框架,以量化影子IT何时产生业务问题或重大风险。

CIO应该在这方面与CFO合作,因为当部门在没有IT的情况下采购自己的技术时,通常会有更高的采购成本和实施风险,CIO还应获得企业架构师关于可重用平台和公共服务在哪里产生成本和其他业务收益的指导。

Infosys Cobalt的执行副总裁Anant Adya说:“影子IT经常浪费资源,因为它没有为使其可重用的软件生成文档。”具有洞察力和深远意义的治理,加上详细的应用程序特权,阻碍了影子IT的发展,有助于建立协作运营模式。

创建需要CIO和CISO在技术支出方面进行协作的技术采购控制是减少影子IT的重要一步。

4、建立低代码和无代码的治理模型

前三个步骤有助于将影子IT纳入其中,但它们并没有解决这样一个事实,即IT部门很少有足够的人员、专业知识或预算来完成所有优先计划。

在这里,CIO可以通过促进公民发展技术和为低代码和无代码解决方案建立治理模型来减少IT供应方的缺口。无代码治理模型应涵盖审查APP想法、角色和职责、集成要求、发布管理实践、文档要求和其他要求的流程,以确保可靠和安全的业务流程。

无代码解决方案在解决影子IT方面具有显著优势,因为它们将实施和支持工作转变为业务责任。无代码解决方案可以帮助企业用户将电子表格转换为工作流、开发知识库和构建SaaS集成。

然而,要取得成功,CIO需要治理模型和解决方案架构计划,以帮助选择低代码和无代码平台,就何时使用这些平台提供指导,建立开发生命周期,并确保持续支持。

Varadharajan说:“战略框架应该根据三个标准对用例进行分类:业务复杂性、技术复杂性以及安全性和合规性要求。”在这些标准中排名靠前的任何用例都应由IT部门管理,其余的则可以委托给业务部门。

5.发展公民数据科学和自助服务能力

CIO已经接受了公民数据科学,因为数据可视化工具和其他自助式商业智能平台便于业务人员使用,并减少了IT部门过去支持的报告和查询工作。最成功的项目不仅仅是通过在公民数据科学项目中建立治理,同时采取措施减少数据债务来推出工具。

当CIO促进主动数据治理并建立数据集成、编目和质量实践时,公民数据科学可减少影子IT,有时可能需要部门特定的数据需求和工具,但是,拥有强大的数据功能和标准化的数据平台,使业务、数据和技术角色的员工能够在决策中利用数据,有助于减少工具泛滥和影子计划。

6、迭代并传达GenAI策略

影子AI是下一个前沿,各部门及其员工已经在探索GenAI工具,并冒着暴露专有和其他机密信息的风险。风险投资公司红杉资本最近的图表显示,有多少GenAI工具正在进入市场,以支持销售、营销、设计、软件工程、客户支持、法律和其他部门需求。

这是一个影子活动的成熟领域,特别是因为高管们渴望看到他们的企业使用GenAI能力来识别突破和效率。怎样才能阻止部门负责人或员工尝试新工具并启动另一个影子计划?

在适当的情况下,从监管的角度来看,CIO应该避免对尝试GenAI说不。如果部门领导一再听到没有,他们会考虑在没有IT、安全或合规协作的情况下探索影子解决方案。

CIO还应该创建、沟通和迭代更新GenAI战略,以捕捉短期和长期前景。短期计划应该具体说明哪些部门应该进行试验,哪些业务成果和机会,以及可以使用哪些工具,可以涉及哪些数据,以及他们应该在哪里报告他们的试验学习。CIO还应该更新他们的数字转型战略,以考虑大型语言模型将如何影响他们的行业,以及客户体验在哪些方面需要人工智能驱动的全面改革。

7、培育共创文化

最后一步可能是最重要的,应该与其他六个步骤并行管理。

影子IT不仅仅是一种风险和错失的机会——它代表着“业务”和“IT”之间的运营和文化鸿沟,最高CIO们的目标是消除这种鸿沟。缩小差距需要通过与业务利益相关者建立关系、培养对客户和员工需求的同理心以及改善沟通来扩大技术企业的业务敏锐性,它还要求CIO转移遗留的技术能力,以便在销售、营销、人力资源和其他部门工作的精通数字的员工拥有批准的工具和受管控的流程,以满足他们的技术需求。

遵循这七个步骤的CIO可以通过满足更多部门的技术需求、降低影子计划的风险并使更多的业务人员能够自助服务其工作流程和数据需求,将影子IT转化为竞争优势。