云计算已然成为全球各组织机构约定俗称的标准。迈克菲从最新的一项研究中得出结论,93%的企业在使用着某种形式的云服务。超过80%的企业甚至在拥抱“云优先”策略,在这个策略中,应用程序被优先重视,企业将它们看作是一项服务,或者在云端而不是本地对其进行部署。那些优先考虑云的人认为,在不足1年的时间里,云服务的IT预算将降低20%,而那些没有严格采用这个策略的人则认为,降低相同比例的预算需要近20个月的时间。
然而,另一个“云化”趋势是,业务部门(LoB)正在寻求更大的自治权,并且在没有IT部门的参与下,其在技术购买方面的决策权也在不断提高。在企业IT不提供技术支持或牵涉其中的情况下,从功能领域预算中拨出款项并启动这些“影子IT”工程。
影子IT的使用在大幅扩大
当下,影子IT正被广泛接受,它是IT“消费化”和“商业化”更广泛的的产物。BYOD等模式使用户能够携带他们自己的设备和应用办公。通过使IT易获得和可消费,就像从一个插座中获取电能一样,云化加快了使IT商业化的态势。存储和计算资源是相当通用和可互换的,并且其提供者主要在价格上具有竞争力。眨眼之间,用户就可以委托新的服务,而不会产生任何摩擦或需要考虑底层基础设施。只需点击几下鼠标就可以完成了。
此外,业务部门被迫走向数字化、接纳新的方法学和努力获取更大的灵活性。坦白地说,雇员需要完成工作,并且“官方”IT经常不被看好,因为它们不够负责或缺乏必需的工具或能力。当然,这种观点不一定正确,但有时这就是人们对“官方IT”的看法和它的印象。因此,这鼓励了企业去建立一个属于自己的适当的环境。然而,这种趋势近期会发生改变吗?答案是,预测与此正好相反。
2017年,业务部门的采购员在软件上的支出将会比IT采购员的多出两倍。
Gartner预测,2017年全年,企业领导将会管理、定义和控制38%的技术采购。据IDC research报道,2017年业务部门的总支出将达到6090亿美元,相比2016年,增长5.9%。支出指南通过考察众多IT采购的资金来源,量化业务部门技术采购员的购买力,它也对业务部门的支出进行了规划,以使2015年到2020年间的复合年增长率(CAGR)达到5.9%。另一方面,IT采购员的技术支出在5年内计划达到2.3%的复合年增长率。到2020年,业务部门的技术投资将几乎与IT部门的技术投资达到同等水平。有趣的是,在IT堆栈的上端服务越高,业务部门进行技术投资的可能性越大。由于第三平台技术的快速应用,业务部门更少地依赖企业IT资助其技术购买。事实上,2017年业务部门的采购员在软件上的支出(1507亿美元)将会比IT采购员的(647亿美元)多出两倍。
企业积极应对安全性缺陷
IT部门正采取各种措施保护使用中的影子服务,然而,这似乎是一场艰苦的战斗。根据迈克菲的研究,拒绝访问未经授权的服务是企业的首要选择,但仅有27%的企业正在执行这个行动。大多数企业倾向于支持部门在服务选择上所采取的措施,如访问管理,预防数据丢失(DLP)和加密,或者与用户合作,共同找出一个可接受的解决方案。令人意外的是,22%的企业在使用云服务的过程中经历过数据外泄,但仅有24%的企业正在使用DLP和加密来保护数据,而这两种保护措施之间几乎没有任何关联。
然而,这只是冰山一角。Gartner估计,到2020年,企业所经历的三分之一的成功的攻击将发生在影子IT资源上。为消除不断增长的担忧,大多数IT部门正在努力采取校正行动,以降低风险。这些校正行动包括部署工具以获取可视性以及更多地采用主动的监测手段。迈克菲的研究表明,下一代防火墙已经取代数据库活动监测,成为了最常用的方法,其采用率从前年的41%增长到了49%。web网关的使用率从37%增长到了41%,云端访问安全代理服务(CASBs)的使用率从32%增长到了33%。同时,与财务部门进行合作或检查许可使用等被动监测影子IT活动的方法显著减少。大体上,仅有1%的企业没有在监测影子IT的使用,去年这个数字是5%。
CIO应当采取的应对措施
尽管影子IT能够带来更大的灵活性和更快的速度,并且可能刺激IT部门更具竞争力,但它也有可能导致冗余,变得无法控制。
管理和保护未知事物根本就是不可能的。但庆幸的是,CIO首先能够使用发现和数据保护工具来获取可视性和评估资产。而更具进步性和协作性的方法是,CIO和其业务部门的同事应当寻求一致性,允许双方表达各自的需求,并共同找出一个对优秀的企业公民进行具体化的双赢的提案。举例来说,这个双赢的提案可能包括服务黑名单或白名单——禁止那些违反政策的服务,以及增加使用那些没有违反政策的服务。建立一个实体企业市场是另一种选择,它能够给予用户更多的选择,应用户的请求自动开始部署,以及跟踪当下所发生的情况。推荐引擎也是很强大的,它能够帮助用户找到最符合他们要求的服务,同时确保这些服务能够满足一定的标准。换句话说,推荐引擎能够让用户自己控制预算,但需要他们在市场上可用的和不可用的服务方面给予指导。
CIO们需要听从用户群体的意见,并作为业务服务的建议者、促成者、中间人和协调者。他们不应被动地去响应影子IT。聪明的CIO会采取更加主动的策略:不断寻求努力来提高IT部门的竞争力,在供应商的同意下构建一个云生态系统,管理SLA以及不断增加服务目录。因此,用户在与企业IT公事时就能够了解他们能够获得的好处,而不会倾向于“不诚实。”
另一方面,聪明的业务部门领导明白,建立安全标准以及执行相关政策远不能阻止网络安全事件的发生。但数据外泄可能会长期对企业造成严重的损害,因此这些措施是保护企业免受网络威胁的重要组成部分。在数字化时代中,更是如此,因为所有的业务模型都建立在信任这个共同的基础上。
