利弊分析——影子IT带来了什么威胁?

企业正规IT部门之外不受管束的IT小组有利也有弊,它们也不会很快就会销声匿迹。

  对IT部门而言,组织结构遵循与其他任何部门同样的原则:结构、流程、文化和控制,当然它们都紧紧围绕人员。CIO面临与其他任何部门主管同样的挑战:招聘和留住人才、促进团队合作、按功论赏、提高士气以及推动创新。

  不过,IT部门面临一个独特的挑战:如何有效地管理和控制公司里头到处冒出来的那些不受管束的影子IT小组,它们通常悄无声息、秘而不宣,不过让人好奇的是却自给自足、资金充足,还得到强有力的资助和支持。

  怎么会这样?在当今这个时代,信息治理强有力、管理控制很严格、安全策略很严谨,更不用说严加监管的运营预算以及日益重视集中式卓越中心(center of excellence),业务技术人员小组是如何形成这些未被察觉的专门知识绿洲(oases of expertise),逐渐形成为自成一体的强大的准IT部门?

  影子IT小组的支持者摆出了一个非常明显的道理:既然这年头有地区销售小组和附属销售小组,那么附属IT小组又有何错之有?商业智能供应商和从业人员喜欢把自给自足这个口号挂在嘴边,那么如果客户服务小组将自己喜欢的一款商业智能工具引入到公司,用它来分析和处理销售和客户关系管理(CRM)系统的数据,从而为该小组带来了敏捷性和自主性,为什么还要满腹牢骚、挑三拣四?

  为了弄明白为什么会出现影子IT,你还得回顾一下计算机行业的历史。

  影子IT的种子一定程度上扎根于严格控制的、集中式的大型机计算模式让位于小型计算机的时代——计算功能不是仅仅满足本地企业小组的需要,它们实际上可以编制预算和管理。个人计算机的出现给予了进一步的刺激;数据连接和适配器、QlikView和Tableau等易于使用的分析技术,当然还有无所不在的微软Excel,这些因素使得迅速获取自己需要的数据,并利用数据创建有意义、针对性的本地数据存储区和报告比以往任何时候都要容易和诱人。

  换句话说,要怪只能怪技术!但是这似乎不是事情的全部真相。

  影子IT小组确实有其用途,可以缩短请求IT资源与得到回复(尤其是请求提取数据或获得几份报告)之间的时间。但是它们也在暗中破坏了良好治理、降低了运营效率、带来了本可避免的费用,还加大了企业面临的风险。

  影子IT小组其实在好多方面存在缺点。

  采购优化和供应商管理:供应商擅长发现“直接联系到用户”的机会,然后以即便不是完全绕开、至少也是危害集中式企业采购实践的方式来销售产品和服务。结果削弱了IT部门从供应商那里获得更优惠价格、更合理采购条款的能力。

  企业架构:如果说贵企业设有企业架构小组(我真心希望贵企业设有这样的小组),也是为了定义最适合贵企业的架构标准和最佳实践而设立的,确保采购和部署的技术与架构方面的长远愿景相一致。对部署的技术不加管理,会破坏架构的一致性,因而导致将来所有相关人员面临棘手问题。实施不合标准的技术还会导致将来架构出现分歧,因而带来更严重的影响。(企业架构标准和策略的执行有多严格?这完全是另一个话题。)

  技术支持:技术支持(包括硬件、软件、网络、存储和电信)可能会耗用相当大一部分的企业IT预算,而且通常的确如此。技术管理方面天生存在着不确定性和复杂性;要兼顾基础架构很难预测的需求与无数的技术解决方案和基础架构管理实践,远比想象的来得复杂。而且成本与复杂性之间常常存在取舍问题;比如说,虽然使用虚拟化技术节省了成本,但是其代价常常是增加了管理虚拟机和存储系统以及部署在上面的应用程序的复杂性。

  企业风险:促进本地分散的数据和报告给信息安全和合规带来了重大风险。尽管我们在管理和分发信息方面有着多年的丰富经验,但是保持严格的信息安全难度很大、成本很高,这仍是很难实现的目标。“不受管束”或“地下”的数据存储库和报告机制增加了这一风险:信息可能得到了不适当的共享,而且与坏人共享。这种风险带来的后果就算并非完全灾难性的,至少也会很惨重,斯坦福医院的案例就是个佐证  那么,到底有没有解决办法呢?我们能够完全消除影子IT小组吗?

  这种可能性不大。如今的办公室工作大多数离不开信息,以至于几乎不可能满足和管制这些信息要求。不过,与影子IT小组共同定义明确的数据治理实践、开展有意义的交流,却是向这个目标迈出的第一步:兼顾个人和小组对信息的要求以及企业对信息安全和控制的要求。我们到底如何着手开展这项工作呢?这本身又是个话题。