和平共处五项原则_与影子ＩＴ和平共处

　　了解影子IT的运作方法，能够帮助IT部门重新树立起威信。 　　IT技术会因公司业务性质、公司的守法程度和其所能承受的风险压力不同而应用千差万别，但有些IT法则是放之四海皆准的。
　　所谓影子IT是指，员工不再单纯地从本公司IT部门，而从其余地方如网络上获得IT技术，这就为公司的IT运营带来诸多问题，这些IT技术就称为影子IT。做好了以下几点就能够和影子IT和平相处，还不至于影响到IT部门的权威性，可能的话，还能够帮助IT部门重新树立起威信。
　　
　　了解影子IT的运作
　　
　　也许公司的员工在使用他们自己选择的技术，也许在使用公司所指定的技术，但他们所使用IT的具体方法是CIO意想不到的。BCD Travel公司的IT资深副总裁Brian Flynn说，他研发软件监控网络内容后发现，公司员工不仅使用消费IT工具（如即时短消息），而且他们还明目张胆地使用IT提供的技术在做有明显安全风险的事情（如来回发送敏感信息）。
　　本能驱使CIO要同这些行为做斗争，通过立法阻止影子IT，留着它们就是危害安全。但是一旦同影子IT公开宣战，这就会变得混乱，使得它们转入地下，反而更难监管，也更难进行协商。相反，要把这种事情看做是一个机会，促使CIO去找出为什么所提供的IT服务满足不了用户的需求。
　　
　　鼓励创新
　　
　　CIO应该从容地把用户的地下行为转到地面上来，第一步就是要转变态度。
　　“我们习惯于把出格的人看做麻烦制造者。” Flynn说: “但是我们必须认识到，也许只有他们知道他们在谈论些什么，而我们应该尽可能地加入他们。”
　　永远为用户提供一切他们想要做事情的安全方法。“当用户习惯听IT部门说不，长此以往，他们将选择不再告诉IT部门想做什么了。”Continental公司的Gold说。因此，IT部门必须学会永远说是的。
　　John Lincoln Health Network的CIO Rob Israel曾专门研究过如何树立这种观念。
　　“我是IT部门唯一有权利说不的人。”他说。相应地，他的员工们只有三种选择: 同意、研究一下或者转给他。按照Gold和Israel的说法，培养一种说是的习惯有助于驱使用户听从CIO的意见。这使CIO有机会了解用户的真实想法，并可以想出一个好的解决办法而不是仅仅向安全妥协。
　　影子IT的项目表面看来不可靠，但要承认一个事实，那就是用户这么做总是有原因的。他们把重要的文件电邮给自己，因为他们需要到其他地方做一件事，这是最直接的保存方法。IT的任务不是如何阻止用户进入和移动文件，而是要研究出一种对策，那就是如何让他们能够把文件带回家既不会导致公司安全问题又比他们自己的方法简单可靠。
　　Gold说，大部分影子IT只是为了解决一些简单问题，只要CIO们愿意，就可以很方便地降低这种风险。例如，Gold发现员工用优盘把资料带回家后，他并没有出台新规定禁止，而是为他们使用的优盘加密。用户的经验不会改变，“要同时兼顾到安全和用户如何工作”。
　　
　　威胁是否存在
　　
　　培养IT部门“肯定”的权威性，这就是一方面能够分辨哪些影子IT项目是真正的安全危害，哪些仅仅是动摇了IT作为唯一的技术供应商的地位。Camden Property Trust实业公司的CIO Maria Anzilotti说，她从没有禁止使用即时短消息软件，即使知道大部分人使用并非为了工作。“我们研究了风险后认为这并不值得禁止。”她说: “很多人是用来与儿女们联络，这很快捷又不像电话那样易受干扰。”
　　单纯地禁止一项影子IT的应用程序而不是深度研究它究竟是怎样融入到公司运作中，其结局很可能出乎意料，并会带来不好的后果。Gold关闭了公司的即时短消息服务后，他接到燃料管理部一名员工愤怒的电话，因为该员工是通过即时消息软件同航空公司商议飞机燃油价格的。
　　
　　不要轻易创造规则
　　
　　其实提供数据准入权和决定谁有权接触数据之间是有明显区别的。Manulife公司的Harmer说，IT常常将这两者的界限划分模糊。
　　“IT部门拥有网络架构的权利，但是数据是公司的。”IT部门以他们自己的判断给员工提供数据权限而影响了整个公司。Harmer说: “所以说，不能一概而论地抱怨所有用户。”
　　Israel是Lincoln Health公司的CIO，每天都要处理这类事情。在他们公司，会有护士们上网搜索“乳房”，然后也许是财务部门的某人也在搜索。但是如果Israel安装过滤软件以滤掉色情网站的话，护士们就不能够搜索到此类信息。但是对他们公司来说，员工们又必须获得这些信息来治疗患者。IT的解决方案是提供工具，让经理决定哪些信息是他们工作需要的。
　　
　　做好隐性工具
　　
　　大部分公司都有长长的员工守则并要求每个人都必须遵守。但是守则不会监视谁在执行。
　　“我负责起草所有规章制度，但我仅仅清楚了解其中两项。”Israel说: “因此IT部门希望所有用户都了解这些规定是不合理的。我们可以根据情况在不违反规定的基础上作一些变化。”
　　Manulife公司的Harmer说，关键在于研究出一种保护数据安全的方法，而不是去探究用户如何获得数据或者用户使用数据做什么。
　　“我的处理方式是最近距离地控制数据。”他说: “不能单纯依靠防火墙，而是要弄清楚我最终想要保护的是什么，然后再做恰当处理。”
　　这个方法使得Continental公司IT部门在设计系统时也有相应的变化。Gold解释说: “我们90%的应用软件包含有敏感数据。” 从用户通过软件接触数据开始，所有这些数据就应该受到保护。但是当经理为了对比不同地点的收入时，他将数据拷贝到电子表格中（如Gold所言，这属于例行公事），这新信息就会有了一定的风险。为此，Gold鼓励IT部门给应用软件加密或其他保护。
　　
　　提高效率
　　
　　长期以来，由于IT中央系统的控制，员工的工作效率很高。“但是其实IT系统跟人们真正想做的事情之间是有明显差别的。”Babson公司Anderson说。
　　“过去常常有些用户求助于我，好像我是万能的IT神仙。” Israel回忆起“那些美好的过去”。但现在，神已经死了，IT的权威和意志再也不能从如何控制用户使用技术中体现出来。
　　“IT部门不能只依赖IT，” Gartner公司Smith说: “员工总是在变。越来越多熟悉技术的年轻人加入进来，他们不会只等着公司CIO给他们发放应用软件。如果想保持第一，永远做最聪明的，就不能光指望上司。”
　　Smith建议，CIO们考虑问题的时候要走出本公司的局限。网络上有很多工具能够满足用户的需要却不花费公司一毛钱。
　　这是否意味着以后公司的IT系统会变得鱼龙混杂？绝对会这样。这是以用户为中心的IT系统的必然结果。但是混乱总比效率低下好，“能够控制的混乱永远不会是问题。” Gold说: “如果要IT部门富有创新和改革精神，以赋予IT更强的竞争能力，制造点混乱不失为好方法。”(丁小鱼编译）
　　
　　【CIO禁止他人使用一项无伤大雅又不影响财政预算的技术时，他以为自己是英明的决策者，理当受到崇拜。殊不知，这样做反而可能引起用户的反抗。】