根據(jù)CSA(云安全聯(lián)盟)的最新發(fā)現(xiàn)，58%的IT管理者正在使用未經(jīng)批準(zhǔn)的工具進(jìn)行協(xié)作與溝通。請(qǐng)細(xì)想一下，這不僅僅是幾個(gè)叛逆者的行為，超過(guò)半數(shù)本應(yīng)負(fù)責(zé)執(zhí)行技術(shù)合規(guī)的人員自己也在繞過(guò)規(guī)則。

為何會(huì)這樣?因?yàn)榕c實(shí)際工作流程不符的規(guī)則會(huì)被規(guī)避。

即使你可能認(rèn)為影子IT(指未經(jīng)正式批準(zhǔn)而使用的信息技術(shù))的話題已不再相關(guān)，我想就此提出異議：系統(tǒng)已經(jīng)進(jìn)化，影子IT亦是如此。十年前，是Dropbox和Google Drive。如今，則是未經(jīng)授權(quán)的智能體、開源框架或由大語(yǔ)言模型(LLM)驅(qū)動(dòng)的輔助工具，開發(fā)者們自行嘗試使用，然而，影子IT依然非常相關(guān)，只是環(huán)境發(fā)生了變化。技術(shù)不斷演進(jìn)，但人性追求便利——因此，IT領(lǐng)導(dǎo)者必須保持高度警覺，追蹤工具的使用情況，并將影子IT視為構(gòu)建人人可用工作流程的寶貴反饋。

最省力的路徑

我有一位密友多年前在一家制造公司工作，那里的工程師使用個(gè)人Google Drive賬戶分享他們的3D模型，因?yàn)楣痉?wù)器速度慢且審批流程需要數(shù)周，但截止日期并未因此取消，他們的領(lǐng)導(dǎo)在一次工作流程審計(jì)中發(fā)現(xiàn)了這一隱秘實(shí)踐，他們的反應(yīng)是?全面禁止外部云存儲(chǔ)，這并沒(méi)有真正提高生產(chǎn)力或士氣。六個(gè)月后，工程師們開始使用U盤分享文件。

領(lǐng)導(dǎo)層錯(cuò)過(guò)的不僅僅是安全風(fēng)險(xiǎn)，更是一個(gè)傾聽和學(xué)習(xí)的機(jī)會(huì)，他們本可以質(zhì)疑這種行為，并試圖找出為何選擇這條路徑，因?yàn)槊宽?xiàng)未經(jīng)授權(quán)的IT工具背后，都是一個(gè)過(guò)時(shí)、緩慢且失效的流程。

員工視此為完成工作更快捷的最省力路徑，而組織(尤其是IT領(lǐng)導(dǎo)層)可能視其為叛逆，但實(shí)際上，這不過(guò)是反饋，員工并非為了造成傷害而繞過(guò)系統(tǒng)，他們這樣做是因?yàn)椤肮俜健甭窂阶屗麄兪恕?/p>

為何影子IT持續(xù)存在

毫無(wú)疑問(wèn)，集中式IT系統(tǒng)提供了效率和管控，但當(dāng)工具(或其管理者)與用戶需求不符時(shí)，就會(huì)引發(fā)不滿：61%的員工對(duì)現(xiàn)有技術(shù)不滿意，認(rèn)為它們有漏洞且不可靠，IT支持不佳也起到了推波助瀾的作用：38%的員工因IT響應(yīng)緩慢而轉(zhuǎn)向影子IT，導(dǎo)致沮喪并渴望更高效的解決方案。

領(lǐng)導(dǎo)者常常執(zhí)著于假設(shè)性的風(fēng)險(xiǎn)，而忽視了實(shí)際存在的問(wèn)題，當(dāng)然，阻止像WhatsApp這樣的工具可能防止理論上的數(shù)據(jù)泄露，但同時(shí)也犧牲了敏捷性和士氣。Beezy的研究還顯示，盡管85%的員工認(rèn)為公司監(jiān)控他們的活動(dòng)，他們?nèi)匀灰蕾囄唇?jīng)授權(quán)的工具，這表明員工愿意冒險(xiǎn)以更高效地完成工作。本質(zhì)上，員工選擇了風(fēng)險(xiǎn)更高但速度更快、更便捷的方式，而非更安全但合規(guī)的方式。

想象自己是一位公園景觀設(shè)計(jì)師，你要設(shè)計(jì)人行道和斑馬線，盡管已精心規(guī)劃了結(jié)構(gòu)，但突然開始注意到新踩出的小徑。這里，你有三個(gè)選擇：

1. 你可以選擇懲罰那些不遵守規(guī)則的人。

2. 你可以選擇忽視這些被踩出的小徑。

3. 你可以在那些人們選擇無(wú)視規(guī)則的地方增設(shè)人行橫道，因?yàn)樗鼈儽蛔C明是最舒適且“經(jīng)過(guò)用戶測(cè)試”的。

這個(gè)三難選擇比某些人想象的更為常見，現(xiàn)在，讓我們將這個(gè)問(wèn)題轉(zhuǎn)移到如何處理影子IT上，選項(xiàng)包括：

• 限制(傳統(tǒng)方法)：阻止已授權(quán)的工具，執(zhí)行公司范圍內(nèi)的政策并監(jiān)控合規(guī)性。短期內(nèi)幾乎保證能獲得收益，但長(zhǎng)期來(lái)看會(huì)失去信任和士氣。最終，出現(xiàn)不同規(guī)避手段的可能性極高，如同哈利法塔一樣高聳。想象一家開發(fā)公司阻止訪問(wèn)Claude，理由是潛在的代碼泄露。開發(fā)者可能會(huì)遷移到ChatGPT、Gemini或Copilot，甚至更糟的是，開始使用個(gè)人電腦。再次——選擇更省力的路徑。在政府或軍事背景下，限制可能有意義，因?yàn)樾孤讹L(fēng)險(xiǎn)可能帶來(lái)國(guó)家層面的后果。但當(dāng)一家私營(yíng)企業(yè)嘗試應(yīng)用同樣的限制時(shí)，就變得過(guò)分了。你為了一個(gè)可能永遠(yuǎn)不會(huì)發(fā)生的假設(shè)性風(fēng)險(xiǎn)而犧牲了敏捷性。
• 忽視(被動(dòng)方法)：視而不見：避免沖突，但風(fēng)險(xiǎn)加劇。由于影子IT解決方案的普及，完全忽視它們會(huì)使公司或客戶數(shù)據(jù)處于不應(yīng)有的風(fēng)險(xiǎn)之中。潛在的后果無(wú)疑比直面問(wèn)題更加損害嚴(yán)重。忽視它，你就是在忽視你最聰明的人才和潛在的創(chuàng)新。
• 接納(適應(yīng)性方法)：找出工具為何受歡迎的原因，然后安全地整合它們。例如，如果一家物流公司注意到司機(jī)使用Waze而非批準(zhǔn)的路線規(guī)劃軟件，他們可以與Waze合作開發(fā)一個(gè)帶有貨物追蹤功能的定制企業(yè)版，這對(duì)效率和士氣都有好處。實(shí)際上，在Trevolution，團(tuán)隊(duì)被賦予探索和選擇自己智能體的自由;我們沒(méi)有圍繞開發(fā)者必須使用什么做出集中決策。每個(gè)人都被賦予實(shí)驗(yàn)和測(cè)試自己技術(shù)棧的自由。然后我們舉辦研討會(huì)來(lái)交叉?zhèn)鞑プ罴褜?shí)踐。從此，在團(tuán)隊(duì)會(huì)議中，創(chuàng)新發(fā)生了。

構(gòu)建更好的路徑

監(jiān)控工具可以檢測(cè)到未經(jīng)授權(quán)的工具，IT領(lǐng)導(dǎo)者可以評(píng)估其影響而不必犧牲創(chuàng)新，零信任架構(gòu)也有所幫助，與其直接禁止外部應(yīng)用，不如限制它們對(duì)敏感系統(tǒng)的訪問(wèn)。

本質(zhì)上，我并不將影子IT視為需要解決的問(wèn)題;相反，它是一個(gè)需要解讀的信號(hào)，這(并且應(yīng)該)作為一個(gè)警鐘。許多組織至今仍通常依賴IT團(tuán)隊(duì)來(lái)尋找、研究和測(cè)試可能成為公司標(biāo)準(zhǔn)的新IT工具，但是，如果解決方案來(lái)自底層而非通常的頂層設(shè)計(jì)呢?如果組織根據(jù)員工(即實(shí)際用戶)認(rèn)為舒適、易用且最終對(duì)工作產(chǎn)出有用的工具來(lái)重新考慮和選擇工具呢?傾聽反饋!

在Trevolution，我們注意到一些旅行代理人使用自己的電子表格模板來(lái)追蹤客戶偏好和預(yù)訂變更，繞過(guò)了給他們使用的CRM系統(tǒng)，這樣，他們的工作速度更快了，我們沒(méi)有責(zé)備他們(這可能會(huì)發(fā)生……)，而是深入探究并意識(shí)到我們的CRM系統(tǒng)對(duì)于實(shí)時(shí)編輯來(lái)說(shuō)不夠直觀。通過(guò)讓服務(wù)年限最長(zhǎng)和最短的代理都參與進(jìn)來(lái)，觀察工作流程的不同，我們找到了解決方案并調(diào)整了CRM系統(tǒng)。

棘手嗎?不。耗時(shí)嗎?非常耗時(shí)，但最終，這是一個(gè)自下而上的解決方案，服務(wù)于整個(gè)組織。

最終，目標(biāo)不應(yīng)是控制每一步，而是設(shè)計(jì)出人們不需要也不愿離開的“公園”。問(wèn)題不在于影子IT是否存在——因?yàn)樗_實(shí)存在——而在于組織如何回應(yīng)，這取決于你和你的組織來(lái)決定。因?yàn)楫?dāng)人行道不滿足需求時(shí)，草地總會(huì)被踩出小徑。