影子IT简介

1 什么是影子IT

影子IT，又叫做灰色IT，简单的说就是不在IT部门管理的IT资产。

由于IT部门没有识别到此类资产的存在，就造成了流程和管控与组织整体策略不能保持一致，对IT及整个组织构成风险。

影子IT的产生绝大多数都是因为IT作为服务没能跟上业务的需求而造成的，例如存储空间，数据共享，软件工具等不能满足工作需要，员工采取非官方的措施来完成工作。

BYOD不属于影子IT，前提是IT部门已经意识到个人电脑和手机设备会出现在日常工作中（不管你是否对其做了风险控制措施，即便是接收风险）。但如果IT部门没有意识到BYOD所带来的风险，那它就属于影子IT的一种，因为影子IT是不受管控的风险。

影子IT会给组织带来风险，是不应该存在于组织内的。但它的存在说明了现有的政策需要完善，员工的正常工作需求没有公开化，只能在影子中，通过不能见光的方式完成工作。

作为IT人员要用积极的态度来面对，帮助业务部门明确IT需求，满足IT需求。不能责备或惩罚员工，否则，他们将不会说出因为管理漏洞而未经批准的做法，使潜在的风险越来越大。

2 影子IT有哪些类型

a. 非托管设备，最常见的就是各种非IT部门管控的设备。

包括，个人电脑、手机、物联网设备、Wifi接入点等

b. 非托管服务，IT部门未知的各类泛IT服务

主要就云服务和软件的外包开发服务。云服务SaaS已经可以直接作为商品提供给业务部门使用，这就会造成直接跳过IT部门的情况。同样，由于IT部门的人力和排期紧张，会有业务部门直接将业务需求打包给外部开发商，同样跳过了IT部门的管理。

只从业务角度出发，没有IT部门的参与，很容易疏忽IT风险评估和控制手段，引入了风险。

3 如何避免影子IT的存在

a. 提高员工的意识，影子IT的引入和使用都是源于员工的工作需求，他们最终的目的是为了完成自己的工作，所以疏忽了公司的政策要求，或者说绕过这些规定。

b. 简化流程，疏解IT的各种限制，已满足员工的正常工作需求。例如使用公司内部的IM文件传输工具来替代微信。这里说的疏解并不是完全放开，而是在受控的前提下。

c. 与业务部门多沟通，了解业务部门对IT的需求和期待，形成良好的网络安全文化。毕竟在组织中IT是为业务服务的。

d. 一些技术措施可以帮助识别影子IT的存在，包括802.1X网络准入控制，资产管理系统，网络扫描仪，云访问安全代理CASB，安全访问安全边缘SASE，统一端点管理UEM。