業務對SaaS應用不情不愿的采納會對CIO有怎樣的影響?脫下隱形斗篷的影子應用將成為一個千載難逢的實現業務目標,加強安全性能并節省資金的機會。
CIO們往往會陷入兩難境地。首先,業務用戶采用的SaaS應用并不受控制且未經批準。如果對業務使用基于云的應用視而不見的話,CIO們可能會讓他們的企業面臨數據泄露方面的更大風險,根據Ponemon Institute最近的一項研究,該風險會擴大三倍以上。
而另一方面,取締影子應用的話,風險就會被貼上“CIO說不”的標簽,就算為了信息安全,這也是一個CIO不能承受之標簽。從Salesforce和LinkedIn到Dropbox和Gmail,以至于每一個企業功能的局部解決方案,由業務委托卻未經批準的SaaS服務正在幫助員工提高效率,生產力和創新能力。那么,CIO們要如何開始發展SaaS的風險策略,使其規避風險但又有所益助?
“透明度是獲得治理戰略的第一階段”,CIGNA Corp前首席信息安全官Craig Shumard說,“未知事物將會咬傷你。”
CIO們需要整理一份所有的云應用程序的清單。發現的過程完成后,配合業務領導的IT部門必須“做一個有意識的你與哪個更融洽的決定,”Shumard說,“然后引導人們做出良好的行為。”除了指出供應商的風險,IT可以戰略性地利用清單來照亮冗余,從而節省公司資金,并指明可以在哪方面縮減IT,他說。 當然,這種提醒說起來容易做起來很難。
六月發表的Ponemon Institute研究報告,調查了大約600名熟悉他們的公司云服務使用情況的美國IT從業者。受訪者認為,近50%業務使用的基于云的應用程序是對IT部門不可見的,其中包括36%被視為關鍵業務的半數。
另外,發現哪些員工是從行業預計5000下載并對云服務計數的是一個不可完成的任務。很多情況下,基于云的應用程序都是免費的,所以甚至不需要信用可就可以完成下載,這意味著不僅是IT部門,甚至公司的采購辦公室也不清楚這些下載。此外,當今由IT規劃的云計算環境,包括應用的安全適用性,即將發生改變。而且,就算有風險的影子SaaS應用被識別出來,也不要過分期待保證企業就緒的云供應商的幫助。
Dropbox驚喜 Larry Bolick是Aquent首席信息官,這家總部位于波士頓的市場營銷和人員配備公司在世界各地都有辦事處。與“CIO說不”相反,Bolick充分肯定云應用基于日常和長期的商業價值。
2009年,公司的從傳統的電話系統遷移到基于云的VoIP功能促成了一場業務的轉型:由于系統允許Aquent使用單一的電話交換機統一處理全部的北美辦事處,員工可以通過業務領域而不是地理區劃進行分組,大大提高了公司服務其財富500強客戶的能力。云進軍累積的商業利益導致公司迅速決定將其前臺辦公IT服務遷移到谷歌,亞馬遜和其他云服務提供商。
“因為較早遷移到了云服務中,我們不得不思考SaaS服務的風險,” Bolick說。在其云計算的環境下,大部分公司的“實驗者”,他這樣稱呼他們,生活在谷歌的世界中。
“他們會嘗試谷歌小工具,諸如此類的東西,但這都在我們的領域的范圍內。從這個角度看,我們處于合理而良好的狀態中,”他說。
然而,這并不意味著IT對影子應用的免疫。最近一封來自Dropbox的郵件通知Bolick說,他的用戶在該流行文件共享服務商處有幾十個賬戶。“我們認為你會希望了解這一點,他們說,并建議是時候研究一下企業賬戶了,”他回憶說。
Bolick自己也做了調,并證實了Dropbox的數據。
“大量的Dropbox使用如雨后春筍般出現,所以我們推出了一個企業賬戶。這是一個非常有效的銷售模式。”(現在該數字介于150和200之間)新的企業帳戶聲明中也提到,員工可隨意因個人原因使用Dropbox。“我們并不在意,”Bolick說。然而,當Aquent的員工因業務需求使用Dropbox時,則必須使用企業帳戶。讓現有的Dropbox用戶從業務數據拆分出他們的個人資料將是一個“艱巨的任務”,部分原因在云供應商,理由是隱私問題,“其并不會特別熱心于幫助你完成這一工作,”Bolick說。
“他們說,要由用戶自行分開數據。” 成效卓著的治理 盡管如此,Aquent在 SaaS治理方面仍然遙遙領先。Bolick表示,他在公司決定轉移到云服務之后的第一個也是最重要的決定,就是意識到只有IT不能管理業務對SaaS應用的使用。“CIO說了什么,會有特定的偏差,而IT則被看作是自成一體的。”
相反,Bolick采取了“力量倍增法”,與人力資源和法律部門聯合形成了所謂的“隱私團隊”,一個每兩周討論一次云計算戰略并審查任何操作(例如中斷),以及與云服務的安全問題的五人團隊。
Bolick認為,隱私團隊已被證明是減輕SaaS的風險和發展影子應用策略的有效工具。 首先,整合三個部門的利益要比整個公司的容易很多,他說。而當問題出現IT又認為其難以控制時,力量倍增效應則開始高速運轉。
現成的例子就是對公司在2009年采用的Gmail和存儲應用的兩步驗證流程。“讓大家在四年后重新進行兩步驗證流程不是件容易的事。所以我們決定向員工們舉例說明如果不采用兩步驗證流程可能導致的結果,Bolick說。
恐慌活動的方式獲得了85%的合作,Bolick說,“所以我們快要搞定了。”為了集合落伍者,他會從他的辦公室發送了一封電子郵件,“如果有人被落下,我會調用隱私團隊,這一般都能搞定他們了。”