致力于研究公司IT治理、風(fēng)險(xiǎn)和合規(guī)的Gartner分析師 French Caldwell對上周會(huì)見的一個(gè)客戶印象深刻：“這家公司的首席執(zhí)行官具有很高的‘執(zhí)行力’，當(dāng)他想完成某事時(shí)，他會(huì)在各種舉措上繞過CIO和CFO，這其中也包括基于云計(jì)算的舉措。”

換句話說，這位CEO會(huì)給企業(yè)帶來一系列影子系統(tǒng)或應(yīng)用，而基于云端的影子應(yīng)用，已經(jīng)成為企業(yè)IT安全的重要隱患。 　　

站在CEO的角度來看，他們會(huì)覺得應(yīng)該讓企業(yè)IT集中在公司最賺錢的領(lǐng)域，比如核心的財(cái)務(wù)系統(tǒng)或庫存管理系統(tǒng)。至于其他部門，可以獨(dú)立采用其他應(yīng)用程序。在這樣的情況下，員工就可能會(huì)使用自己的影子應(yīng)用程序，因?yàn)樗麄冎浪麄兏赡軙?huì)從供應(yīng)商而不是IT部門獲取所需要的軟件支持。

當(dāng)員工們需要幫助時(shí)，他們基于云的影子應(yīng)用帶來的風(fēng)險(xiǎn)很多，包括數(shù)據(jù)安全，交易安全、業(yè)務(wù)聯(lián)系性和監(jiān)管合規(guī)等問題。往往會(huì)與這些產(chǎn)品供應(yīng)商尋求幫助，而企業(yè)的IT部門則愛莫能助。 　　

但普華永道的一份報(bào)告警告說：基于云的影子應(yīng)用帶來的風(fēng)險(xiǎn)很多，包括數(shù)據(jù)安全，交易安全、業(yè)務(wù)聯(lián)系性和監(jiān)管合規(guī)等問題。 　　

該報(bào)告也指出，企業(yè)業(yè)務(wù)部門之所以越來越多的使用基于云的影子應(yīng)用，部分原因時(shí)IT消費(fèi)化的大勢所趨，很多企業(yè)員工熱衷與采用一些消費(fèi)級(jí)的產(chǎn)品服務(wù)，并將其帶入到工作場合。另一方面，大量基于云的服務(wù)價(jià)格便宜，對很多業(yè)務(wù)來說，采購這些服務(wù)并不是一筆很大的開銷，而且，這些產(chǎn)品或服務(wù)可以輕松獲取，使用過程中也能得到較好的更新，因此，業(yè)務(wù)部門熱衷于采用基于云的應(yīng)用服務(wù)來代替已有的IT服務(wù)。

上述情況使得企業(yè)完全陷入SaaS泛濫成災(zāi)的境地，沒有人知道誰擁有什么軟件或者云服務(wù)部署，也不知道是否遵守企業(yè)IT要求。French Caldwell提議企業(yè)的IT部門要加強(qiáng)與采購部門和財(cái)務(wù)部門的合作。首先，利用采購部門的追蹤工具去檢查所有部門采購的云服務(wù)產(chǎn)品，這需要結(jié)合自動(dòng)和手動(dòng)的方法，以定位云服務(wù)所處的部門以及該產(chǎn)品中數(shù)據(jù)的存放形式、位置和管理權(quán)限。 　　

很多公司的CIO并具備采購權(quán)限，這需要CIO緊密和CFO以及CPO(首席采購官)協(xié)作，建立一套自上而下的檢查體系。比如清查所有采購的云服務(wù)產(chǎn)品，培訓(xùn)相關(guān)部門的員工風(fēng)險(xiǎn)意識(shí)。 　　

接著，在發(fā)現(xiàn)所有影子云服務(wù)后，企業(yè)可以創(chuàng)建一個(gè)云服務(wù)產(chǎn)品清單，列出應(yīng)該禁止使用或限制的服務(wù)、受批準(zhǔn)的服務(wù)，以及需要集中管理的服務(wù)，從而最大限度地降低風(fēng)險(xiǎn)。但I(xiàn)T部門同樣也要提供有建設(shè)性的替代方案，比如IT部門禁止員工使用百度云這樣的云存儲(chǔ)產(chǎn)品分享工作文件，就要提供相應(yīng)的替代產(chǎn)品，并且還要保證易用性和安全性。只有這樣才能讓員工們“心甘情愿”的使用IT部門的產(chǎn)品。