TechTarget2015年度薪酬和職業調查，充分反映了CIO和高級IT領袖們對影子IT的態度。

根據TechTarget對248位受訪者（CIO、CTO、CISO、IT副總裁和總監）進行的2015年度薪酬和職業調查，安全將成為CIO以及IT高層管理人員在2016年的重點關注領域。當被要求在30個候選項目中選出2016年優先級最高的3個時，27%的人選擇了安全項目——選擇應用開發的占24%，而云計算和商業智能分別是19%和18%。

調查結果反映了IT部門對各方面工作優先級評估的趨勢。而且，根據調查內容，IT對于安全的認知也在逐漸成熟。

安全項目已經滲透到IT工作的方方面面，而不僅僅是孤立項目。比如，加州Fontana城CIO Dennis Vlasich就認為，沒有安全為基礎，云計算就無從談起。

“就云計算而言，流程和法規工作的比重其實是大于技術的。我們發現，SaaS服務提供商正繞過IT部門直接聯系業務部門洽談合同。”Vlasich說：“這種局面導致了內部壁壘的形成。而且，由于各部門很少考慮安全以及與云服務的連接事宜，問題變得更加嚴重。”

非盈利性醫療健康組織Millennium Collaborative Care的首席運營官和IT主管Gregory Turner同樣表達了對安全問題的關注。盡管應用開發和設計位于CIO和高級IT主管們2016年項目規劃的最高位（高于去年的排位），但是對于Turner來說，在規劃APP開發事項時，安全的考量是必須的。

根據三年來歷次調查結果顯示，安全類項目在整個IT規劃中的比重會越來越高。根據2013年和2014年TechTarget的調查結果，21%的受訪者將安全項目排在了最高優先級，而今年這個比例接近了三分之一。

專家表示，這種對安全關注度的上升并不意外。“由于近期發生的一些事情，導致了人們關注度的上升。”Turner表示。Turner在一家非盈利性的醫療服務機構工作，該機構位于紐約州西部，致力于更好地將接受公共醫療補助的患者與醫療健康服務提供者連接起來。延續近幾年來的趨勢，2015年的數據泄露事故呈上升趨勢，著名的案例包括Ashley Madison（婚外情社交網站）、CVS（在線圖片服務網站）和聯邦人事管理辦公室（the Office of Personnel Management）等。因此，安全成為公司高層的關注重點，同時也把CIO和IT管理者推到了前臺。

對Vlasich來說，由于影子IT的緣故，受到高度關注的信息安全和云計算其實難分彼此。SaaS模式使得服務的引入變得更加容易，但是業務部門通常很少會考慮這些問題：開放API接口、身份認證、合同退出以及合同期滿后數據的歸屬等。

Vlasich雖然明年就計劃退休了，但是并不希望IT成為發展的障礙所在。相反，他希望IT能夠真正支撐該城的服務。當人力部門試圖尋找一個在線申請系統時，Vlasich派了一個分析師進行調查研究，幫助該部門找到了合適的方案，并且還符合該地政府的監管規范。“目前，通過IT的努力，這個應用運行得就像自建系統一樣。雖然沒有提供任何硬件設備，但是IT在培訓、技術和運維方面都發揮了巨大作用。”

應用開發優先級的提升

在IT和業務交互中，云計算并非導致安全隱患的唯一因素。對于Turner來說，2016年最高優先級的項目是應用開發，后者在本次調查中所受的關注度迅速提升。去年，應用開發以14%的比例位列IT項目優先級的第七位，而今年這個數字上升到24%，名列第二位，僅僅排在安全項目之后。

對于Turner來說，應用開發的安全是極為重要的事情。Millennium Collaborative Care的目的在于將紐約州西部的患者與醫療服務機構連接起來，提升醫療服務質量。明年，該機構計劃開始部署一個整體交付的方案，通過技術手段，讓正確的服務提供商在正確的時間為患者提供正確的服務。

為了實現這個目標，必須確保給患者提供的是重質不重量的服務，而這必須通過數據分析才能達成，而應用正是企業獲取數據的主要渠道。“當我們與應用開發商進行合作時，必須認識到一個事實，他們不是我們的員工，我們所能做到的監管是有限的。”Turner表示。

Turner最擔心的安全問題并不是有人會侵入系統，相反，他更關心移動設備或U盤的失竊或丟失，這往往會直接導致敏感數據的泄露。同時，他認為包含了太多安全層級的應用可能會顯得過于笨重。“這其中絕大部分的原因在于設計。”Turner認為。目前，他正在尋找能夠滿足其要求的合作伙伴。

SAS Institute的最佳實踐副總裁Jill Dyche認為，應用開發的日漸流行以及自服務APP環境所導致的安全風險，或許會讓云計算再次成為關注的焦點。而且，對于標準化的訴求也會日益凸顯。在SAS，Dyche與業界的CIO和高級IT領袖們緊密合作。

“5到7年前，業務端開始顯露對自建IT的企圖。”Dyche表示：“現在，他們同樣希望擁有自己的應用，但卻不想多和服務商打交道。”

在加州Fontana城，Vlasich開發了一個目錄服務，并希望SaaS廠商遵循Security Assertion Markup Language（安全斷言置標語言SAML）——基于federated identity management（聯合身份管理）的一個標準協議。該服務的功能是，當某位員工離職時，將從目錄中移除，其對SaaS服務的訪問權限將被取消。

但是，事情并未結束。當Fontana城的采購部門在向美國銀行購買PCard系統時，沒有咨詢IT部門。“他們沒有想到IT介入的需要，直到發現在認證管理方面有問題時。”Vlasich說。

Vlasich要求采購部門讓他與美國銀行聯系，以確保后者對SAML的遵守。事實證明，美國銀行并未做到這一點。“令人高興的是，對方計劃在明年開始遵循SAML。”Vlasich說。

對于確保SaaS投資的透明度，Vlasich計劃和采購部門（負責所有采購行為，包括信用卡）合作。“當他們要進行采購時，可以先搞清楚是否和特定服務有關。如果需要的話，讓IT部門適時介入。”Vlasich說：“鑒于SaaS方案提供商的營銷手段，有些事情必須有我們的參與，確保消除隱患。”zhe