Shadow IT：胆固醇的好坏?

IHS Markit KY3P评估负责人Alex Golbin

“影子IT”仍然是技术上最受争议的话题之一。企业可以直接在技术组织之外使用技术服务吗?答案是细微的。它可能是好事，也可能是坏事，并且可能两者兼有，类似于胆固醇水平的高低差。我们必须承认，企业有直接签署技术服务合同的合理需求，而且我们不能仅仅将技术之外的所有IT支出都标记为不良胆固醇。但是，我们应该担心Shadow IT的使用量是否不成比例和/或对这些安排的监视(管理)不足，因为这可能会严重影响企业的健康状况。

佳影IT胆固醇

“ IT”本身的定义已经改变。现在，基于技术的解决方案已嵌入到我们使用的许多服务中。您可以购买托管服务，但这是其核心技术平台。由于该业务部门负责损益影响，客户保留和其他外部KPI，因此可以理解，业务需要一定程度的自主权。 IT并非以守门员的身份为企业带来价值，而是通过作为Line 1 Risk责任合作伙伴的技术专长为企业带来价值。必须认识到，健康的企业与IT的合作伙伴关系是企业敏捷度的关键成功因素。只要具有适当水平的协作和风险控制能力，拥有基于业务驱动技术的创新甚至都不应被称为“影子IT”。

不良阴影IT胆固醇

当企业绕过IT来购买第三方技术服务或软件时，通常表明存在更大的问题。单靠它，企业使公司面临潜在的虚高成本，对项目交付的失望，较高的总拥有成本，企业技术债务以及一系列与技术相关的风险。 Catch-22的优势在于，云托管平台使非技术决策者可以更轻松，更可能地与第三方技术签约。确实，除非需要某种集成，否则您的IT部门很可能没有系统的方式来了解这种采购安排。供应商对于这种漏洞太明智了。在许多情况下，他们更喜欢在IT之外出售服务，因为这可以改善他们的销售周期和利润。

丑陋的影子IT胆固醇

今天的许多新颖闪亮的玩具成为明天的令人失望的失望，并且技术解决方案变得过时的步伐正在加快。不幸的是，技术解决方案一旦集成，分解起来的成本就很高，从而严重依赖第三方来跟上补丁，升级和安全性。结果，通常会低估第三方安排的固有风险，并且由于大多数公司将其风险评估计划都集中在最关键的第三方提供商上，因此与技术相关的第三方的长尾中隐藏的风险正在缓慢上升，就像《权力的游戏》中的亡者军团一样。

采取行动

补救措施类似于治疗高胆固醇：。

确定问题–对您的第三方风险管理(TPRM)程序进行基线健康检查。 Shadow IT胆固醇的有用指标包括：

•IT组织外部的IT支出比例

•近期未评估风险的关键支出类别中的第三方IT支出比例

•IT服务提供商应用程序与TPRM平台中的记录无关的比例

如果尚不可用，您可能需要与CIO，CPO和TPRM负责人合作，以获取一些数据。

停止流血–就像从饮食中减少汉堡和薯条一样，对企业进行新的购买具有风险和财务控制，可以使问题变得更糟。

•建立企业控制，以与IT组织一起审查IT采购请求，即使支出直接来自业务部门也是如此。至关重要的是，除了服务的实际请求者之外，还应与正确的利益相关者一起执行和审查供应商风险评估。

•对您的技术供应商产品组合进行排名，并根据风险阈值，对在风险政策规定的期限内未进行风险评估的每个现有供应商进行风险评估。请密切注意您的下层供应商-同样重要的是，对该产品组合进行一定程度的风险评估。

•为每种高风险和中等风险的第三方服务确定合格的供应商经理，并明确其责任。

改变生活方式–就像大多数饮食习惯不能改变生活方式一样，TPRM计划也需要改变企业DNA，以优化风险状况和成本结构。