影子系統：帶來網絡安全隱憂？！

致力於研究公司IT風險和合規的Gartner分析師French Caldwell，他在上週會見一個印象深刻的客戶：“這家公司的CEO具有很高的水準,當他想完成一件事的時候，他會在各種程式上繞過CIO和CFO,其中包括基本雲端運算的行動。” 換句話說，這位CEO會為企業帶來一系列影子系統(Virtual System)或應用，而影子雲端應用亦正正成為企業網絡安全的重要隱憂。

站在CEO的角度來看，他們覺得讓企業IT集中在公司最賺錢的範疇，例如核心的財務系統或庫存管理系統。至於其他部門，可以獨立採用其他應用程式。在這樣的情況下，員工就可能會使用公司不支援的影子應用程式，然而我們都知道基於雲端的影子應用帶來的風險很多，包括數據安全，交易安全、業務聯繫性和監管合規等問題。

曾經有一份報告指出，企業業務部門之所以越來越多使用基於雲端的影子應用，部分原因是IT消費改變的大勢所趨，很多企業員工熱衷於採用一些較為便宜的產品服務，並將其帶入到工作場合。另一方面，大量雲端化價格更便宜，對很多企業來說，採購這些服務並不是一筆很大的費用，而且，這些產品或服務可以輕鬆獲取，使用過程中也能得到較好的更新，因此，業務部門熱衷於採用基於雲端的應用服務來代替舊有的IT服務。

上述情況使企業完全陷入SaaS氾濫的災難，沒有人知道誰擁有什麼軟件或者雲端服務部署，也不知道是否能遵守企業IT要求。French Caldwell 提議企業的IT部門要加強與採購部門和財務部門的合作。首先，利用採購部門的追蹤工具檢查所有部門使用的雲端服務產品，這需要結合自動和手動的方法，以確定雲端服務所處的部門以及該產品中的數據存放形式、位置和管理權限。

很多公司的CIO並未具有直接採購決定權，這時候便需要與CIO緊密和CFO以及CPO（首席採購官）協作，建立一套由上而下的檢查方式。例如檢查所有採購的雲端服務產品，培訓相關部門的員工風險意識。

接著，在發現所有影子雲端服務後，企業可以建立一個雲端服務產品列表，列出應該禁止使用或限制的服務、批准使用的服務，以及需要集中管理的服務，從而降低風險。但IT部門同樣也要提供有實質作用的替代方案，例如IT部門禁止員工使用一些雲端服務來分享工作檔案，而這時候便要提供相應的替代產品，並且還要保證易用性和安全性。只有這樣才能讓員工們“心甘情願”的使用IT部門提供的方案。