IT擁有成本，包括設備、許可證、服務正持續下降。至少你的最終用戶這樣認為。

筆記本電腦、平板和智能手機設備迫使企業在移動功能上投資巨大。軟件即服務(Saas)幾乎使得任何人都能以低成本甚至免費獲得訂閱，開源軟件則免費提供給任何想要下載的人。

為什么最終用戶要去IT部門索求他們認為需要花上很長一段時間來采購和激活，并且產生大量成本的東西?相反，他們可以自己解決，而且自給自足。

員工使用外部平臺會帶來無數的問題——有的明顯，有的不是很明顯。

影子IT模式可以幫助個體，但是否可以幫助小組、部門或企業?在數萬人規模的大企業里，維持控制是個難題，即使其IT部門非常集中。例如，許多大型組織都擁有五個以上的企業資源規劃軟件運作——不是因為IT希望這樣，而是因為它剛好這樣發生了。

現在，每個擁有信用卡的員工，都成了事實上的“采購部”，成百上千這種用戶將成為IT的噩夢。影子IT情況在小規模組織中要好得多。以一支50人的團隊為例，基本沒有IT部，能成為IT負責人可能是因為他家里的電腦配置***。此人負責調查和管理影子IT，可能只是簡單詢問業務是否都正常，沒有合格性證明，功能測試，在合同談判時也沒有任何報價。

Dropbox、Box和其他簡單易用的文件分享系統創建的信息孤島，IT和業務部門對此都不知情，斷開了與數據中心中央服務器和存儲，甚至許可的云服務聯系。所有這些信息都可能導致聚合能力、安全內容、使用情況和其他報告在一個較高的風險級別，可能使業務決策復雜化。雖然個人使用可能讓其工作簡化，但他的流氓IT可能導致經營失敗。

將影子IT與GRC關聯起來

組織不能指望員工理解公司的治理、風險與法規遵從(GRC)信息，如數據保護法案、個人身份信息或ISO標準。IT平臺外部發現的數據往往會打破公司IT組織努力想要達到的GRC要求。

影子IT同樣對未來也有影響。如果外部服務提供商倒閉?如果外部IT平臺被黑客攻破?對影子存儲數據會有什么影響?如果員工離職去了主要競爭對手那里，他是否能夠繼續訪問這些外部網站數據?

首先，了解組織內真正發生了什么事件。采用映射工具簡單記錄硬件和軟件資產關聯情況，并了解哪些是與IT平臺沖突的。那里很可能有個大驚喜。例如，沒有獲得授權使用企業級存儲區域網絡的部門，可能會擁有自己的網絡存儲設備，而且是在IT預算之外購買的。軟件合規性也一樣，還有那臺NAS設備可能運行著MySQL或Microsoft SQL Server副本，即使組織的數據庫管理標準是Oracle。

一旦你了解了哪些外部IT平臺正在被使用，就可以做一些事情來控制它。

使用流量嗅探器，如Microsoft Network Monitor或Wireshark，尋找哪些流量正跨越你的網絡邊界：你可能只希望看到郵件和網絡流量。SaaS供應商通常都提供標準的網站瀏覽協議，通過80端口傳輸信息，用戶無須在防火墻上進行額外的操作。你可以查出這些流量是從何而來并去向何處，并建立用戶行為記錄數據庫。

接著你可能對終端用戶出示大棒政策，在他們做出蠢事之前加以阻止。但是這種方法絕對行不通。你擁有外部IT平臺的全部記錄，但不知道他們為何要使用這些。去和終端用戶聊聊，并找出他們為何不用企業資源的原因。某些情況下，很可能是因為他們不知道自己擁有改企業功能。其他情況下，也許是因為他們找不到合適的方法，并且害怕接近你，因為覺得這方面需求會影響復雜性和IT項目總成本。評估他們的需求并判斷項目對業務的價值。試著咨詢用戶這個項目是否對他們有利。

如果用戶的影子IT擁有雄厚的商業價值，就必須評估正在使用的軟件或服務。如果其滿足企業的功能性與安全性需求，那也是個不錯的方法。如果沒有，是否可以找到相似的IT平臺呢?

這也是開始讓其變得更容易，并且讓業務回歸有序的方法。你正在展示自己愿意傾聽，并且準備將他們在外部做的不少好事搬回組織。只要你能夠提供相同甚至更好的功能，他們可以不用去擔心底層技術——所以，在上述例子中，他們選擇MySQL還是什么的都不再重要，只要你能通過Oracle實現這一點。

掌握了這些信息后，IT在申請投資企業級的本地化服務已經做了更好的準備，最終用戶將可以自助訪問服務。健全的IT內部成本控制，很容易被未受控制的最終用戶帶來的隱形成本而破壞，這些業務通過信用卡消費報銷傳遞，并且不支持GRC，也不受數據訪問控制安全的控制。

這樣也有助于管理內的部門影子IT。管理層現在也知道了外部IT平臺的隱性成本——如果有業務經理希望按他們的方式走，他不僅要向IT來證明。他還需要向公司管理層證明。IT就重新獲得了預算、用戶和企業信息的控制權。