根據(jù)CSA(云安全聯(lián)盟)的最新發(fā)現(xiàn)，58%的IT管理者正在使用未經(jīng)批準(zhǔn)的工具進行協(xié)作與溝通。請細想一下，這不僅僅是幾個叛逆者的行為，超過半數(shù)本應(yīng)負責(zé)執(zhí)行技術(shù)合規(guī)的人員自己也在繞過規(guī)則。

為何會這樣?因為與實際工作流程不符的規(guī)則會被規(guī)避。

即使你可能認為影子IT(指未經(jīng)正式批準(zhǔn)而使用的信息技術(shù))的話題已不再相關(guān)，我想就此提出異議：系統(tǒng)已經(jīng)進化，影子IT亦是如此。十年前，是Dropbox和Google Drive。如今，則是未經(jīng)授權(quán)的智能體、開源框架或由大語言模型(LLM)驅(qū)動的輔助工具，開發(fā)者們自行嘗試使用，然而，影子IT依然非常相關(guān)，只是環(huán)境發(fā)生了變化。技術(shù)不斷演進，但人性追求便利——因此，IT領(lǐng)導(dǎo)者必須保持高度警覺，追蹤工具的使用情況，并將影子IT視為構(gòu)建人人可用工作流程的寶貴反饋。

最省力的路徑

我有一位密友多年前在一家制造公司工作，那里的工程師使用個人Google Drive賬戶分享他們的3D模型，因為公司服務(wù)器速度慢且審批流程需要數(shù)周，但截止日期并未因此取消，他們的領(lǐng)導(dǎo)在一次工作流程審計中發(fā)現(xiàn)了這一隱秘實踐，他們的反應(yīng)是?全面禁止外部云存儲，這并沒有真正提高生產(chǎn)力或士氣。六個月后，工程師們開始使用U盤分享文件。

領(lǐng)導(dǎo)層錯過的不僅僅是安全風(fēng)險，更是一個傾聽和學(xué)習(xí)的機會，他們本可以質(zhì)疑這種行為，并試圖找出為何選擇這條路徑，因為每項未經(jīng)授權(quán)的IT工具背后，都是一個過時、緩慢且失效的流程。

員工視此為完成工作更快捷的最省力路徑，而組織(尤其是IT領(lǐng)導(dǎo)層)可能視其為叛逆，但實際上，這不過是反饋，員工并非為了造成傷害而繞過系統(tǒng)，他們這樣做是因為“官方”路徑讓他們失望了。

為何影子IT持續(xù)存在

毫無疑問，集中式IT系統(tǒng)提供了效率和管控，但當(dāng)工具(或其管理者)與用戶需求不符時，就會引發(fā)不滿：61%的員工對現(xiàn)有技術(shù)不滿意，認為它們有漏洞且不可靠，IT支持不佳也起到了推波助瀾的作用：38%的員工因IT響應(yīng)緩慢而轉(zhuǎn)向影子IT，導(dǎo)致沮喪并渴望更高效的解決方案。

領(lǐng)導(dǎo)者常常執(zhí)著于假設(shè)性的風(fēng)險，而忽視了實際存在的問題，當(dāng)然，阻止像WhatsApp這樣的工具可能防止理論上的數(shù)據(jù)泄露，但同時也犧牲了敏捷性和士氣。Beezy的研究還顯示，盡管85%的員工認為公司監(jiān)控他們的活動，他們?nèi)匀灰蕾囄唇?jīng)授權(quán)的工具，這表明員工愿意冒險以更高效地完成工作。本質(zhì)上，員工選擇了風(fēng)險更高但速度更快、更便捷的方式，而非更安全但合規(guī)的方式。

想象自己是一位公園景觀設(shè)計師，你要設(shè)計人行道和斑馬線，盡管已精心規(guī)劃了結(jié)構(gòu)，但突然開始注意到新踩出的小徑。這里，你有三個選擇：

1. 你可以選擇懲罰那些不遵守規(guī)則的人。

2. 你可以選擇忽視這些被踩出的小徑。

3. 你可以在那些人們選擇無視規(guī)則的地方增設(shè)人行橫道，因為它們被證明是最舒適且“經(jīng)過用戶測試”的。

這個三難選擇比某些人想象的更為常見，現(xiàn)在，讓我們將這個問題轉(zhuǎn)移到如何處理影子IT上，選項包括：

• 限制(傳統(tǒng)方法)：阻止已授權(quán)的工具，執(zhí)行公司范圍內(nèi)的政策并監(jiān)控合規(guī)性。短期內(nèi)幾乎保證能獲得收益，但長期來看會失去信任和士氣。最終，出現(xiàn)不同規(guī)避手段的可能性極高，如同哈利法塔一樣高聳。想象一家開發(fā)公司阻止訪問Claude，理由是潛在的代碼泄露。開發(fā)者可能會遷移到ChatGPT、Gemini或Copilot，甚至更糟的是，開始使用個人電腦。再次——選擇更省力的路徑。在政府或軍事背景下，限制可能有意義，因為泄露風(fēng)險可能帶來國家層面的后果。但當(dāng)一家私營企業(yè)嘗試應(yīng)用同樣的限制時，就變得過分了。你為了一個可能永遠不會發(fā)生的假設(shè)性風(fēng)險而犧牲了敏捷性。
• 忽視(被動方法)：視而不見：避免沖突，但風(fēng)險加劇。由于影子IT解決方案的普及，完全忽視它們會使公司或客戶數(shù)據(jù)處于不應(yīng)有的風(fēng)險之中。潛在的后果無疑比直面問題更加損害嚴(yán)重。忽視它，你就是在忽視你最聰明的人才和潛在的創(chuàng)新。
• 接納(適應(yīng)性方法)：找出工具為何受歡迎的原因，然后安全地整合它們。例如，如果一家物流公司注意到司機使用Waze而非批準(zhǔn)的路線規(guī)劃軟件，他們可以與Waze合作開發(fā)一個帶有貨物追蹤功能的定制企業(yè)版，這對效率和士氣都有好處。實際上，在Trevolution，團隊被賦予探索和選擇自己智能體的自由;我們沒有圍繞開發(fā)者必須使用什么做出集中決策。每個人都被賦予實驗和測試自己技術(shù)棧的自由。然后我們舉辦研討會來交叉?zhèn)鞑プ罴褜嵺`。從此，在團隊會議中，創(chuàng)新發(fā)生了。

構(gòu)建更好的路徑

監(jiān)控工具可以檢測到未經(jīng)授權(quán)的工具，IT領(lǐng)導(dǎo)者可以評估其影響而不必犧牲創(chuàng)新，零信任架構(gòu)也有所幫助，與其直接禁止外部應(yīng)用，不如限制它們對敏感系統(tǒng)的訪問。

本質(zhì)上，我并不將影子IT視為需要解決的問題;相反，它是一個需要解讀的信號，這(并且應(yīng)該)作為一個警鐘。許多組織至今仍通常依賴IT團隊來尋找、研究和測試可能成為公司標(biāo)準(zhǔn)的新IT工具，但是，如果解決方案來自底層而非通常的頂層設(shè)計呢?如果組織根據(jù)員工(即實際用戶)認為舒適、易用且最終對工作產(chǎn)出有用的工具來重新考慮和選擇工具呢?傾聽反饋!

在Trevolution，我們注意到一些旅行代理人使用自己的電子表格模板來追蹤客戶偏好和預(yù)訂變更，繞過了給他們使用的CRM系統(tǒng)，這樣，他們的工作速度更快了，我們沒有責(zé)備他們(這可能會發(fā)生……)，而是深入探究并意識到我們的CRM系統(tǒng)對于實時編輯來說不夠直觀。通過讓服務(wù)年限最長和最短的代理都參與進來，觀察工作流程的不同，我們找到了解決方案并調(diào)整了CRM系統(tǒng)。

棘手嗎?不。耗時嗎?非常耗時，但最終，這是一個自下而上的解決方案，服務(wù)于整個組織。

最終，目標(biāo)不應(yīng)是控制每一步，而是設(shè)計出人們不需要也不愿離開的“公園”。問題不在于影子IT是否存在——因為它確實存在——而在于組織如何回應(yīng)，這取決于你和你的組織來決定。因為當(dāng)人行道不滿足需求時，草地總會被踩出小徑。