|
一个全新的IT部门正在出现,CIO无法控制它,甚至不知道到它的存在。但是你必须熟悉那些使用IT的员,还“要搞清楚如何与这个新型的IT部门合作”,这对你的前途和公司的成功将具有重大意义。
在2006年4月份,由美国互联网调查机构“Pew网络与美国生活项目”发起的一项调查显示,在使用互联网的成年人中,有45%的用户认为互联网极大地提高了他们的工作能力。
这些是你的雇员,他们所说的话再清楚不过了:在他们眼中,技术使他们工作更为有效。但是CIO却不能因此而沾沾自喜。因为调查表明,生产率的提高得益于互联网,而不是IT,也不是CIO们所提供的技术,总而言之,功劳不在你。即使Pew的调查毫无疑问地将使用互联网访问你的公司的人群都包括了进去,Pew的主管Lee Rainie说,研究并没有表明CIO们的工作有多么出色。
Rainie说:“很明显,以前存在于人们生活中的工作场所和家庭间的界限被打破了。”几乎具备无限容量和高速快捷的新通讯工具使人们可以在他们最方便的时候轻松使用自己所选定的任何信息——无论在什么时间和地点。
Pew的调查表明,42%的网络用户下载程序,37%的用户使用即时信息(IM),27%的用户使用互联网共享文件,25%的用户通过无线终端访问互联网。(这些数据都是一两年前的,Rainie很有把握的认为现在比例会更高)
这就意味着你已经给公司雇员提供了网络工具吗?你鼓励他们下载程序和共享文件吗?你支持了IM的使用吗?你已经为1/4的公司雇员配备了无线网络装备吗?我想,不是的。
那真相是什么呢?
Rainie说:“世界日益浑然一体的当然后果是人们将许多消费者IT从家庭生活带到了办公室,反之亦然。”比如说,由信息安全杂志(searchsecurity.com)在2006年进行的一项调查表明,只有29%的公司在使用即时讯息(IM)工具,这个数字要比Pew的调查中所显示的人们在办公室中使用IM的比例相对低。
使用者有为自己提供技术的历史传统,但是当今用消费者IT产品以及它们给用户带来的轻松自如的体验是前所未有的。经常在会议上免费发放的移动存储盘,只有拇指大小,不仅方便携带,更可以提供数十亿字节的的存储空间。Google电子数据表格和其他的在线文件处理系统使多人可以同时合作完成一份文件。Motorola Q,一部可以随时使用移动电话网络作为高速网络接口的手机使用户可以将工作成果通过电子邮件发往自己的电话,整个过程不需要使用任何邮件服务系统,而这样一部电话你只需要花125美元就可以在eBay购得。这里我们只简单举了三个例子。对于任何一个可以想象得出来的任务,都会有一个消费者IT技术与之相对应。即使当前没有,那也存在一种工具使人们很快将其创造出来。
那个所有IT应用均出自你的IT部门的时代结束了。
那么身为CIO的位置在哪里呢?
影子IT部门
消费IT时代已经进化到了如此境界:IT部门处于一种全功能、可替代的地位。事实上,人们如今可以自由选择所需要技术的提供者。你所在公司的雇员们可能会首先向CIO寻求帮助,但是当他发现传统公司IT部门提供的技术工具不能满足自己的需要的时候,他会自然地转向互联网或者在相邻同事中口碑最好的技术工具需求帮助。
这种新出现的第二位的IT部门——我们通常称之为“影子IT部门”(以与传统公司IT部门相对应)——是长期以来在技术提供者和使用者之间存在脱节的自然产物。
上述二者间存在的脱节是问题的根源。使用者们希望IT能够对他们的个人需要及时做出回应,从而使他们能够更有效率地工作。CIO则希望IT是安全可靠的,可以升级的,并与数目不断攀升的政府管理规则相适应。随之而来的当然结果就是当传统IT部门设计和提供一个技术系统时,首先考虑的是便于管理的需要,其次是使用者的经验。但是当二者发生冲突时,影子IT部门对于管理上的需要却没有丝毫兴趣,他们会提供给用户其所需要的技术,从而对公司IT部门构成致命威胁。
大陆航空公司(Continental Airlines)的信息安全主管André Gold说:“雇员们正在努力寻找提高工作效率的办法,人们总是大声说‘我的工作需要这项技术’。”但是他说,正如上文所提到的种种原因,公司IT部门总是对雇员们的需要说“不”或者最好的情况也就是轻许诺言而终置之不理。所以,使用者们只是暂时性地转向公司IT部门寻求帮助。
因为这样或那样的原因,无论什么时候、什么地方CIO们一旦察觉到影子IT部门的存在,他们的第一反应就是去与影子IT部门对抗。对于那些长期以来对公司IT部门间的潜在对抗持赞成见解的人来说,这种方式是如果不是以CIO的彻底胜利而告终,也至少是化解僵局的一个处方。
你所在公司的雇员们正在使用消费者IT以更快、更有效率的方式,并在许多情况下,更长时间的工作。许多雇员甚至还发现了新的、更为优越的工作方法。CIO们应该促进这种趋势。理财机构Manulife的机构和技术副总裁助理William Harmer III说,一旦你关闭了消费者IT,“你就成为了创新路上的阻挡者”。
是的,影子IT部门正在将公司IT部门置于网络安全和雇员不遵从的危机之中。使用者们可以通过下载不安全的软件轻易在公司的防火墙上打开漏洞,可以通过四处散布的笔记本电脑、掌上电脑和移动存储设备将公司的数据不负责任地散布出去,甚至可以以违反联邦法规的方式处理信息数据。但是CIO们需要以一种战略的眼光处理此类问题,而不是意气用事。
市场研究公司Gartner的副总裁兼研究员David Smith说:“业内有一条黄金法则:不要以安全和法规遵从为借口而不去做正确的事情,不要以此为借口严格管制。当你发现有人破坏规则时,最好的处事方式是把事情的来龙去脉调查清楚并从中吸取教训。”
成功的公司需要学习如何在消费者IT以及雇员们运用这种技术工具进行创新的过程和保护公司的需要之间达致一种具有生产效率的平衡。这需要CIO们去重新审视他们对待用户的方式,以及接收如下事实:他们的IT部门将不再是公司内部唯一的技术提供者。Smith说,这是公司IT部门可以保持其相关作用和响应能力的唯一途径。那些忽略消费者IT的益处并对影子IT部门采取对抗方式的CIO们将被视为妨碍者,更不用说将被孤立。一旦上述情况发生,他们将被遗忘,甚至“任何局面在控制中”的假象都将消失的无影无踪。
这将不利于所有人。
影子IT部门如何运作
如下是一个对影子IT部门的普遍反应。德克萨斯信用联盟(Texas Credit Union League)的信息系统的副总裁Bill Braun如是说:“对我来说,最好的方式就是对消费者IT说‘不’。它是绝大多数问题的根源。它也很有可能带来许多益处,但确定的是,问题也是由它产生的。”
先撇开Braun承认他愿意放弃消费者IT所能提供的种种潜在创新的事实,这种否定影子IT部门的做法也同样设想:影子IT部门与现实中的传统公司IT部门具有相同的结构,并且可以被以相同的方式管理。
事实远非如此,影子IT部门既没有传统结构,也无法以传统方式进行管理。
影子IT部门是一只完全不同的尚未驯化的野兽。
传统公司IT部门拥有紧密的结构,由一个人或者一个小团队控制着网络的各个节点以及彼此间的关系。正相反,影子IT部门没有核心权威,顶多只有界定不明确的层级关系,网络结点由他们自己控制,相互之间的关系由他们自己发展。巴布森大学Olin Graduate商学院的Marty Anderson教授将传统公司IT部门称作命令式的机构,而将影子IT部门称作自然而生的机构。命令式机构的设立是以便于管理为导向的,所以他们对自上而下的命令做出反应。然而影子IT部门中不存在处于支配地位的节点,因此不存在可以借由进行管理的杠杆。这就是为什么无法消灭影子IT部门或者将其清理出公司的原因。他没有一个可以斩断的头颅,也没有一个可以阻断的领导路径。
传统公司IT部门会很自然的感觉到来自影子IT部门的威胁,但是现实是他们已经无处不在的并存了。Anderson说,“现在此二者如影随形。管理技术已经注意到此二者交叉的地方并正在构想可以处理此种情况的策略”。
比如说,一个相似的结构长期以来就在公司人力资源部门以外运作。公司的雇员都有自己的头衔和对应的报告关系,这使得他们的工作构成了一个正式的结构。但同时,每一个公司都存在一个由专业技术、人际关系、职业道德以及总体上的效率所构成的非正式结构,当公司的人力资源部门与这一非正式结构不协调时,公司将限于困难之中。如果正式结构将处于非正式结构底层的人员提拔上来,雇员们的工作热情将会受到打击。如果处于非正式结构高层的人不被正式结构所认可,他们将会选择离开。优秀的人力资源部门知道雇员们分别立于正式结构和非正式结构的哪一部分,并且能够实现二者的和谐不悖。
IT需要学习如何在传统公司IT部门和影子IT部门之间实现平衡。传统公司IT部门将会继续存在,IT所保持多年的信息系统也会继续存在。但是一个没有筹划出应对影子IT部门的策略的CIO将继续使用那种过时的、无效率的运营模式。就像人力资源部门忽略了公司中存在的非正式结构那样,CIO们可能会无法观察到那些使用自己部门所提供的IT的员工们是如何工作的。因此,传统公司IT部门可能会失去其权威性,并最终失去工作。这可能不会在转眼之间发生,但终将发生。正如Anderson所说的“就像被鸭子一点点戳死一样”。
如何与影子IT部门和谐共处
技术会因为每个公司所从事的业务、所受制于法律规范的程度、承受风险的能力以及其他此类因素的不同而不同,但是许多原则是普遍适用的。如下是一些抛砖引玉的观点。
1、发现人们究竟如何工作
无论你是否了解,你的公司的雇员们正在使用他们自己选定的技术或者以一种你从未想到过的方式使用你所提供的技术。BCD Travel的IT高级VP Brian Flynn在运用软件监控通过公司网络的数据时发现,不仅雇员们正在使用消费者IT工具,并且他们正在使用IT提供的应用程序去从事一些带有明显安全风险的事情(比如说发送或者接收敏感信息)。
Flynn说:“我确信绝大多数的公司正在盲目地四处乱撞。这是各地普遍存在的现象,IT却丝毫也不了解”。
通过制定规则以克制你阻碍上述行为的本能。是的,雇员的上述行为中或许存在安全和不遵守规则方面的风险,但是对影子IT部门“公开宣战”无疑将会激起影子IT部门的叛乱,迫使其转入地下,这样以来对其进行监控以及与其谈判将更为困难。相反,将这作为一个发现你所提供的技术究竟在什么地方与用户的需求相脱节的绝好机会。
2、承认IT部门的演进
CIO们应当承认雇员们的私下行为的正当性,从而使雇员们感到心情舒畅。第一步就是要改变态度。
Flynn.说,“我们往往将那些思考问题脱离常规的人视作惹是生非者。但是我们也应该认识到或许他们知道自己在谈论什么。如果我们能够做到,或许我们应该尽力去满足他们需要,至少部分的”。
努力帮助雇员们发现一条安全、有保障的道路,使其完成自己想做的事情。大陆航空的Gold说,“雇员们已经习惯于公司IT部门对他们的要求说‘不’,久而久之他们将不再告诉你他们正在做什么。所以,我们应该尽量说‘是’”。
Rob Israel说:“他是公司IT部门唯一有权利对雇员的提议说‘不’的人。”相反,在面对雇员们的提议时,部门的其他IT人员只有三种选择:赞同该提议、对提议进行研究或者将提议转交给他。正如Gold 和Israe所说,获得对雇员们的提议说“是”的好名声将会鼓励雇员们有想法时主动找你交流。这将使你获得一个了解雇员们的真实想法并设法使其在不威胁公司网络安全的前提下达成意愿的绝好机会。
虽然一些影子IT项目表面上看起来是如此的与工作不相关或者不可靠,接受如下事实依然非常重要:雇员们如此行为是有其原因的。如果他们之间正在通过电子邮件传送重要文件,那是因为他们需要在除办公室以外的其他地方开展相关工作,并且这是他们所能发现的最直接的办法。公司IT部门的工作不是孜孜不倦于如何阻止雇员们访问和传送文件,而应该是发现一种方式能够让雇员们把文件带回家工作而又不会对公司的保密工作造成威胁,并且这种方式并不比雇员们自己发现的方式更为复杂。
最后的部分非常重要。Flynn说,“没有人会从警戒线上跳过去,他们会悄悄地绕过去”。
Gold说,绝大多数的影子IT项目都试图解决一些简单的问题。如果CIO们愿意,他们会很轻松地化解存在的风险。比如说,Gold发现人们通过移动存储盘将文件带回家,他没有禁止此种做法,而是通过配发带有加密程序的移动存数存储盘解决了这一问题,因此,雇员们的做法没有因而改变。他说,“兼顾信息安全和便利雇员工作应该是CIO们的工作常识”。
3、问自己是否真的存在威胁
培养一个乐于说“是”的名声的另一方面就是要分清楚哪些影子IT项目确实对公司安全构成威胁,哪些IT项目只不过是威胁了你在公司中作为IT技术的唯一提供者的独一无二的地位。房地产开发商Camden Property Trust的CIO Maria Anzilotti说,即使绝大多数雇员使用IM不是为了工作目的,她仍允许雇员们在公司使用IM。她说,“我们知道这对公司安全存在一定的危险,但还没有达到需要予以封杀的程度。许多雇员使用IM与自己的子女保持联系,这比电话要更为快捷,对工作的干扰也相对小”。
“同时我们也对其保持监控。”
在对“一种影子IT的应用已经在多大程度上为公司雇员所认可”没有进行充分考察的前提下就禁止其应用可以带来难以预料的、也是非常不幸的后果。Gold在大陆航空封杀IM之后,他接到了来自油料管理部门的一个雇员的气愤的电话,该雇员正在成功使用IM就飞机燃油的价格与对方进行磋商。
这种状况的出现让人非常狼狈。
当一个CIO禁止一种对公司安全并不构成威胁,对自己的IT预算也没有造成不利影响的IT的使用时,他无异于将自己树立起来成为批判的靶子,成为一个道德上的独裁者。这无疑是一种与雇员为敌的不明智做法。
4、实施规则,但不要创造规则
在提供访问数据的途径和确定谁有权访问该数据之间存在明确的界限。Manulife的Harmer说,IT却使此二者界限模糊。
Harmer说:“我拥有基础设施,但是数据却掌握在业务部门。”当IT就进入权限做出盲目的判断的时候,它就为雇员设置了人为的障碍,这将影响整个公司。Harmer说:“关键之处在于实施具体措施时要对不同岗位的雇员区别对待,不能整齐划一。”
Lincoln Health的Israel整天都在应对此类挑战。他说,比如说通过互联网搜索“乳房”字眼,对于营养护理部门的雇员和对于财务审计部门的雇员来说就具有不同的意义。但是如果Israel通过安装过滤器阻止了所有访问色情网站(有裸体图片的网站)的明显企图,营养护理部门的雇员可能就无法获得治疗病人所需要的信息。可行的解决方案就是由IT提供一种工具能够使每个经理自己决定他需要什么信息来完成自己的工作。
Gold说,“IT并不是对业务上的问题都有所了解。所以对于我来说,制定谁有访问权限的规则是非常困难的”。
5、善于隐藏自己
绝大多数的公司都有大量的雇员必须遵守的规章制度。但是规章制度无法自己实行。
Israel说,“我起草了所有的规章,但我只熟知其中两项。所以说,对于IT部门来说,希望雇员们了解所有公司规章的想法是不现实的。但是我们可以利用信息系统对规章的执行提供自动化支持。”
Manulife的Harmer说,问题的关键是设计一种方式能够在不依赖于“雇员是如何访问数据以及如何应用数据”的前提下维护数据的安全。
他说,“我所采用的方式是尽量接近数据进行控制。这就意味着不是依靠防火墙,而是要首先弄清楚我实际上要保护什么,继而做出适当的处理”。
在大陆航空公司,这种方式已经引起了IT部门在系统设计时的显著变化。Gold解释说,“所有涉及敏感数据的程序中有90%是由我们编写的。”只要雇员们通过我们建设起来的IT应用系统访问这些敏感数据,数据均处于有效保护之下。但是,当部门经理试图将敏感数据复制到Excel表格以便于对不同城市间的收入进行比较时(Gold说此类事情经常发生),数据就立刻处于风险之中。了解了此类情况后,Gold鼓励IT部门直接在公司IT系统中增设加密程序和其他安全装置。这样以来,当一个雇员将收入数据粘贴到电子表格中时,那些数据——而不是不相关的公司IT系统的纯洁性和完整性,将会受到保护。
‘凌乱’而多产胜过整洁却贫瘠
IT有一种以系统为中心构思技术的自然倾向。系统实现工作流程自动化,并控制访问信息数据的权限。很久以来,这些系统使工作和雇员们更有成效的工作。但是正如Babson的Anderson所说,“IT系统和人们的真正想做的事情之间总是存在显著的差别”。
当Israel回忆起所谓的“美好的过去”的时候,他说,“我过去总是让雇员们来找我,好像我是个全能的IT上帝。”但是那个意义上的上帝已经死了。IT的权威和目的感将不再从控制人们如何使用技术中获得。
市场研究公司Gartner的Smith说:“IT不能坚持自己产生IT。劳动力队伍的人口统计结论正在发生变化。更为熟悉技术的年轻人正在进入劳动力大军。在CIO们设计公司的IT应用方案时,这些年轻人不会安静坐着。如果你想有一个最为远大的前程,你就不能封闭自己的视野。”
Smith建议CIO们尽量抛弃那种视技术为组织化成果的思维。存在众多以网络为依托的工具能够使公司在不花分文的前提下就能满足雇员们的各种需要。他说,“要眼界开阔,在适当的地方将它们引入”。
这意味着公司将变得越来越凌乱吗?当然了。这是以用户为中心的IT时代的必然后果。但是,凌乱也比停滞好。
Gold说,“处于掌控中的‘混乱’总是很好的。如果你想成为创新者,并运用IT争取竞争上的优势,那就势必存在许多处于掌控中的‘混乱’情形”。
《CIO》BEN WORTHEN 文 Nosa 编译
The viewpoints of the article:
A new IT department is being born. You don‘t control it. You may not even be aware of it. But your users are, and figuring out how to work with it will be the key to your future and your company‘s success.
The era in which IT comes only from your IT department is over. So where does that leave you?
The Shadow IT Department
The consumer technology universe has evolved to a point where it is, in essence, a fully functioning, alternative IT department. Today, in effect, users can choose their technology provider. Your company’s employees may turn to you first, but an employee who’s given a tool by the corporate IT department that doesn’t meets his needs will find one that does on the Internet or at his neighborhood Best Buy. The emergence of this second IT department—call it “the shadow IT department”—is a natural product of the disconnect that has always existed between those who provide IT and those who use it.
The shadow IT department is an entirely different beast.
How to Make Peace With Shadow IT
Techniques will differ for each company depending upon its business, the degree of regulation to which it’s subject, its risk tolerance and so on, but some principles are universally applicable. Here are some starting points.
1. Find out how people really work. Whether you know it or not, your company’s employees are using technology of their choosing, or using technology of your choosing in ways you never intended.
2. Say yes to evolution. CIOs need to make users feel comfortable about bringing their underground behavior into the light. The first step is a change in attitude.
3. Ask yourself if the threat is real. The other part of developing a say-yes reputation is realizing which shadow IT projects really represent a security threat and which just threaten IT’s position as the sole god of technology provisioning.
4. Enforce rules, don’t make them..There’s a fine line between providing access to data and determining who should have access to it. And Manulife’s Harmer says IT often crosses it.
5. Be invisible. Most companies have long lists of policies and regulations with which everyone must comply. But lists don’t enforce themselves.
|
