影子 IT (shadow IT )，指的是企業內部人員使用非公司傳統的 IT 系統，改以雲端服務儲存企業資料，或是利用未經許可的 SaaS 服務 (Software as a service) 進行作業程序，其雖然能有效提升工作績效，卻間接造成企業資安潛在風險，引起不少業者省思該如何妥善做好風險控管，在操作使用面與資訊安全中取得最佳平衡點。

根據 McAfee Software 贊助的分析報告研究發現，其實影子 IT 並非如此神秘，由於雲端與 SaaS 服務應用優勢，故其充分運用於各企業組織中，舉例而言，你是否曾經利用行動裝置或是雲端服務存取公司文件呢？透過以下六點分析，我們將可以清楚了解到影子 IT 的真實存在。

1. 無所不在的服務應用

方才提出的問題，相信多數人都會回答曾使用過雲端服務存取公司資料吧！研究發現，超過 80% 的受訪者承認曾於工作中使用過尚未經過批准的 SaaS 服務，而這些未經批准的應用程式因為其高度便利性，使得內部人員即使無經過許可亦會自行下載使用。

2. 最大的敵人就是自己

為什麼會這樣說呢？因為研究中發現了一項有趣現象，那就是多數使用影子 IT 服務的人……就是 IT 專職員工本身呢！

3. 缺乏明確使用規範

多數企業對於雲端服務與 SaaS 服務並無明顯使用規範，即使有亦散佈各處，無法讓每位員工清楚了解，如此一來便無法有效管理員工使用狀況，因此建議企業要逐步重視此類議題，加強內部資訊安全管理，有效控管 IT 資源應用。

4. 良善的使用出發點

企業員工之所以使用影子 IT 服務，往往只是單純想要藉此提升工作效率，利用雲端服務與 SaaS 服務解決各項工作問題，帶來更佳作業效能，因此我們無法只因為其潛在風險，就抹滅掉影子 IT 的其他利益。

5. SaaS 服務廣泛應用

其實在工作中免不了接觸到 SaaS 服務的延伸應用，舉凡企業內部的各種營運系統，或是線上操作平台，都可以算是一種 SaaS 服務，因此若只是單純的限制使用權限，不如善盡管理責任吧。

6. 可接受的存在風險

將近 15% 的員工都了解影子 IT 存在風險，但這樣依舊無法阻止他們使用。對大部份人而言，每件事都存在著一定風險，而影子 IT 確實能提升工作效能，帶來相當大的助益，因此使得多數員工選擇忽略資訊安全問題，進而繼續使用。

最後，透過這份報告並非是要讓企業以高壓手段阻止影子 IT 現象，正所謂防不勝防，與其一意孤行的限制，不如制定明確管理制度，做好資安防護作業，帶來雙贏的使用局面。

參考資料：6 reasons why shadow IT is emerging from the shadows

圖片來源：pixabay.com/harrivicknarajah0