IT拥有成本，包括设备、许可证、服务正持续下降。至少你的最终用户这样认为。

笔记本电脑、平板和智能手机设备迫使企业在移动功能上投资巨大。软件即服务（Saas）几乎使得任何人都能以低成本甚至免费获得订阅，开源软件则免费提供给任何想要下载的人。

为什么最终用户要去IT部门索求他们认为需要花上很长一段时间来采购和激活，并且产生大量成本的东西？相反，他们可以自己解决，而且自给自足。

员工使用外部平台会带来无数的问题——有的明显，有的不是很明显。

影子IT模式可以帮助个体，但是否可以帮助小组、部门或企业？在数万人规模的大企业里，维持控制是个难题，即使其IT部门非常集中。例如，许多大型组织都拥有五个以上的企业资源规划软件运作——不是因为IT希望这样，而是因为它刚好这样发生了。

现在，每个拥有信用卡的员工，都成了事实上的“采购部”，成百上千这种用户将成为IT的噩梦。影子IT情况在小规模组织中要好得多。以一支50人的团队为例，基本没有IT部，能成为IT负责人可能是因为他家里的电脑配置最高。此人负责调查和管理影子IT，可能只是简单询问业务是否都正常，没有合格性证明，功能测试，在合同谈判时也没有任何报价。

Dropbox、Box和其他简单易用的文件分享系统创建的信息孤岛，IT和业务部门对此都不知情，断开了与数据中心中央服务器和存储，甚至许可的云服务联系。所有这些信息都可能导致聚合能力、安全内容、使用情况和其他报告在一个较高的风险级别，可能使业务决策复杂化。虽然个人使用可能让其工作简化，但他的流氓IT可能导致经营失败。

将影子IT与GRC关联起来

组织不能指望员工理解公司的治理、风险与法规遵从（GRC）信息，如数据保护法案、个人身份信息或ISO标准。IT平台外部发现的数据往往会打破公司IT组织努力想要达到的GRC要求。

影子IT同样对未来也有影响。如果外部服务提供商倒闭？如果外部IT平台被黑客攻破？对影子存储数据会有什么影响？如果员工离职去了主要竞争对手那里，他是否能够继续访问这些外部网站数据？

首先，了解组织内真正发生了什么事件。采用映射工具简单记录硬件和软件资产关联情况，并了解哪些是与IT平台冲突的。那里很可能有个大惊喜。例如，没有获得授权使用企业级存储区域网络的部门，可能会拥有自己的网络存储设备，而且是在IT预算之外购买的。软件合规性也一样，还有那台NAS设备可能运行着MySQL或Microsoft SQL Server副本，即使组织的数据库管理标准是Oracle。

一旦你了解了哪些外部IT平台正在被使用，就可以做一些事情来控制它。

使用流量嗅探器，如Microsoft Network Monitor或Wireshark，寻找哪些流量正跨越你的网络边界：你可能只希望看到邮件和网络流量。SaaS供应商通常都提供标准的网站浏览协议，通过80端口传输信息，用户无须在防火墙上进行额外的操作。你可以查出这些流量是从何而来并去向何处，并建立用户行为记录数据库。

接着你可能对终端用户出示大棒政策，在他们做出蠢事之前加以阻止。但是这种方法绝对行不通。你拥有外部IT平台的全部记录，但不知道他们为何要使用这些。去和终端用户聊聊，并找出他们为何不用企业资源的原因。某些情况下，很可能是因为他们不知道自己拥有改企业功能。其他情况下，也许是因为他们找不到合适的方法，并且害怕接近你，因为觉得这方面需求会影响复杂性和IT项目总成本。评估他们的需求并判断项目对业务的价值。试着咨询用户这个项目是否对他们有利。

如果用户的影子IT拥有雄厚的商业价值，就必须评估正在使用的软件或服务。如果其满足企业的功能性与安全性需求，那也是个不错的方法。如果没有，是否可以找到相似的IT平台呢？

这也是开始让其变得更容易，并且让业务回归有序的方法。你正在展示自己愿意倾听，并且准备将他们在外部做的不少好事搬回组织。只要你能够提供相同甚至更好的功能，他们可以不用去担心底层技术——所以，在上述例子中，他们选择MySQL还是什么的都不再重要，只要你能通过Oracle实现这一点。

掌握了这些信息后，IT在申请投资企业级的本地化服务已经做了更好的准备，最终用户将可以自助访问服务。健全的IT内部成本控制，很容易被未受控制的最终用户带来的隐形成本而破坏，这些业务通过信用卡消费报销传递，并且不支持GRC，也不受数据访问控制安全的控制。

这样也有助于管理内的部门影子IT。管理层现在也知道了外部IT平台的隐性成本——如果有业务经理希望按他们的方式走，他不仅要向IT来证明。他还需要向公司管理层证明。IT就重新获得了预算、用户和企业信息的控制权。