CIAPH 第八届医药健康行业信息化高峰论坛
CIO如何治理SaaS?
2014-08-19  来源:techtarget

业务对SaaS应用不情不愿的采纳会对CIO有怎样的影响?脱下隐形斗篷的影子应用将成为一个千载难逢的实现业务目标,加强安全性能并节省资金的机会。

CIO们往往会陷入两难境地。首先,业务用户采用的SaaS应用并不受控制且未经批准。如果对业务使用基于云的应用视而不见的话,CIO们可能会让他们的企业面临数据泄露方面的更大风险,根据Ponemon Institute最近的一项研究,该风险会扩大三倍以上。

而另一方面,取缔影子应用的话,风险就会被贴上“CIO说不”的标签,就算为了信息安全,这也是一个CIO不能承受之标签。从Salesforce和linkedIn到Dropbox和Gmail,以至于每一个企业功能的局部解决方案,由业务委托却未经批准的SaaS服务正在帮助员工提高效率,生产力和创新能力。那么,CIO们要如何开始发展SaaS的风险策略,使其规避风险但又有所益助?

“透明度是获得治理战略的第一阶段”,CIGNA Corp前首席信息安全官Craig Shumard说,“未知事物将会咬伤你。”

CIO们需要整理一份所有的云应用程序的清单。发现的过程完成后,配合业务领导的IT部门必须“做一个有意识的你与哪个更融洽的决定,”Shumard说,“然后引导人们做出良好的行为。”除了指出供应商的风险,IT可以战略性地利用清单来照亮冗余,从而节省公司资金,并指明可以在哪方面缩减IT,他说。

当然,这种提醒说起来容易做起来很难。 六月发表的Ponemon Institute研究报告,调查了大约600名熟悉他们的公司云服务使用情况的美国IT从业者。受访者认为,近50%业务使用的基于云的应用程序是对IT部门不可见的,其中包括36%被视为关键业务的半数。 另外,发现哪些员工是从行业预计5000下载并对云服务计数的是一个不可完成的任务。很多情况下,基于云的应用程序都是免费的,所以甚至不需要信用可就可以完成下载,这意味着不仅是IT部门,甚至公司的采购办公室也不清楚这些下载。此外,当今由IT规划的云计算环境,包括应用的安全适用性,即将发生改变。而且,就算有风险的影子SaaS应用被识别出来,也不要过分期待保证企业就绪的云供应商的帮助。

Dropbox惊喜

Larry Bolick是Aquent首席信息官,这家总部位于波士顿的市场营销和人员配备公司在世界各地都有办事处。与“CIO说不”相反,Bolick充分肯定云应用基于日常和长期的商业价值。 2009年,公司的从传统的电话系统迁移到基于云的VoIP功能促成了一场业务的转型:由于系统允许Aquent使用单一的电话交换机统一处理全部的北美办事处,员工可以通过业务领域而不是地理区划进行分组,大大提高了公司服务其财富500强客户的能力。云进军累积的商业利益导致公司迅速决定将其前台办公IT服务迁移到谷歌,亚马逊和其他云服务提供商。

“因为较早迁移到了云服务中,我们不得不思考SaaS服务的风险,” Bolick说。在其云计算的环境下,大部分公司的“实验者”,他这样称呼他们,生活在谷歌的世界中。 “他们会尝试谷歌小工具,诸如此类的东西,但这都在我们的领域的范围内。从这个角度看,我们处于合理而良好的状态中,”他说。

然而,这并不意味着IT对影子应用的免疫。最近一封来自Dropbox的邮件通知Bolick说,他的用户在该流行文件共享服务商处有几十个账户。“我们认为你会希望了解这一点,他们说,并建议是时候研究一下企业账户了,”他回忆说。

Bolick自己也做了调,并证实了Dropbox的数据。 “大量的Dropbox使用如雨后春笋般出现,所以我们推出了一个企业账户。这是一个非常有效的销售模式。”(现在该数字介于150和200之间)新的企业帐户声明中也提到,员工可随意因个人原因使用Dropbox。“我们并不在意,”Bolick说。然而,当Aquent的员工因业务需求使用Dropbox时,则必须使用企业帐户。让现有的Dropbox用户从业务数据拆分出他们的个人资料将是一个“艰巨的任务”,部分原因在云供应商,理由是隐私问题,“其并不会特别热心于帮助你完成这一工作,”Bolick说。 “他们说,要由用户自行分开数据。”

成效卓著的治理

尽管如此,Aquent在 SaaS治理方面仍然遥遥领先。Bolick表示,他在公司决定转移到云服务之后的第一个也是最重要的决定,就是意识到只有IT不能管理业务对SaaS应用的使用。“CIO说了什么,会有特定的偏差,而IT则被看作是自成一体的。”

相反,Bolick采取了“力量倍增法”,与人力资源和法律部门联合形成了所谓的“隐私团队”,一个每两周讨论一次云计算战略并审查任何操作(例如中断),以及与云服务的安全问题的五人团队。

Bolick认为,隐私团队已被证明是减轻SaaS的风险和发展影子应用策略的有效工具。

首先,整合三个部门的利益要比整个公司的容易很多,他说。而当问题出现IT又认为其难以控制时,力量倍增效应则开始高速运转。

现成的例子就是对公司在2009年采用的Gmail和存储应用的两步验证流程。“让大家在四年后重新进行两步验证流程不是件容易的事。所以我们决定向员工们举例说明如果不采用两步验证流程可能导致的结果,Bolick说。

恐慌活动的方式获得了85%的合作,Bolick说,“所以我们快要搞定了。”为了集合落伍者,他会从他的办公室发送了一封电子邮件,“如果有人被落下,我会调用隐私团队,这一般都能搞定他们了。”