什麼是影子 IT？

Shadow IT 是指用於企業工作、卻不在既有核准流程內的任何科技。這可能包含檔案分享應用程式、團隊聊天工具、個人筆電、手機網路分享（熱點），或使用公司卡開通的軟體訂閱。

大多數時候，人們並不是為了違反規則才這麼做。他們想要加快速度、解決問題，或使用自己已經熟悉的工具。在小型企業中，這往往是因為對申請新軟體或新裝置，沒有清楚的流程。

問題不在於每一個未核准的工具都一定不好。真正的問題是：企業可能不知道資料存放在哪裡、誰有權限、員工離職後會發生什麼事，或該工具是否符合你們產業的規範。

當工具沒有被追蹤，很多簡單的事情會變得更難。你可能會為重複的軟體付費、錯過續約、讓商業檔案散落在個人帳戶，或太晚才發現只有某位員工知道登入資訊。當公司內沒有人掌握企業依賴哪些工具時，即使是例行的支援也會變得一團亂。

另外還有資安與合規的面向。看似無害的工具仍可能包含客戶資料、付款資訊或健康資訊。各產業與州別規則不同，但醫療產業的企業常會關注 HIPAA（Health Insurance Portability and Accountability Act，健康保險可攜及責任法案）；處理信用卡付款的企業常會關注 PCI（Payment Card Industry Data Security Standard，支付卡產業資料安全標準）。部分公司也會詢問供應商是否符合 SOC 2（常見的報告標準，用來說明服務公司如何處理資安控制）。

Shadow IT 也可能在交接人事時帶來問題。若某個應用程式是用一位員工的個人信箱開通的，當該員工離職後，企業可能很難找回檔案、帳務/付款歷史或管理控制權。

在小型到中型企業中，Shadow IT 往往看起來很「正常」。它不一定是壁櫥裡的祕密伺服器；更常見的是，日常工作在一堆老闆從未核准、或甚至從未察覺的工具中進行。

例如：把共用檔案存放在個人雲端帳戶裡、某個部門在使用免費的專案應用程式、客戶資料被存進瀏覽器外掛、員工用自己的筆電處理工作，或團隊在註冊軟體試用後悄悄轉成付費方案。

「做得好」並不代表要把一切管得那麼緊，讓大家沒辦法工作。做得好是指：用一套簡單、可重複執行的方法來選擇、核准並追蹤企業正在使用的工具。大家應該知道怎麼申請軟體、由誰做決定，以及在正式採用前會先做哪些基本檢查。

健康的設定通常包括：一份已核准的應用程式與裝置清單、每個工具的明確擁有者，以及員工入職與離職的規劃。也建議使用基本防護，例如 MFA（Multi-Factor Authentication，多重因素驗證），意思是在登入時於密碼之外再加上一個第二步驟。

如果你和獨立的 MSP（managed services provider，託管式服務供應商）合作，應該詢問他們如何協助客戶盤點裝置與軟體、檢視權限，並為新工具設定基本標準。部分供應商也會提供端點防護：端點（endpoint）指的是企業裝置，例如筆電、桌機或手機；patching（修補/更新）指的是持續更新軟體以套用修正；以及 EDR（endpoint detection and response，端點偵測與回應），一種資安工具，用來協助偵測裝置上的可疑活動。也有供應商會使用 RMM（remote monitoring and management，遠端監控與管理），這類軟體用來監看系統健康狀況並處理例行維護。最合適的做法取決於你們的規模、現有系統與風險程度。

第一天不需要做到完美。從可視化、清楚的責任歸屬，以及一套大家真的願意使用的簡單核准流程開始。

先問三個問題：我們用哪些應用程式來運作公司？商業資料儲存在什麼地方？每個工具的管理員（admin）權限由誰持有？你可能會驚訝地發現，很多內容其實就藏在電子信箱收件匣、個人帳戶或舊的訂閱裡。

接著做一份簡短清單。把軟體、裝置、帳單/付款的擁有者，以及誰可以用管理員身分登入，記下來。對小型公司而言，就算只是做一份基本的試算表，也比憑感覺猜測更好。目標不是要怪誰；目標是移除盲點。

如果你想知道需要哪一種外部支援，NodeBridge IT 可以協助你了解託管式 IT 服務，並與獨立供應商配對。我們不會代管你的系統或登入你的帳戶。我們只提供一般性教育，並依照你的企業需求進行免費配對。

你也可以在我們的資源知識庫中瀏覽更多白話回答。