影子IT是指未经组织统一，而在组织内建立和使用的IT系统和解决方案，这些企业内部的“影子IT”往往成为众多CIO的心病。如何建立统一规范的IT系统，从而有效的避免影子IT的出现，成为CIO们追求的某种境界，本文将站在IT的角度，为 CIO们提供一些可参考的手段。

从网络监控入手，发现是否存在影子IT

　　不管员工用公司设备还是自己携带的设备访问公司数据，多要有一个可供监测用户身份的平台，从而确定员工访问的是本地数据、数据中心数据还是云端的数据。其次，为了确定是否存在影子IT，你需要加强对联网设备的监控，去分析哪些是新加入的设备，是否都有登记，

风险等级评估

　　企业IT人员需要认识到，并非IT之外的所有软件或服务都是有危害的。IT部门需要对存在的影子IT应用和服务进行风险评估，找出最有危险等级最高的软件或服务，进行重点监控，并对所有是哟个该服务的人员进行必要的管理。

健全BYOD、应用程序及云服务的用户规范

　　BYOD显然已经成为一种常态。IT部门需要对积极应对BYOD所带来的潜在影响，通过制定一些用户规范，可以让其他部门的员工了解如何在公司正常使用设备，并督促他们在购买新设备时有一些参考。

提供更多的选择

　　互联网发展已经渗透到人们生活的方方面面，公司员工希望能在不同的场合、不同的设备、不同的时间上访问公司的数据，这就给IT提出了新的要求，如果IT不能提供这些便利，员工可能会选择他们喜欢的或习惯的工具来完成工作，此时数据的安全性便受到很大的威胁。因此，IT部门要尽可能的提供更多可供选择的设备和服务。

严格控制接入第三方应用

　　IT需要对接入系统的第三方应用保持警惕。无处不在的分享功能，极容易让企业数据被分享到企业外部的社交或存储平台上，比如dropbox、skydrive、sharepoint等等。然而一刀切的禁止使用也不现实，最切合实际的办法便是加强对员工的网络风险培训。