CSA将shadow IT定义为“在企业IT部门以外所发生的技术投入和部署，包括个别员工、团队和业务部门所采用的云应用程序。”近一半的受访者(49%)表示，关于shadow IT，他们主要关心的是企业数据在云中的安全性。

　　根据企业云服务监控公司Skyhigh Networks进行的《2014年Q3企业云计算采用和风险报告》显示，企业的上述担心是合理的。Skyhigh梳理了来自全球350多家企业的超过1300万用户的数据。这些数据代表了所有主要的垂直市场和行业。该份报告首先强调的是企业所使用的云服务的平均数：831，而上一季度，该平均数仅为738。

　　对于任何企业而言，这都绝对可以说是一个相当大的云服务量。据Skyhigh介绍，较为常见的情况是：一些云服务已然获得了企业IT部门的主张认可，但仍有相当数量的云服务并未获得企业IT部门的认可，而这也就是shadow IT这一问题产生的根源了。许多公司甚至根本不知道他们的员工正在使用什么样的服务，这就形成了关注不仅对于企业数据安全的担忧，同时还有对于潜在的违规行为，公司政策冲突，造成冗余、效率低下等问题。

　　Skyhigh Networks运营了一个CloudTrust项目，该项目定义了一个覆盖面广泛的云服务属性列表来确定云服务可能涉及的风险。这些属性包括数据共享，数据传输过程中的加密，多因素认证，用户活动日志，使用条款，隐私权政策等等其他因素。Skyhigh的研究发现，当涉及到对于风险规避的严格要求时，只有不到10%的云服务满足了目前大多数企业所看重的安全价值需求。这意味着，当前企业用户所采用的90%的云服务都可能让企业暴露在一种或几种的风险中。

　　例如，只有2.9%的服务执行了强密码策略，只有1%的客户控制着加密数据的数据密钥。在较为积极的方面，78.1%的服务数据在传输过程中实施了加密，10.1%的在云中的数据实施了加密，而服务提供商仍然控制着加密密钥，至少他们在努力帮助保护客户的数据。

　　一些云服务提供商(占21.2%)获得了相关认证，如SAS 70，SSAE16，或者ISAE3402，并让第三方对他们的服务实施渗透测试(39.5%)。然而，该领域仍然有很长的路要走，直到所有的云服务供应商均采用了这些为企业用户所高度期望的安全验证的基本原理。

　　根据Skyhigh的统计数据显示，平均而言，企业使用37种不同的文件共享服务，包括混合企业就绪服务和高风险服务。企业用户平均使用125种协同服务。不管这些服务对企业用户而言是否意味着某些程度的风险，问题的关键在于，数据分散在如此多不同的服务中，会使得企业不知道其数据都存在何处了，进而也就无法针对如此众多的服务实施充分的保护措施了。

　　许多公司试图阻止不符合他们的使用策略的云服务的访问。然而，Skyhigh指出，在企业预设的被阻止的访问和实际阻止的访问之间存在巨大差异。Skyhigh称其为“云执性差距。“云服务带来新的URL无法被阻止时，或访问时的政策对于整个企业而言是不规范的，或当某些群体获得访问各种服务的例外特权时，该差距进一步拉大。而这种云执行的差距就意味着——shadow IT。

　　据该份报告：“无论这些云服务对于企业用户而言是否存在风险，或相关的云访问是否真的需要被阻止，这些均说明了企业用户并没有强制执行一致的访问政策，因为他们认为他们是这些政策仅仅是为了保证企业能够满足安全性和法规要求。我们的研究结果表明企业用户亟待加强执行现有政策，以满足这些需求。”

　　责任编辑：DJ编辑