Shadow IT: Балансиране на рисковете и ползите, пред които е изправена всяка организация

абстрактен

Отчитането на самообслужване е обещаната земя на деня. Независимо дали става въпрос за Tableau, Cognos Analytics, Qlik Sense или друг инструмент за анализ, всички доставчици изглежда насърчават откриването и анализа на данни за самообслужване. Със самообслужването идва Shadow IT. Полагаме това all организациите страдат от Shadow IT, дебнещ се в сянка, в една или друга степен. Решението е да хвърлите светлина върху него, да управлявате рисковете и да увеличите максимално ползите. 

Overview

В тази бяла книга ще покрием еволюцията на докладването и мръсните тайни, за които никой не говори. Различните инструменти изискват различни процеси. Понякога дори идеологии.  Идеологии са „интегрираните твърдения, теории и цели, които съставляват социално-политическа програма“. Няма да получим социално-политически но не се сещам за дума, която да предам бизнес и ИТ програма. Бих смятал, че базата данни Kimball-Inmon разделя идеологически дебат по подобен начин. С други думи, вашият подход или начинът, по който мислите, движат вашите действия.  

История

Когато IBM 5100 компютър беше най-модерното, $10,000 5 ще ви осигурят 16-инчов екран с вградена клавиатура, XNUMXK RAM и лентово устройство с тегло малко над 50 паунда. Подходящо за счетоводство, това би било свързано към свободно стоящ дисков масив с размерите на малък шкаф за документи. Всяко сериозно изчисление все още се извършваше чрез терминали на мейнфрейм timeshare. (изображение)

"Операторите” управляваше компютрите с последователна верига и контролираше достъпа до външния свят. Екипи от оператори или системни администратори и devops от по-късни дни се разраснаха, за да поддържат непрекъснато нарастващата технология. Технологията беше голяма. Екипите, които ги управляваха, бяха по-големи.

Управлението на предприятието и воденото от ИТ докладване са норма от началото на компютърната ера. Тази идеология е изградена върху строгия, консервативен подход, според който „Компанията“ управлява ресурсите и ще ви осигури това, от което имате нужда. Ако имате нужда от персонализиран отчет или отчет в период от време, който е бил извън цикъла, трябва да подадете заявка.  

Процесът беше бавен. Нямаше иновации. Agile не съществуваше. И подобно на древния чиновник, ИТ отделът се смяташе за главен.

Въпреки недостатъците, това беше направено с причина. Имаше някои ползи да го направя по този начин. Имаше процеси, които всички следваха. Формулярите бяха попълнени в три екземпляра и изпратени през междуофисната поща. Заявките за данни от цялата организация бяха сортирани, разбъркани, приоритизирани и по тях се действаше по предвидим начин.  

Имаше единно хранилище за данни и единен инструмент за отчитане за цялото предприятие. Консервираните отчети, създадени от централен екип, предоставят a единствена версия на истината. Ако числата бяха грешни, всички работеха от едни и същи грешни числа. Има какво да се каже за вътрешна последователност.

Управлението на този начин на правене на бизнес беше предвидимо. Беше бюджетно.  

Тогава един ден преди 15 или 20 години всичко това избухна. Имаше революция. Разширена изчислителна мощност.  Законът на Мур – „изчислителната мощност на компютрите ще се удвоява на всеки две години“ – беше спазено. Компютрите бяха по-малки и повсеместни.   

Все повече компании започнаха да вземат решения въз основа на данни, а не на инстинктите, които са използвали толкова много години. Те осъзнаха, че лидерите в своята индустрия взимат решения въз основа на исторически данни. Скоро данните станаха почти в реално време. В крайна сметка отчитането стана предсказуемо. Първоначално беше елементарно, но беше началото на използването на анализи за вземане на бизнес решения.

Имаше промяна към наемането на повече анализатори на данни и учени по данни, за да помогне на ръководството да разбере пазара и да вземе по-добри решения. Но се случи нещо смешно. Централният ИТ екип не следваше същата тенденция като свиващите се персонални компютри. Не веднага стана по-ефективен и по-малък.

Въпреки това, в отговор на децентрализираната технология, ИТ екипът също започна да става по-децентрализиран. Или поне ролите, които традиционно са били част от ИТ, сега са част от бизнес звена. Във всеки отдел бяха вградени анализатори, които разбираха данните и бизнеса. Мениджърите започнаха да питат своите анализатори за повече информация. Анализаторите от своя страна казаха: „Ще трябва да попълня заявките за данни в три екземпляра. Най-рано ще бъде одобрено на срещата за приоритизиране на данните този месец. Тогава може да отнеме седмица или две, докато IT обработи нашата заявка за данни – в зависимост от работното им натоварване. НО,... ако можех просто да получа достъп до склада за данни, бих могъл да направя запитване за вас този следобед. И така става.

Започна преминаването към самообслужване. ИТ отделът облекчи хватката си върху ключовете към данните. Доставчиците на отчети и анализи започнаха да възприемат новата философия. Това беше нова парадигма. Потребителите откриха нови инструменти за достъп до данни. Те откриха, че могат да заобиколят бюрокрацията, ако просто получат достъп до данните. След това те биха могли да извършват свой собствен анализ и да намалят времето за изпълнение, като изпълняват свои собствени заявки.

Предимства на отчитането и анализа на самообслужване

Предоставянето на директен достъп до данните на масите и отчитането на самообслужване реши редица проблеми,

1. Съсредоточен.  Специално създадените инструменти, които бяха лесно достъпни, замениха един, датиран, многофункционален инструмент за отчитане и анализ, който да поддържа всички потребители и да отговаря на всички въпроси. 
2. Пъргав.  Преди това бизнес звената бяха възпрепятствани от ниска производителност. Достъпът само до данните от миналия месец доведе до невъзможност за гъвкава работа. Отварянето на хранилището за данни съкрати процеса, позволявайки на хората, които са по-близо до бизнеса, да функционират по-бързо, да откриват важни тенденции и да вземат решения по-бързо. По този начин се увеличава скоростта и стойността на данните.
3. В пълна готовност. Вместо потребителите да трябва да разчитат на опита и наличността на други, за да вземат решения вместо тях, те получиха ресурсите, властта, възможността и мотивацията да вършат работата си. Така потребителите получиха правомощия да използват инструмент за самообслужване, който може да ги освободи от разчитането на други в организацията както за достъп до данните, така и за създаване на самия анализ.

Предизвикателства на отчитането и анализа на самообслужване

Въпреки това, за всеки решен проблем със самообслужване, той създаде още няколко. Инструментите за отчитане и анализ вече не се управляваха централизирано от ИТ екипа. Така че други неща, които не бяха проблеми, когато един екип управляваше докладването, станаха по-предизвикателни. Неща като осигуряване на качество, контрол на версиите, документация и процеси като управление на версии или внедряване се погрижиха сами за себе си, когато бяха управлявани от малък екип. Там, където имаше корпоративни стандарти за отчитане и управление на данни, те вече не можеха да се прилагат. Имаше малко прозрение или видимост за това, което се случва извън ИТ. Управление на промените не е съществувало. 

Тези ведомствено контролирани инстанции функционираха като a икономика в сянка което се отнася до бизнес, който се случва „под радара“, това е Shadow IT. Уикипедия определя Shadow IT като „информационни технологии (ИТ) системи, разгърнати от отдели, различни от централния ИТ отдел, за заобикаляне на недостатъците на централните информационни системи." Някои определят Сянка IT повече бroadда включва всеки проект, програми, процеси или системи, които са извън контрола на ИТ или infosec.

Уау! Забави. Ако Shadow IT е проект, програма, процес или система, която ИТ не контролира, тогава тя е по-разпространена, отколкото си мислехме. Има го навсякъде. Да го кажа по-откровено, всеки организацията има Shadow IT, независимо дали го признават или не.  Просто се свежда до въпрос на степен. Успехът на една организация в справянето със Shadow IT зависи до голяма степен от това колко добре се справят с някои ключови предизвикателства.

• Охрана. В горната част на списъка с проблеми, създадени от Shadow IT е рискове за сигурността. Помислете за макроси. Помислете за електронни таблици с PMI и PHI, изпратени по имейл извън организацията.
• По-висок риск от загуба на данни.  Отново, поради несъответствия в изпълнението или процесите, всяка отделна реализация може да бъде различна. Това затруднява доказването, че се следват установените бизнес практики. Освен това, това затруднява дори спазването на прости заявки за одит на използване и достъп.
• Проблеми със съответствието.  Свързано с въпросите на одита, също така има повишена вероятност от достъп до данни и потоци от данни, което прави по-трудно спазването на регулации като Закон Сарбейн-Оксли, GAAP (Общоприети счетоводни принципи), HIPAA (Закон за преносимост и отчетност на здравното осигуряване) и други
• Неефективност в достъпа до данни.  Въпреки че един от проблемите, които разпределеният ИТ се опитва да реши, е скоростта на данните, неочакваните последици включват скрити разходи за не-ИТ работници във финансите, маркетинга и човешките ресурси, например, които прекарват времето си в дебат за валидността на данните, примирявайки се с номерата на съседите им и се опитват да управляват софтуера от мястото на гащите.
• Неефективност в процеса. Когато технологията е възприета от множество бизнес единици независимо, това са и процесите, свързани с тяхното използване и внедряване. Някои може да са ефективни. Други не толкова.  
• Непоследователна бизнес логика и дефиниции. Няма вратар, който да установява стандарти, има вероятност да се развият несъответствия поради липса на тестване и контрол на версиите. Без единен подход към данните или метаданните бизнесът вече няма единна версия на истината. Отделите могат лесно да вземат бизнес решения въз основа на погрешни или непълни данни.
• Липса на съответствие с корпоративната визия.  Shadow IT често ограничава реализацията на ROI. Корпоративните системи за договаряне на договори с доставчици и мащабни сделки понякога се заобикалят. Това потенциално може да доведе до излишно лицензиране и дублиране на системи. Освен това, това нарушава преследването на организационните цели и стратегическите планове на ИТ.

Изводът е, че добрите намерения за приемане на отчитане на самообслужване доведоха до непредвидени последици. Предизвикателствата могат да бъдат обобщени в три категории: управление, сигурност и бизнес привеждане в съответствие.

Не се заблуждавайте, бизнесът се нуждае от овластени потребители, които да използват данни в реално време с модерни инструменти. Те също така се нуждаят от дисциплината за управление на промените, управление на версиите и контрол на версиите. И така, отчитането на самообслужване/BI е измама? Можете ли да намерите баланс между автономия и управление? Можете ли да управлявате това, което не виждате?

Решението

Спектърът за самообслужване на BI 

Сянката вече не е сянка, ако я осветите. По същия начин, Shadow IT вече не трябва да се страхува, ако бъде изведен на повърхността. При разкриването на Shadow IT можете да се възползвате от предимствата на отчитането на самообслужване, което бизнес потребителите изискват, като в същото време намалявате риска чрез управление. Управлението на Shadow IT звучи като оксиморон, но в действителност е балансиран подход за привеждане на надзор към самообслужване.

Харесва ми това авторска аналогия (заимствана от Кимбъл) на BI/отчитане на самообслужване, оприличено на ресторант на шведска маса. Бюфетът е на самообслужване в смисъл можете да получите всичко, което искате и го върнете на масата си. Това не означава, че ще отидете в кухнята и сами ще сложите пържолата си на скара. Все още имате нужда от този готвач и нейния кухненски екип. Същото е и с отчитането на самообслужване/BI, винаги ще имате нужда от ИТ екипа, който да подготви пакета от данни чрез извличане, трансформиране, съхранение, защита, моделиране, запитване и управление.  

Един бюфет с всичко, което можете да ядете, може да е твърде проста аналогия. Това, което наблюдаваме е, че има различни степени на участие на екипа на кухнята на ресторанта. При някои, като традиционния бюфет, те приготвят храната отзад и подреждат шведската маса, когато е готова за ядене. Всичко, което трябва да направите, е да заредите чинията си и да я върнете на масата си. Това е Las Vegas MGM Grand Buffet или бизнес моделът Golden Corral. В другия край на спектъра са бизнеси като Home Chef, Blue Apron и Hello Fresh, които доставят рецепта и съставки до вашата врата. Изисква се малко сглобяване. Те пазаруват и планират храненето. Вие правите останалото.

Някъде по средата, може би, са места като Mongolian Grill, които са приготвили съставките, но са ги поставили, за да изберете и след това дадете чинията си със сурово месо и зеленчуци на главния готвач, за да я постави на огъня. В този случай успехът на крайния резултат зависи (поне отчасти) от вас да изберете комбинация от съставки и сосове, които се съчетават добре. Зависи и от подготовката и качеството на храната, от която трябва да избирате, както и от уменията на главния готвач, който понякога добавя свои собствени щрихи.

Спектърът за самообслужване на BI

Анализът на самообслужване е почти същият. Организациите с анализ на самообслужване са склонни да попадат някъде в спектъра. В единия край на спектъра са организации, като MGM Grand Buffet, където ИТ екипът все още извършва подготовка на всички данни и метаданни, избира инструмента за анализ и отчитане за цялото предприятие и го представя на крайния потребител. Всичко, което крайният потребител трябва да направи, е да избере елементите от данни, които иска да види, и да изпълни отчета. Единственото самообслужване на този модел е, че отчетът все още не е създаден от ИТ екипа. Философията на организациите, които използват Cognos Analytics, попада в този край на спектъра.

Организациите, които в по-голяма степен приличат на комплектите за хранене, доставени на вашата врата, са склонни да предоставят на своите крайни потребители „комплект с данни“, който включва данните, от които се нуждаят, и избор на инструменти, с които могат да имат достъп до тях. Този модел изисква от потребителя да разбере по-добре както данните, така и инструмента, за да получи отговорите, от които се нуждае. Според нашия опит компаниите, които използват Qlik Sense и Tableau, са склонни да попадат в тази категория.

Корпоративните инструменти като Power BI са по-скоро като Mongolian Grill – някъде по средата.  

Въпреки че можем да обобщим и поставим организации, които използват различни инструменти за анализ, в различни точки от нашия „BI Self-Service Spectrum“, реалността е, че позицията може да се промени поради няколко фактора: компанията може да приеме нови технологии, компетенцията на потребителите може да се увеличи, управлението може да диктува подход или предприятието може просто да се развие към по-отворен модел на самообслужване с повече свобода за потребителите на данни. Всъщност позицията в спектъра може дори да варира в различните бизнес единици в рамките на една и съща организация.  

Еволюцията на анализа

С преминаването към самообслужване и тъй като организациите се движат вдясно в BI Buffet Spectrum, традиционните диктаторски центрове за върхови постижения бяха заменени с съвместни общности от практики. ИТ може да участва в тези матрични екипи, които помагат за социализирането на най-добрите практики между екипите за доставка. Това позволява на екипите за разработка от страна на бизнеса да поддържат известна автономия, докато работят в рамките на корпоративните граници на управление и архитектура.

ИТ трябва да остане бдителен. Потребителите, създаващи свои собствени отчети – а в някои случаи и модели – може да не са наясно с рисковете за сигурността на данните. Единственият начин за предотвратяване на потенциални течове на сигурността е активното търсене на ново съдържание и оценката му за съответствие.

Успехът на управляваните Shadow IT се основава и на процесите, които се прилагат, за да се гарантира спазването на политиките за сигурност и поверителност. 

Парадокси на самообслужването 

Регулираният анализ на самообслужване помирява полярните сили, противопоставящи свободата срещу контрола. Тази динамика се проявява в много области на бизнеса и технологиите: скорост срещу стандарти; иновации срещу операции; пъргавина срещу архитектура; и нуждите на отделите срещу корпоративните интереси.

-Уейн Ериксън

Инструменти за управление на Shadow IT

Балансирането на рисковете и ползите е от ключово значение за разработването на устойчива политика за сянка на ИТ. Използването на Shadow IT за разкриване на нови процеси и инструменти, които биха позволили на всички служители да се отличават в ролите си, е просто интелигентна бизнес практика. Инструментите с възможност за интегриране с множество системи предлагат на компаниите решение, което може да успокои както ИТ, така и бизнеса.

Рисковете и предизвикателствата, породени от Shadow IT, могат да бъдат значително смекчени чрез прилагане на процеси на управление, за да се гарантира, че качествените данни са достъпни за всички, които се нуждаят от тях чрез достъп на самообслужване.

Ключови въпроси 

Ключови въпроси, на които ИТ сигурността трябва да може да отговори, свързани с видимостта и контрола на ИТ в сянка. Ако имате системи или процеси, за да отговорите на тези въпроси, трябва да можете да преминете раздела за сянка на ИТ на одит на сигурността:

1. Имате ли политика, която обхваща Shadow IT?
2. Можете ли лесно да изброите всички приложения, използвани във вашата организация? Бонус точки, ако имате информация за версията и нивото на корекция.
3. Знаете ли кой е модифицирал аналитичните активи в производството?
4. Знаете ли кой използва Shadow IT приложения?
5. Знаете ли кога съдържанието в производството е последно променено?
6. Можете ли лесно да се върнете към предишна версия, ако има дефекти в производствената версия?
7. Можете ли да възстановите лесно отделни файлове в случай на бедствие?
8. Какъв процес използвате за извеждане от експлоатация на артефакти?
9. Можете ли да покажете, че само одобрени потребители са имали достъп до системата и са популяризирали файлове?
10. Ако откриете недостатък във вашите числа, как да разберете кога е въведен (и от кого)?

Заключение

Shadow IT в многобройните си форми е тук, за да остане. Трябва да хвърлим светлина върху него и да го изложим, за да можем да управляваме рисковете, като същевременно се възползваме от ползите от него. Това може да направи служителите по-продуктивни, а предприятията по-иновативни. Въпреки това, ентусиазмът за ползите трябва да бъде смекчен от сигурност, съответствие и управление.   

Препратки

Как да успеем с анализ на самообслужване Балансиране на овластяване и управление

Определение на идеологията, Merriam-Webster

Определение за сенчеста икономика, пазарни бизнес новини

Shadow IT, Wikipedia 

Shadow IT: гледната точка на CIO

Единична версия на истината, Уикипедия

Успех с анализ на самообслужване: Проверете нови отчети

Еволюция на операционния модел на ИТ

Измислицата за BI на самообслужване

Какво е Shadow IT?, McAfee

Какво да направите за Shadow IT