Shadow IT: Balansiranje rizika i koristi sa kojima se svaka organizacija suočava

sažetak

Samouslužno izvještavanje je obećana zemlja dana. Bilo da se radi o Tableauu, Cognos Analyticsu, Qlik Senseu ili drugom alatu za analizu, čini se da svi dobavljači promoviraju samouslužno otkrivanje i analizu podataka. Uz samoposluživanje dolazi Shadow IT. Mi to pretpostavljamo sve organizacije pate od Shadow IT koji vrebaju u sjeni, u ovom ili onom stepenu. Rješenje je rasvijetliti to, upravljati rizicima i maksimizirati koristi. 

pregled

U ovoj bijeloj knjizi ćemo pokriti evoluciju izvještavanja i prljave tajne o kojima niko ne govori. Različiti alati zahtijevaju različite procese. Ponekad čak i ideologije.  Ideologije su "integrisane tvrdnje, teorije i ciljevi koji čine društveno-politički program." Nećemo dobiti sociopolitički ali ne mogu da smislim nijednu reč kojom bih preneo poslovni i IT program. Smatrao bih da baza podataka Kimball-Inmon dijeli ideološku debatu na sličan način. Drugim riječima, vaš pristup, ili način na koji razmišljate, pokreće vaše postupke.  

pozadina

kada je IBM 5100 PC bio najmoderniji, 10,000 dolara bi vam dalo ekran od 5 inča sa ugrađenom tastaturom, 16K RAM-a i kasetofonom težak nešto više od 50 funti. Pogodno za računovodstvo, ovo bi bilo povezano sa samostojećim diskovnim nizom veličine malog ormarića za dokumente. Svako ozbiljno računanje i dalje se obavljalo preko terminala na mainframe timeshare-u. (slika)

"operatori” je upravljao računarima u nizu i kontrolisao pristup vanjskom svijetu. Timovi operatera, ili kasnijih sysadmina i devopova, rasli su kako bi podržali tehnologiju koja stalno raste. Tehnologija je bila velika. Timovi koji su njima upravljali bili su veći.

Upravljanje preduzećem i izvještavanje vođeno IT-om bili su norma od početka kompjuterske ere. Ova ideologija je izgrađena na tvrdoglavom, konzervativnom pristupu da “Kompanija” upravlja resursima i da će vam pružiti ono što vam je potrebno. Ako vam je potreban prilagođeni izvještaj ili izvještaj u vremenskom okviru koji je bio izvan ciklusa, morate podnijeti zahtjev.  

Proces je bio spor. Nije bilo inovacije. Agile nije postojalo. I, poput drevnog svešteničkog skupa, IT odjel se smatrao glavnim.

Uprkos nedostacima, to je učinjeno s razlogom. Bilo je nekih prednosti da se to uradi na ovaj način. Postojali su procesi koje su svi pratili. Obrasci su popunjeni u tri primjerka i proslijeđeni putem međukancelarijske pošte. Zahtjevi za podacima iz cijele organizacije sortirani su, promiješani, raspoređeni po prioritetima i po njima se postupalo na predvidljiv način.  

Postojalo je jedno skladište podataka i jedan alat za izvještavanje za cijelo preduzeće. Konzervirani izvještaji kreirani od strane centralnog tima su obezbijedili a jedna verzija istine. Ako su brojevi bili pogrešni, svi su radili od istih pogrešnih brojeva. Ima nešto da se kaže o unutrašnjoj doslednosti.

Upravljanje ovakvim načinom poslovanja bilo je predvidljivo. Bilo je povoljno.  

Onda je jednog dana prije 15 ili 20 godina sve to eksplodiralo. Došlo je do revolucije. Proširena računarska snaga.  Mooreov zakon – “procesorska snaga računara će se udvostručiti svake dvije godine” – poštovano je. Računari su bili manji i sveprisutni.   

Više kompanija počelo je donositi odluke na osnovu podataka, a ne instinkta koje su koristili toliko godina. Shvatili su da lideri u svojoj industriji donose odluke na osnovu istorijskih podataka. Ubrzo su podaci postali skoro realni. Na kraju je izvještavanje postalo predvidljivo. U početku je bilo rudimentarno, ali je to bio početak korištenja analitike za donošenje poslovnih odluka.

Došlo je do pomaka ka angažovanju više analitičara podataka i naučnika koji bi pomogli menadžmentu da razume tržište i donese bolje odluke. Ali desila se smiješna stvar. Centralni IT tim nije pratio isti trend kao smanjeni personalni računari. Nije odmah postao efikasniji i manji.

Međutim, kao odgovor na decentralizovanu tehnologiju, IT tim je takođe počeo da postaje decentralizovaniji. Ili, barem uloge koje su tradicionalno bile dio IT-a, sada su dio poslovnih jedinica. Analitičari koji su razumjeli podatke i poslovanje bili su ugrađeni u svako odjeljenje. Menadžeri su počeli pitati svoje analitičare za više informacija. Analitičari su zauzvrat rekli: „Morat ću popuniti zahtjeve za podacima u tri primjerka. Najranije će biti odobreno na sastanku za utvrđivanje prioriteta podataka ovog mjeseca. Tada može potrajati sedmica ili dvije da IT obradi naš zahtjev za podacima – u zavisnosti od njihovog radnog opterećenja. ALI,... kada bih samo mogao da dobijem pristup skladištu podataka, mogao bih da vam postavim upit danas popodne.” I tako to ide.

Počeo je prelazak na samoposluživanje. IT odjel olakšao je stisak na ključeve podataka. Prodavci izvještavanja i analitike počeli su prihvaćati novu filozofiju. Bila je to nova paradigma. Korisnici su pronašli nove alate za pristup podacima. Otkrili su da bi mogli zaobići birokratiju ako bi samo dobili pristup podacima. Tada bi mogli izvršiti vlastitu analizu i skratiti vrijeme obrade pokretanjem vlastitih upita.

Prednosti samouslužnog izvještavanja i analitike

Omogućavanje direktnog pristupa podacima masama i samouslužno izvještavanje riješilo je niz problema,

1. Fokusirano.  Namenski napravljeni alati koji su bili lako dostupni zamenili su jedan, zastareli, višenamenski alat za izveštavanje i analitiku kako bi podržali sve korisnike i odgovorili na sva pitanja. 
2. Okretan.  Ranije su poslovne jedinice bile sputane lošom produktivnošću. Pristup samo prošlomjesečnim podacima doveo je do nemogućnosti agilnog rada. Otvaranje skladišta podataka skratilo je proces omogućavajući onima koji su bliži poslu da brže funkcionišu, otkrivaju važne trendove i brže donose odluke. Dakle, povećana je brzina i vrijednost podataka.
3. Empowered. Umjesto da se korisnici moraju osloniti na stručnost i dostupnost drugih da donose odluke umjesto njih, oni su dobili resurse, ovlaštenje, priliku i motivaciju da rade svoj posao. Dakle, korisnici su postali osnaženi koristeći samouslužni alat koji ih je mogao osloboditi oslanjanja na druge u organizaciji kako za pristup podacima tako i za kreiranje same analize.

Izazovi samouslužnog izvještavanja i analitike

Međutim, za svaki riješen problem samouslužnog izvještavanja, kreirao je još nekoliko. IT tim više nije centralno upravljao alatima za izvještavanje i analitiku. Dakle, druge stvari koje nisu bile problem kada je jedan tim upravljao izvještavanjem postale su izazovnije. Stvari kao što su osiguranje kvaliteta, kontrola verzija, dokumentacija i procesi poput upravljanja izdanjima ili implementacije su se brinule same za sebe kada je njima upravljao mali tim. Tamo gdje su postojali korporativni standardi za izvještavanje i upravljanje podacima, oni se više nisu mogli provoditi. Bilo je malo uvida ili vidljivosti u ono što se dešavalo izvan IT-a. Upravljanje promjenama nije postojalo. 

Ove instance pod kontrolom odjela funkcionisale su kao a sjena ekonomija što se odnosi na poslove koji se dešavaju 'ispod radara', ovo je Shadow IT. Wikipedia definira Shadow IT kao “informacione tehnologije (IT) sistemi koje su implementirala odeljenja koja nisu centralno IT odeljenje, kako bi zaobišli nedostatke centralnog informacionog sistema.” Neki definišu Sjena IT više broaduključiti bilo koji projekat, programe, procese ili sisteme koji su izvan kontrole IT-a ili infosec-a.

Vau! Uspori. Ako je Shadow IT bilo koji projekat, program, proces ili sistem koji IT ne kontroliše, onda je to prodornije nego što smo mislili. Svuda je. Da kažem otvorenije, svaki organizacija ima Shadow IT bez obzira da li oni to priznaju ili ne.  To se samo svodi na pitanje stepena. Uspjeh organizacije u suočavanju sa Shadow IT-om u velikoj mjeri zavisi od toga koliko dobro se bave nekim ključnim izazovima.

• Sigurnost. Na vrhu liste problema koje je stvorio Shadow IT je sigurnosni rizici. Razmislite o makroima. Razmislite o proračunskim tablicama sa PMI i PHI poslanim e-poštom izvan organizacije.
• Veći rizik od gubitka podataka.  Opet, zbog nedosljednosti u implementaciji ili procesima, svaka pojedinačna implementacija može biti drugačija. To otežava dokazivanje da se poštuju ustaljene poslovne prakse. Nadalje, otežava čak i ispunjavanje jednostavnih zahtjeva revizije korištenja i pristupa.
• Problemi usklađenosti.  Vezano za pitanja revizije, postoji i povećana vjerovatnoća pristupa podacima i protoka podataka, što otežava pridržavanje propisa kao što su Zakon Sarbanes-Oxley, GAAP (Opšte prihvaćeni računovodstveni principi), HIPAA (Zakon o prenosivosti zdravstvenog osiguranja i odgovornosti) i drugi
• Neefikasnost u pristupu podacima.  Iako je jedan od problema koji distribuirana IT pokušava riješiti brzina do podataka, neočekivane posljedice uključuju skrivene troškove za ne-IT radnike u financijama, marketingu i HR-u, na primjer, koji svoje vrijeme provode raspravljajući o validnosti podataka, mireći se sa brojeve svojih komšija i pokušavaju da upravljaju softverom prema sjedištu svojih pantalona.
• Neefikasnosti u procesu. Kada tehnologiju usvaja više poslovnih jedinica nezavisno, tako su i procesi povezani sa njihovom upotrebom i primenom. Neki mogu biti efikasni. Drugi ne toliko.  
• Nedosljedna poslovna logika i definicije. Ne postoji vratar koji bi uspostavio standarde, nedosljednosti će se vjerovatno razviti zbog nedostatka testiranja i kontrole verzija. Bez jedinstvenog pristupa podacima ili metapodacima, posao više nema jedinstvenu verziju istine. Odjeljenja mogu lako donositi poslovne odluke na osnovu pogrešnih ili nepotpunih podataka.
• Nedostatak usklađenosti sa korporativnom vizijom.  Shadow IT često ograničava realizaciju ROI. Korporativni sistemi koji postoje za pregovaranje o ugovorima sa dobavljačima i velikim poslovima se ponekad zaobilaze. Ovo potencijalno može dovesti do viška licenciranja i dupliranja sistema. Nadalje, to ometa postizanje organizacijskih ciljeva i strateških planova IT-a.

Suština je da su dobre namjere usvajanja samouslužnog izvještavanja dovele do neželjenih posljedica. Izazovi se mogu sažeti u tri kategorije: upravljanje, sigurnost i poslovno usklađivanje.

Ne budite zabune, preduzećima su potrebni osnaženi korisnici koji koriste podatke u realnom vremenu sa modernim alatima. Također im je potrebna disciplina upravljanja promjenama, upravljanje izdanjima i kontrola verzija. Dakle, da li je samouslužno izvještavanje/BI prevara? Možete li pronaći ravnotežu između autonomije i upravljanja? Možete li upravljati onim što ne možete vidjeti?

Rjesenje

BI samouslužni spektar 

Sjena više nije sjena ako je obasjate svjetlom. Na isti način, Shadow IT se više ne treba bojati ako se izvuče na površinu. U otkrivanju Shadow IT-a, možete iskoristiti prednosti samouslužnog izvještavanja koje zahtijevaju poslovni korisnici, dok istovremeno smanjujete rizik kroz upravljanje. Upravljanje Shadow IT-om zvuči kao oksimoron, ali je, u stvarnosti, uravnotežen pristup za dovođenje nadzora u samoposluživanje.

sviđa mi se ovo autorova analogija (pozajmljena iz Kimball) samouslužnog BI/izvještavanja uporedo sa švedskim stolom u restoranu. Bife je samouslužni u tom smislu možete dobiti sve što želite i vratite je na svoj sto. To ne znači da ćete sami otići u kuhinju i staviti odrezak na roštilj. Još uvijek trebate taj kuhar i njen kuhinjski tim. Isto je i sa samouslužnim izvještavanjem/BI, uvijek će vam trebati IT tim da pripremi skup podataka kroz ekstrakciju, transformaciju, skladištenje, osiguranje, modeliranje, upite i upravljanje.  

Švedski sto koji možete pojesti može biti previše jednostavna analogija. Ono što smo uočili jeste da postoji različit stepen učešća kuhinjskog tima restorana. Kod nekih, poput tradicionalnog švedskog stola, hranu pripremaju pozadi i postavljaju švedski stol kada bude spreman za jelo. Sve što treba da uradite je da napunite tanjir i vratite ga na svoj sto. Ovo je Las Vegas MGM Grand Buffet ili poslovni model Golden Corral. Na drugom kraju spektra su kompanije kao što su Home Chef, Blue Apron i Hello Fresh, koje dostavljaju recept i sastojke na vaša vrata. Potrebna je neka montaža. Oni kupuju i planiraju obroke. Ti uradi ostalo.

Negdje između, možda, su mjesta poput Mongolskog roštilja koja su pripremila sastojke, ali su ih postavili da odaberete, a zatim dajte svoj tanjir sa sirovim mesom i povrćem kuharu da ga stavi na vatru. U ovom slučaju, uspjeh krajnjeg rezultata ovisi (bar djelimično) o tome da odaberete mješavinu sastojaka i umaka koji se dobro slažu. Zavisi i od pripreme i kvaliteta hrane koju morate birati, kao i od umijeća kuhara koji ponekad doda svoje.

BI samouslužni spektar

Samouslužna analitika je skoro ista. Organizacije sa samouslužnom analitikom imaju tendenciju da padaju negdje u spektru. Na jednom kraju spektra su organizacije, kao što je MGM Grand Buffet, gdje IT tim još uvijek priprema sve podatke i metapodatke, bira alat za analizu i izvještavanje za cijelo preduzeće i predstavlja ga krajnjem korisniku. Sve što krajnji korisnik treba da uradi je da odabere elemente podataka koje želi da vidi i pokrene izveštaj. Jedina stvar koja je samouslužna u vezi sa ovim modelom je da izvještaj nije već kreiran od strane IT tima. Filozofija organizacija koje koriste Cognos Analytics spada na ovu stranu spektra.

Organizacije koje više liče na komplete za obroke koji se isporučuju na vaša vrata imaju tendenciju da svojim krajnjim korisnicima daju "komplet podataka" koji uključuje podatke koji su im potrebni i izbor alata pomoću kojih im mogu pristupiti. Ovaj model zahtijeva od korisnika da bolje razumije i podatke i alat kako bi dobio odgovore koji su mu potrebni. Prema našem iskustvu, kompanije koje koriste Qlik Sense i Tableau obično spadaju u ovu kategoriju.

Alati za preduzeća kao što je Power BI više liče na Mongolian Grill – negdje u sredini.  

Iako možemo generalizirati i smjestiti organizacije koje koriste različite analitičke alate na različite točke našeg „BI Self-Service Spectruma“, realnost je da se pozicija može promijeniti zbog nekoliko faktora: kompanija može usvojiti nove tehnologije, kompetencije korisnika se mogu povećati, menadžment može diktirati pristup ili se preduzeće može jednostavno razviti u otvoreniji model samoposluživanja sa više slobode za potrošače podataka. U stvari, pozicija na spektru može čak varirati među poslovnim jedinicama unutar iste organizacije.  

Evolucija analitike

Sa prelaskom na samoposluživanje i kako se organizacije kreću udesno na BI Buffet spektru, tradicionalni diktatorski centri izvrsnosti zamijenjeni su saradničkim zajednicama prakse. IT može sudjelovati u tim matričnim timovima koji pomažu u druženju najboljih praksi u timovima za isporuku. Ovo omogućava razvojnim timovima na poslovnoj strani da zadrže određenu autonomiju dok rade unutar korporativnih granica upravljanja i arhitekture.

IT mora ostati na oprezu. Korisnici koji kreiraju vlastite izvještaje – au nekim slučajevima i modele – možda nisu svjesni sigurnosnih rizika podataka. Jedini način da se spriječi potencijalno curenje sigurnosti je proaktivna potraga za novim sadržajem i procjena njihove usklađenosti.

Uspjeh upravljanog Shadow IT-a također se odnosi na procese koji su na snazi ​​kako bi se osiguralo poštovanje sigurnosnih i politika privatnosti. 

Paradoksi samoposluživanja 

Samouslužna analitika pomiruje polarne sile koje suprotstavljaju slobodu kontroli. Ova dinamika se manifestuje u mnogim oblastima poslovanja i tehnologije: brzina naspram standarda; inovacije nasuprot operacijama; agilnost naspram arhitekture; i potrebe odjela naspram korporativnih interesa.

-Wayne Erickson

Alati za upravljanje Shadow IT

Balansiranje rizika i koristi ključno je za razvoj održive IT politike u sjeni. Iskorištavanje Shadow IT-a za otkrivanje novih procesa i alata koji bi mogli omogućiti svim zaposlenicima da se istaknu u svojim ulogama je samo pametna poslovna praksa. Alati sa mogućnošću integracije sa više sistema nude kompanijama rešenje koje može zadovoljiti i IT i poslovanje.

Rizici i izazovi koje postavlja Shadow IT mogu se uvelike ublažiti implementacijom procesa upravljanja kako bi se osiguralo da su kvalitetni podaci dostupni svima kojima su potrebni putem samouslužnog pristupa.

Ključna pitanja 

Ključna pitanja na koja IT bezbednost treba da može da odgovori u vezi sa vidljivošću i kontrolom IT-a u senci. Ako imate uspostavljene sisteme ili procese da odgovorite na ova pitanja, trebali biste biti u mogućnosti da prođete odjeljak o sjeni IT-a u sigurnosnoj reviziji:

1. Imate li politiku koja pokriva Shadow IT?
2. Možete li lako navesti sve aplikacije koje se koriste u vašoj organizaciji? Bonus bodovi ako imate informacije o verziji i nivou popravka.
3. Znate li ko je modificirao analitička sredstva u proizvodnji?
4. Znate li ko koristi Shadow IT aplikacije?
5. Da li znate kada je sadržaj u produkciji zadnji put izmijenjen?
6. Možete li se lako vratiti na prethodnu verziju ako postoje nedostaci u proizvodnoj verziji?
7. Možete li lako oporaviti pojedinačne datoteke u slučaju katastrofe?
8. Koji proces koristite za razgradnju artefakata?
9. Možete li pokazati da su samo odobreni korisnici pristupali sistemu i promovirali datoteke?
10. Ako otkrijete nedostatak u svojim brojevima, kako ćete znati kada ga je uveo (i ko)?

zaključak

Shadow IT u svojim brojnim oblicima je tu da ostane. Moramo ga rasvijetliti i razotkriti kako bismo mogli upravljati rizicima dok istovremeno iskorištavamo njegove prednosti. To može učiniti zaposlenike produktivnijim, a kompanije inovativnijim. Međutim, entuzijazam za beneficije treba da bude ublažen bezbednošću, usklađenošću i upravljanjem.   

reference

Kako uspjeti sa samouslužnom analitikom koja balansira između osnaživanja i upravljanja

Definicija ideologije, Merriam-Webster

Definicija sive ekonomije, tržišne poslovne vijesti

Shadow IT, Wikipedia 

Shadow IT: perspektiva CIO-a

Jedinstvena verzija istine, Wikipedia

Uspjeh sa samouslužnom analitikom: provjerite nove izvještaje

Evolucija IT operativnog modela

Samouslužna BI prevara

Šta je Shadow IT?, McAfee

Šta učiniti sa Shadow IT-om