Få en demo
Login

Shadow IT: Afbalancering af risici og fordele, som enhver organisation står over for

by Maj 5, 2022BI/Analytik0 kommentarer

Shadow IT: Afbalancering af risici og fordele, som enhver organisation står over for

 

Abstrakt

Selvbetjeningsrapportering er dagens forjættede land. Uanset om det er Tableau, Cognos Analytics, Qlik Sense eller et andet analyseværktøj, synes alle leverandører at fremme selvbetjeningsdataopdagelse og -analyse. Med selvbetjening kommer Shadow IT. Det hævder vi alle organisationer lider under, at Shadow IT lurer i skyggerne, i en eller anden grad. Løsningen er at kaste lys over det, styre risiciene og maksimere fordelene. 

Oversigt

I denne hvidbog vil vi dække udviklingen af ​​rapportering og de beskidte hemmeligheder, som ingen taler om. Forskellige værktøjer kræver forskellige processer. Nogle gange endda ideologier.  Ideologier er "de integrerede påstande, teorier og mål, der udgør et sociopolitisk program." Det får vi ikke sociopolitiske men jeg kan ikke komme i tanke om et ord til at formidle et forretnings- og it-program. Jeg vil overveje, at Kimball-Inmon-databasen deler en ideologisk debat på en lignende måde. Med andre ord, din tilgang, eller måden du tænker på, driver dine handlinger.  

Baggrund

Når IBM 5100 pc var state of the art, ville $10,000 give dig en 5-tommer skærm med et indbygget tastatur, 16K RAM og et båndstation IBM 5100 pc vejer lidt over 50 pund. Velegnet til regnskab, vil dette være forbundet til et fritstående diskarray på størrelse med et lille arkivskab. Enhver seriøs databehandling blev stadig udført via terminaler på en mainframe timeshare. (billede)

"Operatører” styrede de daisy-chained pc'er og kontrollerede adgangen til omverdenen. Teams af operatører, eller senere dages sysadmins og devops, voksede for at understøtte den stadigt voksende teknologi. Teknologien var stor. Holdene, der styrede dem, var større.

Virksomhedsledelse og it-ledet rapportering har været normen siden begyndelsen af ​​computeræraen. Denne ideologi blev bygget på den bastante, konservative tilgang, at "Virksomheden" forvalter ressourcerne og vil give dig det, du har brug for. Hvis du har brug for en tilpasset rapport eller en rapport inden for en tidsramme, der var ude af cyklus, skal du indsende en anmodning.  

Processen var langsom. Der var ingen innovation. Agile eksisterede ikke. Og ligesom den gamle præstepulje blev IT-afdelingen betragtet som overhead.

På trods af ulemperne blev det gjort af en grund. Der var nogle fordele ved at gøre det på denne måde. Der var processer på plads, som alle fulgte. Formularer blev udfyldt i tre eksemplarer og omdirigeret gennem interoffice-mail. Dataanmodninger fra hele organisationen blev sorteret, blandet, prioriteret og handlet på en forudsigelig måde.  

Der var et enkelt datavarehus og et enkelt virksomhedsdækkende rapporteringsværktøj. Konserverede rapporter oprettet af et centralt team gav en enkelt version af sandheden. Hvis tallene var forkerte, arbejdede alle ud fra de samme forkerte tal. Der er noget at sige til intern sammenhæng. Traditionel IT-implementeringsproces

Styringen af ​​denne måde at drive forretning på var forudsigelig. Det var budgetvenligt.  

Så en dag for 15 eller 20 år siden eksploderede alt det. Der var en revolution. Computerkraft udvidet.  Moores lov – ”computernes processorkraft vil fordobles hvert andet år” – blev adlydt. Pc'er var mindre og allestedsnærværende.   

Flere virksomheder begyndte at træffe beslutninger baseret på data frem for de mave-instinkter, de havde brugt i så mange år. De indså, at lederne i deres branche traf beslutninger baseret på historiske data. Snart blev dataene nær realtid. Til sidst blev rapporteringen forudsigelig. Det var først rudimentært, men det var begyndelsen på at bruge analyser til at drive forretningsbeslutninger.

Der skete et skift til at ansætte flere dataanalytikere og dataforskere for at hjælpe ledelsen med at forstå markedspladsen og træffe bedre beslutninger. Men der skete en sjov ting. Det centrale IT-team fulgte ikke samme tendens som de skrumpende personlige computere. Det blev ikke umiddelbart mere effektivt og mindre.

Men som reaktion på den decentraliserede teknologi begyndte it-teamet også at blive mere decentraliseret. Eller i det mindste roller, der traditionelt havde været en del af IT, var nu en del af forretningsenheder. Analytikere, der forstod data og forretning, var indlejret i hver afdeling. Ledere begyndte at bede deres analytikere om mere information. Analytikerne sagde til gengæld: "Jeg bliver nødt til at udfylde dataanmodningerne i tre eksemplarer. Det tidligste vil blive godkendt på denne måneds dataprioriteringsmøde. Derefter kan det tage en uge eller to for IT at behandle vores anmodning om data – afhængigt af deres arbejdsbyrde. MEN, ... hvis jeg bare kunne få adgang til datavarehuset, kunne jeg køre en forespørgsel for dig i eftermiddag." Og sådan går det.

Skiftet til selvbetjening var startet. IT-afdelingen lettede grebet om nøglerne til dataene. Leverandører af rapportering og analyser begyndte at omfavne den nye filosofi. Det var et nyt paradigme. Brugere fandt nye værktøjer til at få adgang til data. De opdagede, at de kunne omgå bureaukratiet, hvis de bare fik adgang til dataene. Så kunne de udføre deres egen analyse og reducere behandlingstiden ved at køre deres egne forespørgsler.

Fordele ved selvbetjeningsrapportering og analyser

At give masserne direkte adgang til data og selvbetjeningsrapportering løste en række problemer, Fordele ved selvbetjeningsrapportering og analyser

  1. Fokuseret.  Formålsbyggede værktøjer, som var let tilgængelige, erstattede et enkelt, dateret, multifunktionelt ældre rapporterings- og analyseværktøj til at understøtte alle brugere og besvare alle spørgsmål. 
  2. Adræt.  Tidligere var forretningsenhederne hæmmet af dårlig produktivitet. Adgang til kun sidste måneds data førte til manglende evne til at arbejde agilt. Åbningen af ​​datavarehuset forkortede processen, hvilket gjorde det muligt for dem, der var tættere på virksomheden, at fungere hurtigere, opdage vigtige tendenser og træffe beslutninger hurtigere. Således øget hastighed og værdi af data.
  3. Stærke. I stedet for at brugerne skulle stole på andres ekspertise og tilgængelighed for at træffe beslutninger for dem, fik de ressourcer, autoritet, mulighed og motivation til at udføre deres arbejde. Så brugerne blev bemyndiget ved at bruge et selvbetjeningsværktøj, som kunne frigøre dem fra afhængigheden af ​​andre i organisationen for både adgang til dataene og oprettelsen af ​​selve analysen.

Udfordringer ved selvbetjeningsrapportering og analyser

For hvert problem selvbetjeningsrapportering, der blev løst, skabte det dog flere. Rapporterings- og analyseværktøjerne blev ikke længere administreret centralt af it-teamet. Så andre ting, der ikke var problemer, da et enkelt team klarede rapporteringen, blev mere udfordrende. Ting som kvalitetssikring, versionskontrol, dokumentation og processer som release management eller implementering klarede sig selv, når de blev styret af et lille team. Hvor der var virksomhedsstandarder for rapportering og datastyring, kunne de ikke længere håndhæves. Der var ringe indsigt eller synlighed i, hvad der skete uden for IT. Forandringsledelse var ikke-eksisterende.  Udfordringer ved selvbetjeningsrapportering og analyser

Disse afdelingskontrollerede instanser fungerede som en skygge økonomi som refererer til forretninger, der opstår 'under radaren', dette er Shadow IT. Wikipedia definerer Shadow IT som "informationsteknologi (IT)-systemer indsat af andre afdelinger end den centrale it-afdeling, for at omgå manglerne ved de centrale informationssystemer." Nogle definerer Skygge IT mere broadat inkludere ethvert projekt, programmer, processer eller systemer, som er uden for IT eller infosec.

Hov! Sænk farten. Hvis Shadow IT er et hvilket som helst projekt, program, proces eller system, som IT ikke kontrollerer, så er det mere gennemgående, end vi troede. Det er overalt. For at sige det mere ligeud, hver organisation har Shadow IT, uanset om de anerkender det eller ej.  Det kommer bare ned til et spørgsmål om grad. En organisations succes med at håndtere Shadow IT afhænger i høj grad af, hvor godt de løser nogle nøgleudfordringer. Udfordringer ved selvbetjeningsrapportering og analyser

  • Sikkerhed. Øverst på listen over problemer skabt af Shadow IT er sikkerhedsrisici. Tænk makroer. Tænk regneark med PMI og PHI, der sendes via e-mail uden for organisationen.
  • Højere risiko for tab af data.  Igen, på grund af uoverensstemmelser i implementering eller processer, kan hver enkelt implementering være anderledes. Dette gør det vanskeligt at bevise, at etableret forretningspraksis bliver fulgt. Desuden gør det det vanskeligt selv at efterkomme simple revisionsanmodninger om brug og adgang.
  • Overholdelsesproblemer.  Relateret til revisionsspørgsmål er der også en øget sandsynlighed for dataadgang og datastrømme, hvilket gør det sværere at overholde regler som f.eks. Sarbanes-Oxley Act, GAAP (Alment accepterede bogføringsprincipper), HIPAA (Sundhedsforsikring Portabilitet og ansvarlighed lov) og andre
  • Ineffektivitet i dataadgang.  Selvom et af de problemer, som distribueret it forsøger at løse, er hastigheden til data, omfatter uventede konsekvenser skjulte omkostninger for ikke-it-medarbejdere inden for f.eks. finans, marketing og HR, som bruger deres tid på at diskutere gyldigheden af ​​data, for at afstemme deres nabos numre og forsøger at styre software ved sædet af deres bukser.
  • Ineffektivitet i processen. Når teknologien er adopteret af flere forretningsenheder uafhængigt, så er processerne også relateret til deres brug og implementering. Nogle kan være effektive. Andre ikke så meget.  
  • Inkonsekvent forretningslogik og definitioner. Der er ingen gatekeeper til at etablere standarder, inkonsekvenser vil sandsynligvis udvikle sig på grund af manglende test og versionskontrol. Uden en samlet tilgang til data eller metadata har virksomheden ikke længere en enkelt version af sandheden. Afdelinger kan nemt træffe forretningsbeslutninger baseret på mangelfulde eller ufuldstændige data.
  • Manglende overensstemmelse med virksomhedens vision.  Shadow IT begrænser ofte realiseringen af ​​ROI. De virksomhedssystemer, der er på plads til at forhandle leverandørkontrakter og store aftaler, bliver nogle gange omgået. Dette kan potentielt føre til overskydende licensering og duplikerede systemer. Ydermere forstyrrer det forfølgelsen af ​​organisatoriske mål og IT's strategiske planer.

Konklusionen er, at de gode intentioner med at indføre selvbetjeningsrapportering førte til utilsigtede konsekvenser. Udfordringerne kan opsummeres i tre kategorier: styring, sikkerhed og forretningsmæssig tilpasning.

Tag ikke fejl, virksomheder har brug for bemyndigede brugere, der udnytter data i realtid med moderne værktøjer. De har også brug for disciplinen change management, release management og version control. Så er selvbetjeningsrapportering/BI en fup? Kan du finde en balance mellem autonomi og styring? Kan du styre det, du ikke kan se?

Løsningen

 

BI Self-Service Spectrum 

En skygge er ikke længere en skygge, hvis du kaster lys på den. På samme måde er Shadow IT ikke længere at frygte, hvis det bliver bragt til overfladen. Ved at eksponere Shadow IT kan du drage fordel af fordelene ved selvbetjeningsrapportering, som forretningsbrugere efterspørger, samtidig med at du reducerer risikoen gennem styring. Governing Shadow IT lyder som en oxymoron, men er i virkeligheden en afbalanceret tilgang til at bringe overblik til selvbetjening. Business Intelligence

jeg kan lide denne forfatterens analogi (lånt fra Kimball) af selvbetjent BI/rapportering sammenlignet med en restaurantbuffet. Buffeten er selvbetjening i den forstand, at du kan få hvad du vil og bring det tilbage til dit bord. Dermed ikke sagt, at du selv skal ud i køkkenet og sætte din bøf på grillen. Du har stadig brug for den kok og hendes køkkenteam. Det er det samme med selvbetjeningsrapportering/BI, du har altid brug for IT-teamet til at forberede databuffeten gennem udtræk, transformation, lagring, sikring, modellering, forespørgsel og styring.  

En alt-du-kan-spise-buffet kan være en for enkel analogi. Det vi har observeret er, at der er forskellige grader af deltagelse af restaurantkøkkenteamet. Hos nogle, som den traditionelle buffet, tilbereder de maden bagerst og lægger smorgasbordet frem, når det er klar til at spise. Alt du skal gøre er at fylde din tallerken og tage den tilbage til dit bord. Dette er Las Vegas MGM Grand Buffet eller Golden Corral-forretningsmodellen. I den anden ende af spektret er virksomheder som Home Chef, Blue Apron og Hello Fresh, der leverer en opskrift og ingredienserne til din dør. Noget montering påkrævet. De laver indkøb og madplanlægning. Du gør resten.

Et sted midt imellem er der måske steder som Mongolian Grill, der har tilberedt ingredienserne, men som du kan vælge og derefter give din tallerken med råt kød og grøntsager til kokken for at sætte den på bålet. I dette tilfælde afhænger slutresultatets succes (i det mindste delvist) af, at du vælger en blanding af ingredienser og saucer, der passer godt sammen. Det afhænger også af tilberedningen og kvaliteten af ​​den mad, du skal vælge imellem, såvel som kokkens dygtighed, der nogle gange tilføjer sit eget præg. BI Selvbetjeningsspektrum

BI Self-Service Spectrum

Selvbetjeningsanalyse er meget det samme. Organisationer med selvbetjeningsanalyse har en tendens til at falde et sted på spektret. I den ene ende af spektret er organisationer, som MGM Grand Buffet, hvor it-teamet stadig udfører alle data- og metadata-forberedelser, vælger det hele virksomhedsanalyse- og rapporteringsværktøj og præsenterer det for slutbrugeren. Det eneste, slutbrugeren skal gøre, er at vælge de dataelementer, han ønsker at se, og køre rapporten. Det eneste selvbetjening ved denne model er, at rapporten ikke allerede er oprettet af it-teamet. Filosofien for organisationer, der bruger Cognos Analytics, falder i denne ende af spektret.

Organisationer, der mere ligner de måltidssæt, der leveres til din dør, har en tendens til at give deres slutbrugere et "datasæt", som indeholder de data, de har brug for, og valg af værktøjer, som de kan få adgang til det. Denne model kræver, at brugeren bedre forstår både dataene og værktøjet for at få de svar, de har brug for. Vores erfaring er, at virksomheder, der udnytter Qlik Sense og Tableau, har en tendens til at falde ind under denne kategori.

Enterprise-værktøjer som Power BI ligner mere Mongolian Grill - et sted i midten.  

Selvom vi kan generalisere og placere organisationer, der bruger forskellige analyseværktøjer på forskellige punkter i vores "BI Self-Service Spectrum", er virkeligheden, at positionen kan ændre sig på grund af flere faktorer: virksomheden kan tage nye teknologier i brug, brugernes kompetencer kan øges, ledelsen kan diktere en tilgang, eller virksomheden kan simpelthen udvikle sig til en mere åben model for selvbetjening med mere frihed for dataforbrugerne. Faktisk kan positionen på spektret endda variere på tværs af forretningsenheder inden for samme organisation.  

Udviklingen af ​​Analytics

Med skiftet mod selvbetjening og efterhånden som organisationer bevæger sig til højre på BI Buffet Spectrum, er traditionelle diktatoriske Centers of Excellence blevet erstattet med kollaborative praksisfællesskaber. IT kan deltage i disse matrixhold, som hjælper med at socialisere bedste praksis på tværs af leveringsteams. Dette giver udviklingsteamene på forretningssiden mulighed for at bevare en vis selvstændighed, mens de arbejder inden for virksomhedens grænser for ledelse og arkitektur. Styret Shadow IT-proces

IT skal være på vagt. Brugere, der opretter deres egne rapporter – og i nogle tilfælde modeller – er muligvis ikke opmærksomme på datasikkerhedsrisici. Den eneste måde at forhindre potentielle sikkerhedslækager på er at proaktivt søge efter nyt indhold og evaluere dem for overholdelse.

Succesen med styret Shadow IT handler også om de processer, der er på plads for at sikre, at sikkerheds- og privatlivspolitikker overholdes. 

 

Selvbetjeningsparadokser 

Styret selvbetjeningsanalyse forener de polære kræfter, der sætter frihed mod kontrol. Denne dynamik udspiller sig i mange områder af forretning og teknologi: hastighed versus standarder; innovation versus drift; smidighed versus arkitektur; og afdelingsbehov kontra virksomhedernes interesser.

-Wayne Erickson

Værktøjer til styring af Shadow IT

Afbalancering af risici og fordele er nøglen til at udvikle en bæredygtig Shadow IT-politik. At udnytte Shadow IT til at afdække nye processer og værktøjer, der kan give alle medarbejdere mulighed for at udmærke sig i deres roller, er bare smart forretningspraksis. Værktøjer med mulighed for at integrere med flere systemer tilbyder virksomheder en løsning, der kan formilde både it og forretningen.

De risici og udfordringer, som Shadow IT rejser, kan i høj grad afbødes ved at implementere styringsprocesser for at sikre, at kvalitetsdata er tilgængelige for alle, der har brug for det via selvbetjeningsadgang.

Nøglespørgsmål 

Nøglespørgsmål IT-sikkerhed bør kunne besvares i forbindelse med Shadow IT-synlighed og kontrol. Hvis du har systemer eller processer på plads til at besvare disse spørgsmål, bør du være i stand til at bestå Shadow IT-delen af ​​en sikkerhedsrevision:

  1. Har du en police, der dækker Shadow IT?
  2. Kan du nemt liste alle de applikationer, der bruges i din organisation? Bonuspoint, hvis du har oplysninger om version og fix-niveau.
  3. Ved du, hvem der har ændret de analytiske aktiver i produktionen?
  4. Ved du, hvem der bruger Shadow IT-applikationer?
  5. Ved du, hvornår indholdet i produktionen sidst blev ændret?
  6. Kan du nemt vende tilbage til en tidligere version, hvis der er fejl i produktionsversionen?
  7. Er du i stand til nemt at gendanne individuelle filer i tilfælde af en katastrofe?
  8. Hvilken proces bruger du til dekommissionering af artefakter?
  9. Kan du vise, at kun godkendte brugere fik adgang til systemet og promoverede filer?
  10. Hvis du opdager en fejl i dine tal, hvordan ved du, hvornår den blev introduceret (og af hvem)?

Konklusion

Shadow IT i dens mange former er kommet for at blive. Vi er nødt til at kaste lys over det og afsløre det, så vi kan styre risiciene og samtidig udnytte fordelene. Det kan gøre medarbejderne mere produktive og virksomhederne mere innovative. Begejstringen for fordelene bør dog dæmpes af sikkerhed, compliance og styring.   

Referencer

Sådan får du succes med selvbetjeningsanalyse, der balancerer empowerment og styring

Definition af ideologi, Merriam-Webster

Definition af Shadow Economy, Market Business News

Shadow IT, Wikipedia 

Shadow IT: CIO's perspektiv

Enkeltversion af sandheden, Wikipedia

Få succes med selvbetjeningsanalyse: Bekræft nye rapporter

IT-driftsmodellens udvikling

Selvbetjening BI Hoax

Hvad er Shadow IT?, McAfee

Hvad skal man gøre ved Shadow IT 

 

Load More