Shadow IT: Riskien ja hyötyjen tasapainottaminen jokaisen organisaation edessä

Abstrakti

Itsepalveluraportointi on päivän luvattu maa. Olipa kyseessä Tableau, Cognos Analytics, Qlik Sense tai jokin muu analytiikkatyökalu, kaikki toimittajat näyttävät edistävän itsepalvelutietojen löytämistä ja analysointia. Itsepalvelun mukana tulee Shadow IT. Esitämme sen kaikki organisaatiot kärsivät tavalla tai toisella varjoissa piilevästä Shadow IT:stä. Ratkaisu on valaista sitä, hallita riskejä ja maksimoida hyödyt. 

Yleiskatsaus

Tässä valkoisessa kirjassa käsittelemme raportoinnin kehitystä ja likaisia ​​salaisuuksia, joista kukaan ei puhu. Eri työkalut vaativat erilaisia ​​prosesseja. Joskus jopa ideologioita.  Ideologiat ovat "integroituja väitteitä, teorioita ja tavoitteita, jotka muodostavat yhteiskuntapoliittisen ohjelman". Emme tule saamaan yhteiskuntapoliittinen mutta en voi keksiä sanaa ilmaisemaan liiketoiminta- ja IT-ohjelmaa. Uskoisin, että Kimball-Inmon-tietokanta jakaa ideologisen keskustelun samalla tavalla. Toisin sanoen lähestymistapasi tai tapasi, jolla ajattelet, ohjaa toimintaasi.  

Tausta

Kun IBM 5100 PC oli uusinta, 10,000 5 dollarilla saat 16 tuuman näytön sisäänrakennetulla näppäimistöllä, XNUMXK RAM-muistia ja nauha-aseman painaa hieman yli 50 kiloa. Kirjanpitoon sopiva, tämä yhdistettäisiin pienen arkistokaapin kokoiseen vapaasti seisovaan levyjärjestelmään. Kaikki vakavat laskentatoimet tehtiin edelleen keskustietokoneen aikaosuuden päätteiden kautta. (kuva)

"Operaattorit” hallitsi ketjutettuja tietokoneita ja hallitsi pääsyä ulkomaailmaan. Operaattoreiden tiimit tai myöhempien päivien järjestelmänvalvojat ja kehittäjät kasvoivat tukemaan jatkuvasti kasvavaa teknologiaa. Tekniikka oli iso. Niitä hallinneet joukkueet olivat suurempia.

Yritysjohtaminen ja IT-vetoinen raportointi ovat olleet normi tietokoneiden aikakauden alusta lähtien. Tämä ideologia rakentui jämäkälle, konservatiiviselle lähestymistavalle, jonka mukaan "Yhtiö" hallinnoi resursseja ja tarjoaa sinulle mitä tarvitset. Jos tarvitset mukautetun raportin tai raportin syklin ulkopuolella, sinun on lähetettävä pyyntö.  

Prosessi oli hidas. Ei ollut innovaatiota. Ketterä ei ollut olemassa. Ja, kuten muinaisen toimistotyön alla, IT-osastoa pidettiin yleiskuluina.

Huonoista puolista huolimatta se tehtiin syystä. Tällä tavalla toimimisesta oli joitain etuja. Käytössä oli prosesseja, joita kaikki seurasivat. Lomakkeet täytettiin kolmena kappaleena ja reititettiin toimistojen välisen postin kautta. Tietopyynnöt koko organisaatiosta lajiteltiin, sekoitettiin, priorisoitiin ja niihin reagoitiin ennakoitavalla tavalla.  

Siellä oli yksi tietovarasto ja yksi koko yrityksen kattava raportointityökalu. Keskustiimin luomat valmiit raportit tarjosivat a yksi versio totuudesta. Jos numerot olivat vääriä, kaikki työskentelivät samoista vääristä numeroista. Sisäisestä johdonmukaisuudesta on sanottavaa.

Tämän liiketoiminnan johtaminen oli ennakoitavissa. Se oli budjetoitu.  

Sitten eräänä päivänä 15 tai 20 vuotta sitten kaikki tämä räjähti. Tuli vallankumous. Laskentateho kasvoi.  Mooren laki – ”tietokoneiden prosessointiteho kaksinkertaistuu joka toinen vuosi” – noudatettiin. PC:t olivat pienempiä ja kaikkialla.   

Yhä useammat yritykset alkoivat tehdä päätöksiä tietojen perusteella, ei niin monta vuotta käyttämiensä vaistojen perusteella. He ymmärsivät, että alansa johtajat tekivät päätöksiä historiallisten tietojen perusteella. Pian tiedoista tuli lähes reaaliaikaisia. Lopulta raportoinnista tuli ennakoivaa. Se oli aluksi alkeellista, mutta se oli alkua analytiikan käyttämiselle liiketoimintapäätösten tekemiseen.

On siirrytty palkkaamaan lisää dataanalyytikoita ja datatieteilijöitä, jotta johto ymmärtäisi markkinoita ja tekisi parempia päätöksiä. Mutta hauska juttu tapahtui. Keskus-IT-tiimi ei seurannut samaa kehitystä kuin henkilökohtaisten tietokoneiden kutistuminen. Siitä ei tullut heti tehokkaampaa ja pienempää.

Vastauksena hajautettuun teknologiaan alkoi kuitenkin myös IT-tiimi hajaantua. Tai ainakin perinteisesti IT-alaa olleet roolit olivat nyt osa liiketoimintayksiköitä. Analyytikot, jotka ymmärsivät dataa ja liiketoimintaa, oli upotettu jokaiseen osastoon. Johtajat alkoivat kysyä analyytikoiltaan lisätietoja. Analyytikot puolestaan ​​sanoivat: "Minun täytyy täyttää tietopyynnöt kolmena kappaleena. Aikaisintaan se hyväksytään tämän kuun tietojen priorisointikokouksessa. Sen jälkeen voi kestää viikon tai kaksi, ennen kuin IT käsittelee tietopyyntömme – riippuen heidän työmäärästään. MUTTA… jos saisin pääsyn tietovarastoon, voisin tehdä kyselyn sinulle tänä iltapäivänä." Ja niin se menee.

Itsepalveluun siirtyminen oli alkanut. IT-osasto helpotti otettaan tietojen avaimiin. Raportoinnin ja analytiikan toimittajat alkoivat omaksua uuden filosofian. Se oli uusi paradigma. Käyttäjät löysivät uusia työkaluja tietojen käyttämiseen. He huomasivat, että he voisivat ohittaa byrokratian, jos he vain pääsisivät käsiksi tietoihin. Sitten he voisivat tehdä oman analyysinsä ja lyhentää läpimenoaikaa suorittamalla omia kyselyitään.

Itsepalveluraportoinnin ja analytiikan edut

Suoran pääsyn tarjoaminen tietoihin ja itsepalveluraportointi ratkaisi useita ongelmia,

1. Keskittynyt.  Tarkoituksenmukaiset työkalut, jotka olivat helposti saatavilla, korvasivat yhden, päivätyn, monikäyttöisen vanhan raportointi- ja analytiikkatyökalun, joka tukee kaikkia käyttäjiä ja vastaa kaikkiin kysymyksiin. 
2. Ketterä.  Aiemmin liiketoimintayksiköiden toimintaa vaikeutti heikko tuottavuus. Pääsy vain viime kuun tietoihin johti kyvyttömyyteen työskennellä ketterästi. Tietovaraston avaaminen lyhensi prosessia, jolloin yritystä lähempänä olevat voivat toimia nopeammin, löytää tärkeitä trendejä ja tehdä päätöksiä nopeammin. Näin ollen datan nopeus ja arvo lisääntyivät.
3. valtuudet. Sen sijaan, että käyttäjät joutuisivat luottamaan muiden asiantuntemukseen ja saatavuuteen tehdäkseen päätöksiä puolestaan, heille annettiin resurssit, valtuudet, mahdollisuudet ja motivaatio tehdä työtään. Niinpä käyttäjät saivat valtuudet käyttää itsepalvelutyökalua, joka voi vapauttaa heidät riippuvuudesta toisiin organisaatiossa sekä tietojen saamisessa että itse analyysin luomisessa.

Itsepalveluraportoinnin ja analytiikan haasteita

Kuitenkin jokaista ratkaistua ongelmaa kohden itsepalveluraportointi loi useita lisää. Raportointi- ja analytiikkatyökaluja ei enää hallinnoitu keskitetysti IT-tiimin toimesta. Joten muut asiat, jotka eivät olleet ongelmia, kun yksi tiimi hoiti raportoinnin, muuttuivat haastavammiksi. Asiat, kuten laadunvarmistus, versionhallinta, dokumentointi ja prosessit, kuten julkaisujen hallinta tai käyttöönotto, järjestivät itsestään, kun niitä hallinnoi pieni tiimi. Siellä missä oli yritysstandardeja raportoinnille ja tietojen hallitukselle, niitä ei voitu enää valvoa. Tietotekniikan ulkopuolella tapahtuneesta oli vain vähän tietoa tai näkyvyyttä. Muutoshallinta oli olematonta. 

Nämä osastojen valvomat tapaukset toimivat kuten a harmaan talouden joka viittaa liiketoimintaan, joka tapahtuu "tutkan alla", tämä on Shadow IT. Wikipedia määrittelee Shadow IT:n "tietotekniikka (IT) -järjestelmät, joita ottavat käyttöön muut osastot kuin keskus IT-osasto, kiertämään keskustietojärjestelmien puutteita." Jotkut määrittelevät Varjo IT lisää broadly sisältämään kaikki projektit, ohjelmat, prosessit tai järjestelmät, jotka ovat IT:n tai infosec:n hallinnan ulkopuolella.

Vau! Hidasta. Jos Shadow IT on mikä tahansa projekti, ohjelma, prosessi tai järjestelmä, jota IT ei hallitse, se on kattavampi kuin luulimme. Se on kaikkialla. Suoraan sanottuna, joka organisaatiolla on Shadow IT, tunnustavat he sen tai eivät.  Kyse on vain asteesta. Organisaation menestys Shadow IT:n käsittelyssä riippuu suurelta osin siitä, kuinka hyvin se vastaa joihinkin keskeisiin haasteisiin.

• Turvallisuus. Shadow IT:n luoman ongelmaluettelon yläosassa on turvallisuusriskit. Ajattele makroja. Ajattele organisaation ulkopuolelle sähköpostitse lähetettyjä PMI- ja PHI-laskentataulukoita.
• Suurempi tietojen menetyksen riski.  Jälleen toteutuksen tai prosessien epäjohdonmukaisuuden vuoksi jokainen yksittäinen toteutus voi olla erilainen. Tämän vuoksi on vaikea todistaa, että vakiintuneita liiketoimintakäytäntöjä noudatetaan. Lisäksi se vaikeuttaa jopa yksinkertaisten käyttöä ja pääsyä koskevien tarkastuspyyntöjen noudattamista.
• Vaatimustenmukaisuusongelmat.  Tarkastusasioihin liittyen on myös lisääntynyt todennäköisyys tietojen saamiseen ja tiedonkulkuun, mikä vaikeuttaa säännösten, kuten esim. Sarbanes-Oxleyn laki, GAAP (Yleisesti hyväksytyt kirjanpitoperiaatteet), HIPAA (Sairausvakuutuksen siirrettävyys ja vastuuvelvollisuus) ja muut
• Tietojen käytön tehottomuudet.  Vaikka yksi hajautetun IT:n ratkaistavista ongelmista on tiedon nopeus, odottamattomia seurauksia ovat esimerkiksi rahoituksen, markkinoinnin ja henkilöstöhallinnon ei-IT-työntekijöille piilevät kustannukset, jotka käyttävät aikaansa keskustelemaan datan oikeellisuudesta ja sovittamaan yhteen. naapurin numerot ja yrittää hallita ohjelmistoja istuimen housuissa.
• Tehottomuuksia prosessissa. Kun useat liiketoimintayksiköt ottavat teknologian käyttöön itsenäisesti, myös niiden käyttöön ja käyttöönottoon liittyvät prosessit ovat. Jotkut voivat olla tehokkaita. Muut eivät niinkään.  
• Epäjohdonmukainen liiketoimintalogiikka ja määritelmät. Ei ole portinvartijaa standardien laatimiseen, epäjohdonmukaisuuksia syntyy todennäköisesti testauksen ja versionhallinnan puutteen vuoksi. Ilman yhtenäistä lähestymistapaa dataan tai metadataan yrityksellä ei ole enää yhtä versiota totuudesta. Osastot voivat helposti tehdä liiketoimintapäätöksiä virheellisten tai puutteellisten tietojen perusteella.
• Puute mukautumista yrityksen visioon.  Shadow IT rajoittaa usein ROI:n toteutumista. Myyjäsopimusten ja suurten sopimusten neuvottelemiseksi käytössä olevat yritysjärjestelmät ohitetaan toisinaan. Tämä voi mahdollisesti johtaa ylimääräisiin lisensseihin ja järjestelmien päällekkäisyyksiin. Lisäksi se häiritsee organisaation tavoitteiden saavuttamista ja IT:n strategisia suunnitelmia.

Tärkeintä on, että itsepalveluraportoinnin käyttöönoton hyvät aikomukset johtivat tahattomiin seurauksiin. Haasteet voidaan tiivistää kolmeen kategoriaan: hallinto, turvallisuus ja liiketoiminnan suuntaaminen.

Älä erehdy, yritykset tarvitsevat valtuutettuja käyttäjiä, jotka hyödyntävät reaaliaikaista dataa nykyaikaisilla työkaluilla. He tarvitsevat myös muutoksenhallinnan, julkaisujenhallinnan ja versionhallinnan kurinalaisuutta. Onko itsepalveluraportointi/BI siis huijausta? Löydätkö tasapainon autonomian ja hallinnon välillä? Voitko hallita sitä, mitä et näe?

Ratkaisu

BI-itsepalveluspektri 

Varjo ei ole enää varjo, jos loistat sen päälle. Samoin Shadow IT:tä ei enää tarvitse pelätä, jos se tuodaan pintaan. Kun esittelet Shadow IT:n, voit hyödyntää yrityskäyttäjien vaatimia itsepalveluraportoinnin etuja ja samalla vähentää riskejä hallinnon avulla. Governing Shadow IT kuulostaa oksymoronilta, mutta todellisuudessa se on tasapainoinen lähestymistapa itsepalvelun valvonnan tuomiseksi.

Pidän tätä kirjoittajan analogia (lainattu Kimball) itsepalvelun BI/raportointia verrataan ravintolabuffetiin. Buffet on itsepalvelu siinä mielessä voit saada mitä haluat ja tuo se takaisin pöytään. Tämä ei tarkoita sitä, että menet keittiöön ja laittaisit pihvisi itse grilliin. Tarvitset edelleen kokin ja hänen keittiötiiminsä. Sama koskee itsepalveluraportointia/BI:tä, tarvitset aina IT-tiimiä valmistelemaan datapakettia purkamisen, muuntamisen, tallennuksen, suojauksen, mallinnuksen, kyselyn ja hallinnan kautta.  

All-you-can-eat-buffet voi olla liian yksinkertainen analogia. Olemme havainneet, että ravintolan keittiötiimin osallistumisaste vaihtelee. Jotkut, kuten perinteinen buffet, he valmistavat ruoan takaosassa ja asettavat snorgasbordin, kun se on valmis syötäväksi. Sinun tarvitsee vain ladata lautasesi ja viedä se takaisin pöytällesi. Tämä on Las Vegas MGM Grand Buffet tai Golden Corral -liiketoimintamalli. Toisessa päässä ovat yritykset, kuten Home Chef, Blue Apron ja Hello Fresh, jotka toimittavat reseptin ja ainekset kotiovellesi. Vaatii jonkin verran kokoonpanoa. He tekevät ostokset ja aterioiden suunnittelun. Sinä teet loput.

Jossain välissä on kenties Mongolian Grillin kaltaisia ​​paikkoja, jotka ovat valmistaneet ainekset, mutta asettaneet ne sinun valittavaksi ja sitten antamaan lautasesi raakaa lihaa ja vihanneksia kokin tulee laittaa se tuleen. Tässä tapauksessa lopputuloksen onnistuminen riippuu (ainakin osittain) siitä, että valitset sekoituksen ainesosia ja kastikkeita, jotka sopivat hyvin yhteen. Se riippuu myös ruuan valmistuksesta ja laadusta, joista sinun on valittava, sekä kokin taidosta, joka joskus lisää omia vivahteitaan.

BI-itsepalveluspektri

Itsepalveluanalytiikka on pitkälti sama asia. Itsepalveluanalytiikkaa käyttävät organisaatiot putoavat yleensä jonnekin spektrin puolelle. Toisessa päässä ovat organisaatiot, kuten MGM Grand Buffet, jossa IT-tiimi tekee edelleen kaiken datan ja metatietojen valmistelun, valitsee koko yrityksen kattavan analytiikka- ja raportointityökalun ja esittelee sen loppukäyttäjälle. Loppukäyttäjän tarvitsee vain valita tietoelementit, jotka hän haluaa nähdä, ja suorittaa raportti. Ainoa itsepalvelu tässä mallissa on, että IT-tiimi ei ole jo luonut raporttia. Cognos Analyticsia käyttävien organisaatioiden filosofia kuuluu tähän ääripäähän.

Organisaatiot, jotka muistuttavat enemmän kotiovelle toimitettuja ateriapakkauksia, tarjoavat yleensä loppukäyttäjilleen "tietopaketin", joka sisältää heidän tarvitsemansa tiedot ja valikoiman työkaluja, joilla he voivat käyttää niitä. Tämä malli edellyttää, että käyttäjä ymmärtää paremmin sekä datan että työkalun saadakseen tarvitsemansa vastaukset. Kokemuksemme mukaan yritykset, jotka hyödyntävät Qlik Senseä ja Tableaua, kuuluvat yleensä tähän luokkaan.

Yritystyökalut, kuten Power BI, ovat enemmän kuin Mongolian Grill - jossain välissä.  

Vaikka voimme yleistää ja sijoittaa erilaisia ​​analytiikkatyökaluja käyttäviä organisaatioita "BI Self-Service Spectrumimme" eri kohtiin, todellisuus on, että asema voi muuttua useiden tekijöiden vuoksi: yritys voi ottaa käyttöön uusia teknologioita, käyttäjien osaaminen voi lisääntyä, johtaminen voi sanella lähestymistavan, tai yritys voi yksinkertaisesti kehittyä avoimempaan itsepalvelumalliin, jossa tiedonkuluttajille on enemmän vapautta. Itse asiassa asema taajuudella voi jopa vaihdella saman organisaation liiketoimintayksiköiden välillä.  

Analyticsin kehitys

Itsepalveluun siirtymisen myötä ja organisaatioiden siirtyessä oikealle BI-buffet-spektrissä perinteiset diktatuurikeskukset on korvattu yhteistoiminnallisilla käytäntöyhteisöillä. IT voi osallistua näihin matriisiryhmiin, jotka auttavat kommunikoimaan parhaita käytäntöjä toimitustiimeissä. Tämä antaa liiketoimintapuolen kehitystiimille mahdollisuuden säilyttää jonkin verran itsenäisyyttä työskennellessään hallinnon ja arkkitehtuurin rajojen sisällä.

IT:n on pysyttävä valppaana. Omia raportteja – ja joissain tapauksissa malleja – luovat käyttäjät eivät välttämättä ole tietoisia tietoturvariskeistä. Ainoa tapa estää mahdolliset tietoturvavuodot on etsiä ennakoivasti uutta sisältöä ja arvioida sen vaatimustenmukaisuus.

Hallitun Shadow IT:n menestys liittyy myös prosesseihin, jotka ovat käytössä sen varmistamiseksi, että turvallisuus- ja tietosuojakäytäntöjä noudatetaan. 

Itsepalveluparadokseja 

Hallittu itsepalveluanalytiikka sovittaa yhteen napavoimat, jotka kohtaavat vapauden hallinnan kanssa. Tämä dynamiikka näkyy monilla liiketoiminnan ja teknologian alueilla: nopeus vs. standardit; innovaatio versus toiminta; ketteryys vs. arkkitehtuuri; ja osastojen tarpeet vs. yritysten intressit.

-Wayne Erickson

Työkalut Shadow IT:n hallintaan

Riskien ja hyötyjen tasapainottaminen on avainasemassa kestävän varjo-IT-politiikan kehittämisessä. Shadow IT:n hyödyntäminen uusien prosessien ja työkalujen löytämisessä, joiden avulla kaikki työntekijät voivat menestyä rooleissaan, on vain älykästä liiketoimintakäytäntöä. Työkalut, jotka voidaan integroida useisiin järjestelmiin, tarjoavat yrityksille ratkaisun, joka voi rauhoittaa sekä IT:tä että liiketoimintaa.

Shadow IT:n nostamia riskejä ja haasteita voidaan lieventää huomattavasti ottamalla käyttöön hallintoprosesseja, joilla varmistetaan, että laadukas data on kaikkien sitä tarvitsevien saatavilla itsepalvelun kautta.

Keskeisiä kysymyksiä 

Keskeiset kysymykset, joihin IT-turvallisuuden pitäisi pystyä vastaamaan liittyen varjo-IT:n näkyvyyteen ja hallintaan. Jos sinulla on käytössäsi järjestelmiä tai prosesseja vastataksesi näihin kysymyksiin, sinun pitäisi pystyä läpäisemään tietoturvatarkastuksen Shadow IT -osio:

1. Onko sinulla käytäntö, joka kattaa Shadow IT:n?
2. Voitko helposti luetella kaikki organisaatiossasi käytetyt sovellukset? Bonuspisteet, jos sinulla on tietoa versiosta ja korjaustasosta.
3. Tiedätkö, kuka muutti analyyttisiä resursseja tuotannossa?
4. Tiedätkö kuka käyttää Shadow IT -sovelluksia?
5. Tiedätkö milloin tuotannossa olevaa sisältöä on viimeksi muokattu?
6. Voitko helposti palata aiempaan versioon, jos tuotantoversiossa on puutteita?
7. Pystytkö palauttamaan yksittäisiä tiedostoja helposti katastrofin sattuessa?
8. Mitä prosessia käytät artefaktien käytöstä poistamiseen?
9. Voitko osoittaa, että vain hyväksytyt käyttäjät pääsivät järjestelmään ja mainostivat tiedostoja?
10. Jos huomaat numeroissasi virheen, mistä tiedät, milloin se on otettu käyttöön (ja kuka)?

Yhteenveto

Shadow IT monissa muodoissaan on tullut jäädäkseen. Meidän täytyy valaista sitä ja paljastaa se, jotta voimme hallita riskejä ja hyödyntää sen etuja. Se voi tehdä työntekijöistä tuottavampia ja yrityksiä innovatiivisempia. Turvallisuuden, vaatimustenmukaisuuden ja hallinnon pitäisi kuitenkin lieventää innostusta hyödyistä.   

Viitteet

Kuinka menestyä itsepalveluanalytiikan avulla, joka tasapainottaa voimaantumisen ja hallinnon

Ideologian määritelmä, Merriam-Webster

Varjotalouden määritelmä, Market Business News

Shadow IT, Wikipedia 

Shadow IT: tietohallintojohtajan näkökulma

Yksi versio totuudesta, Wikipedia

Self-Service Analyticsin menestyminen: Tarkista uudet raportit

IT-toimintamallin evoluutio

Itsepalvelu-BI-huijaus

Mikä on Shadow IT?, McAfee

Mitä tehdä Shadow IT:lle