Shadow IT: balansiranje rizika i koristi s kojima se svaka organizacija suočava

Sažetak

Samouslužno izvještavanje je obećana zemlja dana. Bilo da se radi o Tableauu, Cognos Analyticsu, Qlik Senseu ili nekom drugom alatu za analizu, čini se da svi dobavljači promiču samouslužno otkrivanje i analizu podataka. Uz samoposluživanje dolazi Shadow IT. Mi to pretpostavljamo svi organizacije pate od Shadow IT-a koji vreba u sjeni, u ovom ili onom stupnju. Rješenje je rasvijetliti to, upravljati rizicima i maksimizirati koristi. 

Pregled

U ovoj bijeloj knjizi pokriti ćemo evoluciju izvještavanja i prljave tajne o kojima nitko ne govori. Različiti alati zahtijevaju različite procese. Ponekad čak i ideologije.  ideologije su "integrirane tvrdnje, teorije i ciljevi koji čine društveno-politički program." Nećemo dobiti društveno-politički ali ne mogu se sjetiti ni riječi kojom bih prenio poslovni i informatički program. Smatrao bih da baza podataka Kimball-Inmon dijeli ideološku raspravu na sličan način. Drugim riječima, vaš pristup, ili način na koji razmišljate, pokreće vaše postupke.  

pozadina

Kada PC IBM 5100 bio najmoderniji, 10,000 dolara bi vam dalo ekran od 5 inča s ugrađenom tipkovnicom, 16K RAM-a i trakom težak nešto više od 50 funti. Pogodno za računovodstvo, ovo bi bilo spojeno na samostojeći diskovni niz veličine malog ormarića za dokumente. Svako ozbiljno računanje i dalje se obavljalo putem terminala na mainframe timeshareu. (slika)

"Operateri” upravljao je računalima s lančanom linijom i kontrolirao pristup vanjskom svijetu. Timovi operatera ili novijih sysadmina i devopova narasli su kako bi podržali tehnologiju koja neprestano raste. Tehnologija je bila velika. Timovi koji su ih vodili bili su veći.

Upravljanje poduzećem i informatičko izvještavanje bili su uobičajeni od početka računalne ere. Ova ideologija je izgrađena na tvrdoglavom, konzervativnom pristupu da “Tvrtka” upravlja resursima i da će vam pružiti ono što trebate. Ako trebate prilagođeno izvješće ili izvješće u vremenskom okviru koji je bio izvan ciklusa, morate podnijeti zahtjev.  

Proces je bio spor. Nije bilo inovacije. Agilni nije postojao. I, poput drevnog svećeničkog skupa, IT odjel se smatrao nadzemnim.

Unatoč nedostacima, to je učinjeno s razlogom. Bilo je nekih prednosti raditi na ovaj način. Postojali su procesi koje su svi slijedili. Obrasci su ispunjeni u tri primjerka i proslijeđeni putem međuuredske pošte. Zahtjevi za podacima iz cijele organizacije sortirani su, izmiješani, raspoređeni po prioritetima i po njima se postupalo na predvidljiv način.  

Postojalo je jedno skladište podataka i jedan alat za izvješćivanje za cijelo poduzeće. Konzervirana izvješća koja je izradio središnji tim dala su a jedna verzija istine. Ako su brojevi bili pogrešni, svi su radili s istim pogrešnim brojevima. Treba nešto reći o unutarnjoj dosljednosti.

Upravljanje ovakvim načinom poslovanja bilo je predvidljivo. Bilo je povoljno.  

Onda je jednog dana prije 15 ili 20 godina sve to eksplodiralo. Došlo je do revolucije. Proširena je računalna snaga.  Mooreov zakon – “procesna snaga računala će se udvostručiti svake dvije godine” – poslušano je. Računala su bila manja i sveprisutna.   

Više tvrtki počelo je donositi odluke na temelju podataka, a ne instinkta koje su koristili toliko godina. Shvatili su da lideri u svojoj industriji donose odluke na temelju povijesnih podataka. Ubrzo su podaci postali blizu stvarnog vremena. Na kraju je izvještavanje postalo predvidljivo. Isprva je bilo rudimentarno, ali je to bio početak korištenja analitike za donošenje poslovnih odluka.

Došlo je do pomaka prema unajmljivanju više analitičara podataka i znanstvenika koji bi pomogli menadžmentu da razumije tržište i donese bolje odluke. Ali dogodila se smiješna stvar. Središnji IT tim nije slijedio isti trend kao osobna računala koja se smanjuju. Nije odmah postao učinkovitiji i manji.

Međutim, kao odgovor na decentraliziranu tehnologiju, IT tim se također počeo decentralizirati. Ili, barem uloge koje su tradicionalno bile dio IT-a, sada su dio poslovnih jedinica. Analitičari koji su razumjeli podatke i poslovanje bili su ugrađeni u svaki odjel. Menadžeri su počeli pitati svoje analitičare za više informacija. Analitičari su pak rekli: “Morat ću ispuniti zahtjeve za podacima u tri primjerka. Najranije će biti odobreno na sastanku za utvrđivanje prioriteta podataka ovog mjeseca. Tada će IT-u možda trebati tjedan ili dva da obradi naš zahtjev za podacima – ovisno o njihovom radnom opterećenju. ALI,... kad bih samo mogao dobiti pristup skladištu podataka, mogao bih vam poslati upit danas poslijepodne.” I tako to ide.

Počeo je prelazak na samoposluživanje. IT odjel olakšao je stisak na ključeve podataka. Dobavljači izvješćivanja i analitike počeli su prihvaćati novu filozofiju. Bila je to nova paradigma. Korisnici su pronašli nove alate za pristup podacima. Otkrili su da bi mogli zaobići birokraciju ako bi samo dobili pristup podacima. Tada bi mogli izvršiti vlastitu analizu i smanjiti vrijeme obrade pokretanjem vlastitih upita.

Prednosti samoposlužnog izvješćivanja i analitike

Pružanje izravnog pristupa podacima masama i samouslužno izvješćivanje riješilo je niz problema,

1. Usmjerena.  Namjenski izrađeni alati koji su bili lako dostupni zamijenili su jedan, zastarjeli, višenamjenski naslijeđeni alat za izvješćivanje i analitiku za podršku svim korisnicima i odgovaranje na sva pitanja. 
2. Okretan.  Prije su poslovne jedinice bile sputane lošom produktivnošću. Pristup samo prošlomjesečnim podacima doveo je do nemogućnosti agilnog rada. Otvaranje skladišta podataka skratilo je proces i omogućilo onima koji su bliži tvrtki da brže funkcioniraju, otkrivaju važne trendove i brže donose odluke. Dakle, povećana je brzina i vrijednost podataka.
3. ovlaštena. Umjesto da se korisnici moraju osloniti na stručnost i dostupnost drugih da donose odluke umjesto njih, dobili su resurse, ovlasti, priliku i motivaciju za obavljanje svog posla. Dakle, korisnici su dobili moć korištenjem samoposlužnog alata koji ih je mogao osloboditi oslanjanja na druge u organizaciji kako za pristup podacima tako i za izradu same analize.

Izazovi samouslužnog izvješćivanja i analitike

Međutim, za svaki riješen problem samoposlužnog izvješćivanja stvorio je još nekoliko. IT tim više nije centralizirano upravljao alatima za izvješćivanje i analitiku. Dakle, druge stvari koje nisu bile problem kada je jedan tim upravljao izvještavanjem postale su izazovnije. Stvari kao što su osiguranje kvalitete, kontrola verzija, dokumentacija i procesi poput upravljanja izdanjima ili implementacije brinuli su se za sebe kada je njima upravljao mali tim. Gdje su postojali korporativni standardi za izvještavanje i upravljanje podacima, oni se više nisu mogli provoditi. Bilo je malo uvida ili vidljivosti u ono što se događa izvan IT-a. Upravljanje promjenama nije postojalo. 

Ove instance pod nadzorom odjela funkcionirale su kao a Siva ekonomija što se odnosi na poslove koji se događaju 'ispod radara', to je Shadow IT. Wikipedia definira Shadow IT kao "informacijske tehnologije (IT) sustavi koje su implementirali odjeli koji nisu središnji IT odjel, kako bi se zaobišli nedostaci središnjih informacijskih sustava.” Neki definiraju Sjena IT više broaduključiti bilo koji projekt, programe, procese ili sustave koji su izvan kontrole IT-a ili infosec.

Vau! Uspori. Ako je Shadow IT bilo koji projekt, program, proces ili sustav koji IT ne kontrolira, tada je sve prodorniji nego što smo mislili. Ima ga posvuda. Da kažem otvorenije, svaki organizacija ima Shadow IT, priznaju oni to ili ne.  To se samo svodi na pitanje stupnja. Uspjeh organizacije u suočavanju sa Shadow IT-om uvelike ovisi o tome koliko dobro rješavaju neke ključne izazove.

• Sigurnost. Na vrhu popisa problema koje je stvorio Shadow IT je sigurnosni rizici. Razmislite o makronaredbama. Razmislite o proračunskim tablicama s PMI i PHI poslanim e-poštom izvan organizacije.
• Veći rizik od gubitka podataka.  Opet, zbog nedosljednosti u provedbi ili procesima, svaka pojedina implementacija može biti drugačija. Zbog toga je teško dokazati da se slijedi ustaljena poslovna praksa. Nadalje, otežava čak i ispunjavanje jednostavnih zahtjeva revizije korištenja i pristupa.
• Problemi usklađenosti.  Vezano uz pitanja revizije, također je povećana vjerojatnost pristupa podacima i protoka podataka, što otežava poštivanje propisa kao što su Sarbanes-Oxleyjev zakon, GAAP (Općeprihvaćena računovodstvena načela), HIPAA (Zakon o pokretljivosti i odgovornosti zdravstvenog osiguranja) i drugi
• Neučinkovitost u pristupu podacima.  Iako je jedan od problema koje distribuira IT pokušava riješiti brzina do podataka, neočekivane posljedice uključuju skrivene troškove za ne-IT radnike u financijama, marketingu i HR-u, na primjer, koji svoje vrijeme provode raspravljajući o valjanosti podataka, pomirujući se s brojeve svog susjeda i pokušavaju upravljati softverom prema sjedištu svojih hlača.
• Neučinkovitosti u procesu. Kada tehnologiju usvaja više poslovnih jedinica neovisno, tako su i procesi povezani s njihovom upotrebom i implementacijom. Neki mogu biti učinkoviti. Drugi ne toliko.  
• Nedosljedna poslovna logika i definicije. Ne postoji vratar koji bi uspostavio standarde, nedosljednosti će se vjerojatno razviti zbog nedostatka testiranja i kontrole verzija. Bez jedinstvenog pristupa podacima ili metapodacima poduzeće više nema niti jednu verziju istine. Odjeli mogu lako donositi poslovne odluke na temelju pogrešnih ili nepotpunih podataka.
• Nedostatak usklađenosti s korporativnom vizijom.  Shadow IT često ograničava realizaciju ROI. Korporativni sustavi za pregovaranje o ugovorima s dobavljačima i velikim poslovima ponekad se zaobilaze. To potencijalno može dovesti do viška licenciranja i dupliciranja sustava. Nadalje, to ometa postizanje organizacijskih ciljeva i strateških planova IT-a.

Zaključak je da su dobre namjere usvajanja samoposlužnog izvješćivanja dovele do neželjenih posljedica. Izazovi se mogu sažeti u tri kategorije: upravljanje, sigurnost i poslovno usklađivanje.

Ne budite zabune, tvrtke trebaju osnažene korisnike koji koriste podatke u stvarnom vremenu s modernim alatima. Također im je potrebna disciplina upravljanja promjenama, upravljanje izdanjima i kontrola verzija. Dakle, je li samouslužno izvješćivanje/BI prevara? Možete li pronaći ravnotežu između autonomije i upravljanja? Možete li upravljati onim što ne možete vidjeti?

Rješenje

BI samoposlužni spektar 

Sjena više nije sjena ako je obasjate svjetlom. Na isti način, Shadow IT se više ne treba bojati ako se izvuče na površinu. U otkrivanju Shadow IT-a, možete iskoristiti prednosti samouslužnog izvješćivanja koje poslovni korisnici zahtijevaju, a istovremeno smanjujući rizik kroz upravljanje. Upravljanje Shadow IT-om zvuči kao oksimoron, ali je, u stvarnosti, uravnotežen pristup za dovođenje nadzora u samoposluživanje.

Sviđa mi se to autorova analogija (posuđena iz Kimball) samoposlužnog BI/izvještavanja koji se usporedi s restoranskim švedskim stolom. Buffet je samoposlužan u tom smislu možete dobiti sve što želite i vratite je na svoj stol. To ne znači da ćete sami otići u kuhinju i staviti svoj odrezak na roštilj. Još uvijek trebate taj kuhar i njezin kuhinjski tim. Isto je i sa samoposlužnim izvješćivanjem/BI, uvijek će vam trebati IT tim za pripremu skupa podataka kroz ekstrakciju, transformaciju, pohranu, osiguranje, modeliranje, postavljanje upita i upravljanje.  

Švedski stol za sve što možete jesti možda je previše jednostavna analogija. Ono što smo primijetili je da postoje različiti stupnjevi sudjelovanja kuhinjskog tima restorana. S nekima, poput tradicionalnog švedskog stola, pripremaju hranu straga i postavljaju jelo kad je spremno za jelo. Sve što trebate učiniti je napuniti tanjur i vratiti ga na svoj stol. Ovo je Las Vegas MGM Grand Buffet ili poslovni model Golden Corral. Na drugom kraju spektra su tvrtke kao što su Home Chef, Blue Apron i Hello Fresh, koje dostavljaju recept i sastojke na vaša vrata. Potrebna je neka montaža. Oni kupuju i planiraju obroke. Vi radite ostalo.

Možda su negdje između mjesta poput Mongolian Grill-a koja su pripremila sastojke, ali su ih postavili da ih odaberete, a zatim dajte svoj tanjur sa sirovim mesom i povrćem kuharu da ga stavi na vatru. U ovom slučaju uspjeh krajnjeg rezultata ovisi (barem djelomično) o tome da odaberete mješavinu sastojaka i umaka koji se dobro slažu. Ovisi i o pripremi i kvaliteti hrane koju morate birati, kao i o umijeću kuhara koji ponekad doda svoje.

BI samoposlužni spektar

Samouslužna analitika je uglavnom ista. Organizacije sa samouslužnom analitikom obično padaju negdje u spektru. Na jednom kraju spektra su organizacije, kao što je MGM Grand Buffet, gdje IT tim još uvijek priprema sve podatke i metapodatke, odabire alat za analizu i izvješćivanje na razini cijele tvrtke i predstavlja ga krajnjem korisniku. Sve što krajnji korisnik treba učiniti je odabrati elemente podataka koje želi vidjeti i pokrenuti izvješće. Jedina stvar samoposlužnog kod ovog modela je da izvješće nije već kreirao IT tim. Filozofija organizacija koje koriste Cognos Analytics spada na ovu stranu spektra.

Organizacije koje više nalikuju kompletima za obroke koji se isporučuju na vaša vrata obično svojim krajnjim korisnicima daju "komplet podataka" koji uključuje podatke koji su im potrebni i izbor alata pomoću kojih im mogu pristupiti. Ovaj model zahtijeva od korisnika da bolje razumije podatke i alat kako bi dobio odgovore koji su mu potrebni. Prema našem iskustvu, tvrtke koje koriste Qlik Sense i Tableau obično spadaju u ovu kategoriju.

Alati za poduzeća poput Power BI-ja više su nalik Mongolian Grillu – negdje u sredini.  

Iako možemo generalizirati i smjestiti organizacije koje koriste različite analitičke alate na različite točke našeg „BI Self-Service Spectrum“, stvarnost je da se pozicija može promijeniti zbog nekoliko čimbenika: tvrtka može usvojiti nove tehnologije, kompetencija korisnika može se povećati, menadžment može diktirati pristup ili se poduzeće jednostavno može razviti u otvoreniji model samoposluživanja s više slobode za potrošače podataka. Zapravo, pozicija na spektru može se čak razlikovati među poslovnim jedinicama unutar iste organizacije.  

Evolucija analitike

S pomakom prema samoposluživanju i kako se organizacije pomiču udesno na BI Buffet spektru, tradicionalni diktatorski centri izvrsnosti zamijenjeni su suradničkim zajednicama prakse. IT može sudjelovati u tim matričnim timovima koji pomažu u druženju najboljih praksi u timovima za isporuku. To omogućuje razvojnim timovima na poslovnoj strani da zadrže određenu autonomiju dok rade unutar korporativnih granica upravljanja i arhitekture.

IT mora ostati na oprezu. Korisnici koji izrađuju vlastita izvješća – au nekim slučajevima i modele – možda nisu svjesni sigurnosnih rizika podataka. Jedini način da se spriječi potencijalno curenje sigurnosti je proaktivno traženje novog sadržaja i procjena njihove usklađenosti.

Uspjeh upravljanog Shadow IT-a također se odnosi na procese koji su na snazi ​​kako bi se osiguralo poštivanje pravila sigurnosti i privatnosti. 

Paradoksi samoposluživanja 

Upravljana samoposlužna analitika pomiruje polarne sile koje suprotstavljaju slobodu kontroli. Ova se dinamika očituje u mnogim područjima poslovanja i tehnologije: brzina naspram standarda; inovacije nasuprot operacijama; agilnost naspram arhitekture; i potrebe odjela naspram korporativnih interesa.

-Wayne Erickson

Alati za upravljanje Shadow IT-om

Balansiranje rizika i koristi ključno je za razvoj održive IT politike u sjeni. Iskorištavanje Shadow IT-a za otkrivanje novih procesa i alata koji bi svim zaposlenicima mogli omogućiti da se istaknu u svojim ulogama samo je pametna poslovna praksa. Alati s mogućnošću integracije s više sustava nude tvrtkama rješenje koje može zadovoljiti i IT i poslovanje.

Rizici i izazovi koje postavlja Shadow IT mogu se uvelike ublažiti implementacijom procesa upravljanja kako bi se osiguralo da su kvalitetni podaci dostupni svima kojima su potrebni putem samoposlužnog pristupa.

Ključna pitanja 

Ključna pitanja na koja bi IT sigurnost trebala biti u mogućnosti odgovoriti u vezi s vidljivošću i kontrolom IT-a u sjeni. Ako imate uspostavljene sustave ili procese za odgovore na ova pitanja, trebali biste moći proći odjeljak Sjeni IT u sigurnosnoj reviziji:

1. Imate li politiku koja pokriva Shadow IT?
2. Možete li jednostavno navesti sve aplikacije koje se koriste u vašoj organizaciji? Bonus bodovi ako imate informacije o verziji i razini popravka.
3. Znate li tko je modificirao analitička sredstva u proizvodnji?
4. Znate li tko koristi Shadow IT aplikacije?
5. Znate li kada je sadržaj u produkciji zadnji put izmijenjen?
6. Možete li se lako vratiti na prethodnu verziju ako postoje nedostaci u proizvodnoj verziji?
7. Možete li lako oporaviti pojedinačne datoteke u slučaju katastrofe?
8. Koji proces koristite za razgradnju artefakata?
9. Možete li pokazati da su samo odobreni korisnici pristupali sustavu i promovirali datoteke?
10. Ako otkrijete nedostatak u svojim brojevima, kako ćete znati kada ga je uveo (i tko)?

Zaključak

Shadow IT u svojim brojnim oblicima je tu da ostane. Moramo ga osvijetliti i razotkriti kako bismo mogli upravljati rizicima dok iskorištavamo njegove prednosti. To može učiniti zaposlenike produktivnijim, a tvrtke inovativnijim. Međutim, entuzijazam za dobrobiti trebao bi biti ublažen sigurnošću, usklađenošću i upravljanjem.   

Reference

Kako uspjeti uz samoposlužnu analitiku koja uravnotežuje osnaživanje i upravljanje

Definicija ideologije, Merriam-Webster

Definicija sive ekonomije, tržišne poslovne vijesti

Shadow IT, Wikipedia 

Shadow IT: perspektiva CIO-a

Jedna verzija istine, Wikipedia

Uspjeh sa samouslužnom analitikom: potvrdite nova izvješća

Evolucija IT operativnog modela

Samouslužna BI prijevara

Što je Shadow IT?, McAfee

Što učiniti s Shadow IT-om