Vraag een demo aan
Inloggen

Shadow IT: de risico's en voordelen in evenwicht brengen waarmee elke organisatie wordt geconfronteerd

by 5 mei 2022BI/analyse0 reacties

Schaduw-IT: de risico's en voordelen in evenwicht brengen waarmee elke organisatie wordt geconfronteerd

 

Abstract

Selfservicerapportage is het beloofde land van de dag. Of het nu Tableau, Cognos Analytics, Qlik Sense of een andere analysetool is, alle leveranciers lijken selfservice-gegevensontdekking en -analyse te promoten. Bij selfservice hoort Shadow IT. We stellen dat allen organisaties hebben in meer of mindere mate last van schaduw-IT die op de loer ligt. De oplossing is om er een licht op te laten schijnen, de risico's te beheersen en de voordelen te maximaliseren. 

Overzicht

In deze whitepaper bespreken we de evolutie van rapportage en de vuile geheimen waar niemand het over heeft. Verschillende tools vereisen verschillende processen. Soms zelfs ideologieën.  ideologieën zijn "de geïntegreerde beweringen, theorieën en doelen die een sociaal-politiek programma vormen." We gaan het niet halen sociaal-politiek maar ik kan geen woord bedenken om een ​​bedrijfs- en IT-programma over te brengen. Ik zou denken dat de Kimball-Inmon-database een ideologisch debat op een vergelijkbare manier verdeelt. Met andere woorden, uw aanpak, of de manier waarop u denkt, bepaalt uw acties.  

Achtergrond

Wanneer de IBM 5100 pc was state-of-the-art, $ 10,000 zou je een 5-inch scherm geven met een ingebouwd toetsenbord, 16K RAM en een tapedrive IBM 5100 pc met een gewicht van iets meer dan 50 pond. Geschikt voor boekhouding, deze zou worden aangesloten op een vrijstaande schijfarray ter grootte van een kleine archiefkast. Elk serieus computergebruik werd nog steeds gedaan via terminals op een mainframe-timeshare. (beeld)

"Operators” beheerde de in serie geschakelde pc's en controleerde de toegang tot de buitenwereld. Teams van operators, of latere sysadmins en devops, groeiden om de steeds groter wordende technologie te ondersteunen. De technologie was groot. De teams die ze leidden waren groter.

Enterprise management en IT-gestuurde rapportage zijn de norm sinds het begin van het computertijdperk. Deze ideologie is gebaseerd op de stodgy, conservatieve benadering dat "The Company" de middelen beheert en u zal voorzien van wat u nodig heeft. Als u een aangepast rapport nodig hebt, of een rapport in een tijdsbestek dat buiten de cyclus viel, moet u een verzoek indienen.  

Het proces verliep traag. Er was geen innovatie. Agile bestond niet. En, net als de oude administratieve pool, werd de IT-afdeling als overhead beschouwd.

Ondanks de nadelen, is het met een reden gedaan. Er waren enkele voordelen om het op deze manier te doen. Er waren processen die iedereen volgde. Formulieren werden in drievoud ingevuld en via interoffice-mail verzonden. Gegevensverzoeken uit de hele organisatie werden gesorteerd, geschud, geprioriteerd en op een voorspelbare manier afgehandeld.  

Er was één datawarehouse en één bedrijfsbrede rapportagetool. Standaardrapporten gemaakt door een centraal team, voorzien van een enkele versie van de waarheid. Als de cijfers verkeerd waren, werkte iedereen met dezelfde verkeerde cijfers. Er is iets te zeggen voor interne consistentie. Traditioneel IT-implementatieproces

Het beheer van deze manier van zakendoen was voorspelbaar. Het was budgettair.  

Op een dag, 15 of 20 jaar geleden, explodeerde dat allemaal. Er was een revolutie. Rekenkracht uitgebreid.  Wet van Moore – “de rekenkracht van computers verdubbelt elke twee jaar” – werd nageleefd. Pc's waren kleiner en alomtegenwoordig.   

Steeds meer bedrijven begonnen beslissingen te nemen op basis van data in plaats van het instinct dat ze al zoveel jaren hadden gebruikt. Ze realiseerden zich dat de leiders in hun branche beslissingen namen op basis van historische gegevens. Al snel werden de gegevens bijna realtime. Uiteindelijk werd de berichtgeving voorspellend. Het was aanvankelijk rudimentair, maar het was het begin van het gebruik van analyses om zakelijke beslissingen te nemen.

Er was een verschuiving naar het inhuren van meer data-analisten en datawetenschappers om het management te helpen de markt beter te begrijpen en betere beslissingen te nemen. Maar er gebeurde iets grappigs. Het centrale IT-team volgde niet dezelfde trend als de krimpende personal computers. Het werd niet meteen efficiënter en kleiner.

Als reactie op de gedecentraliseerde technologie begon het IT-team echter ook meer gedecentraliseerd te worden. Of in ieder geval rollen die van oudsher onderdeel waren van IT, nu onderdeel zijn van business units. Analisten die verstand hadden van data en de business waren ingebed in elke afdeling. Managers begonnen hun analisten om meer informatie te vragen. De analisten zeiden op hun beurt: 'Ik zal de gegevensverzoeken in drievoud moeten invullen. Het zal op zijn vroegst worden goedgekeurd tijdens de dataprioriteringsbijeenkomst van deze maand. Afhankelijk van hun werklast kan het dan een week of twee duren voordat IT ons verzoek om gegevens heeft verwerkt. MAAR,... als ik maar toegang zou kunnen krijgen tot het datawarehouse, zou ik vanmiddag een query voor u kunnen uitvoeren.” En zo gaat het.

De verschuiving naar zelfbediening was begonnen. De IT-afdeling versoepelde de greep op de sleutels tot de data. Leveranciers van rapportage en analyse begonnen de nieuwe filosofie te omarmen. Het was een nieuw paradigma. Gebruikers hebben nieuwe tools gevonden om toegang te krijgen tot gegevens. Ze ontdekten dat ze de bureaucratie konden omzeilen als ze maar toegang kregen tot de gegevens. Vervolgens konden ze hun eigen analyse uitvoeren en de doorlooptijd verkorten door hun eigen query's uit te voeren.

Voordelen van selfservice rapportage en analyse

Door directe toegang tot de gegevens aan de massa en zelfbedieningsrapportage te bieden, werden een aantal problemen opgelost, Voordelen van selfservice rapportage en analyse

  1. Gericht.  Speciaal gebouwde tools die gemakkelijk toegankelijk waren, vervingen een enkele, gedateerde, multifunctionele legacy rapportage- en analysetool om alle gebruikers te ondersteunen en alle vragen te beantwoorden. 
  2. Weerbaar.  Voorheen werden de business units gehinderd door een lage productiviteit. Toegang tot alleen de gegevens van vorige maand leidde tot het onvermogen om agile te werken. Het openen van het datawarehouse verkortte het proces waardoor degenen die dichter bij het bedrijf stonden sneller konden functioneren, belangrijke trends konden ontdekken en sneller beslissingen konden nemen. Dus verhoogde snelheid en waarde van gegevens.
  3. Mondige. In plaats van dat gebruikers moesten vertrouwen op de expertise en beschikbaarheid van anderen om beslissingen voor hen te nemen, kregen ze de middelen, autoriteit, kansen en motivatie om hun werk te doen. Gebruikers kregen dus meer empowerment door een zelfbedieningstool te gebruiken die hen kon bevrijden van de afhankelijkheid van anderen in de organisatie voor zowel toegang tot de gegevens als het maken van de analyse zelf.

Uitdagingen van selfservice rapportage en analyse

Voor elk opgelost probleem met selfservicerapportage, werden er echter meerdere gemaakt. De rapportage- en analysetools werden niet langer centraal beheerd door het IT-team. Dus andere dingen die geen problemen waren wanneer een enkel team de rapportage beheerde, werden uitdagender. Zaken als kwaliteitsborging, versiebeheer, documentatie en processen als releasebeheer of deployment regelden zichzelf wanneer ze werden beheerd door een klein team. Waar er bedrijfsnormen waren voor rapportage en gegevensbeheer, konden deze niet langer worden afgedwongen. Er was weinig inzicht of zicht op wat er buiten de IT gebeurde. Verandermanagement bestond niet.  Uitdagingen van selfservice rapportage en analyse

Deze afdelingsgestuurde instanties functioneerden als een schaduw economie wat verwijst naar zaken die 'onder de radar' plaatsvinden, dit is Shadow IT. Wikipedia definieert Shadow IT als “informatietechnologie (IT-)systemen ingezet door andere afdelingen dan de centrale IT-afdeling, om de tekortkomingen van de centrale informatiesystemen te omzeilen.” Sommige definiëren Schaduw IT meerroadom projecten, programma's, processen of systemen op te nemen die buiten de controle van IT of infosec vallen.

Wauw! Vertragen. Als Schaduw-IT een project, programma, proces of systeem is waar IT geen controle over heeft, dan is het alomtegenwoordig dan we dachten. Het is overal. Om het wat botter te zeggen, elk organisatie heeft Shadow IT, of ze het nu erkennen of niet.  Het komt gewoon neer op een kwestie van gradatie. Het succes van een organisatie in het omgaan met schaduw-IT hangt grotendeels af van hoe goed ze een aantal belangrijke uitdagingen aanpakken. Uitdagingen van selfservice rapportage en analyse

  • Security. Boven aan de lijst met problemen die door Shadow IT zijn gemaakt, staat: veiligheidsrisico's. Denk aan macro's. Denk aan spreadsheets met PMI en PHI die buiten de organisatie worden gemaild.
  • Hoger risico op gegevensverlies.  Nogmaals, vanwege inconsistenties in implementatie of processen kan elke individuele implementatie anders zijn. Dit maakt het moeilijk om te bewijzen dat gevestigde handelspraktijken worden gevolgd. Bovendien maakt het het zelfs moeilijk om te voldoen aan eenvoudige auditverzoeken voor gebruik en toegang.
  • Nalevingsproblemen.  Met betrekking tot auditkwesties is er ook een grotere kans op toegang tot gegevens en gegevensstromen, waardoor het moeilijker wordt om te voldoen aan regelgeving zoals: Sarbanes-Oxley Act, GAAP (Algemeen aanvaarde boekhoudprincipes), HIPAA (Health Insurance Portability and Accountability Act) en anderen
  • Inefficiënties in gegevenstoegang.  Hoewel een van de problemen die gedistribueerde IT probeert op te lossen de snelheid van data is, omvatten onverwachte gevolgen verborgen kosten voor niet-IT-medewerkers in bijvoorbeeld financiën, marketing en HR, die hun tijd besteden aan het bespreken van de validiteit van gegevens, het afstemmen op de nummers van hun buren en proberen om software te beheren door de zetel van hun broek.
  • Inefficiënties in het proces. Wanneer technologie onafhankelijk door meerdere business units wordt geadopteerd, geldt dat ook voor de processen die verband houden met het gebruik en de implementatie ervan. Sommige kunnen efficiënt zijn. Anderen niet zo veel.  
  • Inconsistente bedrijfslogica en definities. Er is geen poortwachter om standaarden vast te stellen, inconsistenties zullen waarschijnlijk ontstaan ​​door een gebrek aan testen en versiebeheer. Zonder een uniforme benadering van data of metadata heeft het bedrijf geen enkele versie van de waarheid meer. Afdelingen kunnen gemakkelijk zakelijke beslissingen nemen op basis van gebrekkige of onvolledige gegevens.
  • Gebrek aan afstemming met bedrijfsvisie.  Shadow IT beperkt vaak de realisatie van ROI. De bestaande bedrijfssystemen om te onderhandelen over leverancierscontracten en grootschalige deals worden soms omzeild. Dit kan mogelijk leiden tot overmatige licenties en dubbele systemen. Verder verstoort het het nastreven van organisatiedoelen en de strategische plannen van IT.

Het komt erop neer dat de goede bedoelingen van het invoeren van zelfbedieningsrapportage tot onbedoelde gevolgen leidden. De uitdagingen kunnen worden samengevat in drie categorieën: governance, beveiliging en business alignment.

Vergis je niet, bedrijven hebben behoefte aan krachtige gebruikers die gebruikmaken van realtime gegevens met moderne tools. Ze hebben ook de discipline van change management, release management en versiebeheer nodig. Dus, is selfservice rapportage/BI een hoax? Kun jij de balans vinden tussen autonomie en bestuur? Kunt u bepalen wat u niet kunt zien?

De oplossing

 

Het BI-selfservicespectrum 

Een schaduw is geen schaduw meer als je er een licht op schijnt. Op dezelfde manier is Shadow IT niet langer te vrezen als het naar de oppervlakte wordt gebracht. Door Shadow IT bloot te leggen, kunt u profiteren van de voordelen van selfservicerapportage die zakelijke gebruikers eisen, terwijl u tegelijkertijd de risico's vermindert door middel van governance. Governing Shadow IT klinkt als een contradictio in terminis, maar is in werkelijkheid een evenwichtige benadering om toezicht te houden op selfservice. Business Intelligence

Ik hou van dit analogie van de auteur (geleend van Kimball) van self-service BI/rapportage vergeleken met een restaurantbuffet. Het buffet is zelfbediening in de zin dat je kunt alles krijgen wat je wilt en breng het terug naar je tafel. Dat wil niet zeggen dat je de keuken in gaat en zelf je steak op de grill gaat leggen. Je hebt die chef en haar keukenteam nog steeds nodig. Hetzelfde geldt voor self-service rapportage/BI, je hebt altijd het IT-team nodig om het databuffet voor te bereiden door middel van extractie, transformatie, opslag, beveiliging, modellering, query's en beheer.  

Een onbeperkt buffet is misschien een te simpele analogie. Wat we hebben opgemerkt, is dat er verschillende gradaties van deelname zijn van het keukenteam van het restaurant. Bij sommigen, zoals het traditionele buffet, bereiden ze het eten achterin en leggen ze het smorgasbord neer wanneer het klaar is om te eten. Het enige wat u hoeft te doen is uw bord in te laden en terug te brengen naar uw tafel. Dit is het Las Vegas MGM Grand Buffet of het Golden Corral-bedrijfsmodel. Aan de andere kant van het spectrum bevinden zich bedrijven als Home Chef, Blue Apron en Hello Fresh, die een recept en de ingrediënten aan je deur bezorgen. Enige montage vereist. Ze doen de boodschappen en plannen de maaltijden. Jij doet de rest.

Ergens tussenin zijn misschien plaatsen zoals Mongolian Grill die de ingrediënten hebben bereid, maar ze hebben klaargezet om te selecteren en vervolgens je bord met rauw vlees en groenten aan de chef-kok te geven om het op het vuur te zetten. In dit geval hangt het succes van het eindresultaat (tenminste gedeeltelijk) af van het feit dat u een mix van ingrediënten en sauzen kiest die goed bij elkaar passen. Het hangt ook af van de bereiding en kwaliteit van het voedsel waaruit u moet kiezen, evenals van de vaardigheid van de chef-kok die soms zijn eigen accenten toevoegt. BI-zelfbedieningsspectrum

Het BI-selfservicespectrum

Selfservice-analyse is vrijwel hetzelfde. Organisaties met selfservice-analyse vallen vaak ergens in het spectrum. Aan de ene kant van het spectrum bevinden zich organisaties, zoals het MGM Grand Buffet, waar het IT-team nog steeds alle gegevens en metadatavoorbereiding doet, de bedrijfsbrede analyse- en rapportagetool selecteert en deze aan de eindgebruiker presenteert. De eindgebruiker hoeft alleen maar de gegevenselementen te selecteren die hij wil zien en het rapport uit te voeren. Het enige dat selfservice aan dit model biedt, is dat het rapport nog niet door het IT-team is gemaakt. De filosofie van organisaties die Cognos Analytics gebruiken, valt aan deze kant van het spectrum.

Organisaties die meer lijken op de maaltijdpakketten die aan uw deur worden afgeleverd, hebben de neiging om hun eindgebruikers een "datakit" te geven met de gegevens die ze nodig hebben en de keuze aan tools waarmee ze toegang hebben. Dit model vereist dat de gebruiker zowel de gegevens als de tool beter begrijpt om de antwoorden te krijgen die ze nodig hebben. Onze ervaring is dat bedrijven die gebruikmaken van Qlik Sense en Tableau vaak in deze categorie vallen.

Enterprise-tools zoals Power BI lijken meer op de Mongolian Grill - ergens in het midden.  

Hoewel we organisaties die verschillende analysetools gebruiken, kunnen generaliseren en op verschillende punten van ons "BI Self-Service Spectrum" kunnen plaatsen, is de realiteit dat de positie kan veranderen als gevolg van verschillende factoren: het bedrijf kan nieuwe technologieën toepassen, de competentie van de gebruiker kan toenemen, het management kan een aanpak dicteren, of de onderneming kan eenvoudigweg evolueren naar een meer open zelfbedieningsmodel met meer vrijheid voor de dataconsumenten. In feite kan de positie op het spectrum zelfs verschillen tussen bedrijfsonderdelen binnen dezelfde organisatie.  

De evolutie van Analytics

Met de verschuiving naar zelfbediening en naarmate organisaties naar rechts bewegen op het BI Buffet Spectrum, zijn traditionele dictatoriale Centers of Excellence vervangen door samenwerkende praktijkgemeenschappen. IT kan deelnemen aan deze matrixteams die helpen bij het socialiseren van best practices tussen leveringsteams. Hierdoor kunnen de ontwikkelingsteams aan de zakelijke kant enige autonomie behouden terwijl ze werken binnen de bedrijfsgrenzen van governance en architectuur. Beheerd schaduw IT-proces

IT moet waakzaam blijven. Gebruikers die hun eigen rapporten maken - en in sommige gevallen modellen - zijn zich mogelijk niet bewust van gegevensbeveiligingsrisico's. De enige manier om potentiële beveiligingslekken te voorkomen, is door proactief naar nieuwe inhoud te zoeken en deze te evalueren op naleving.

Het succes van geregeerde schaduw-IT heeft ook te maken met de processen die ervoor zorgen dat het beveiligings- en privacybeleid wordt nageleefd. 

 

Selfserviceparadoxen 

Gereguleerde selfservice-analyses verzoenen de polaire krachten die vrijheid tegenover controle plaatsen. Deze dynamiek speelt zich af in veel zaken en technologie: snelheid versus standaarden; innovatie versus operatie; wendbaarheid versus architectuur; en afdelingsbehoeften versus bedrijfsbelangen.

-Wayne Erikson

Tools voor het beheren van Shadow IT

Het balanceren van risico's en voordelen is de sleutel tot het ontwikkelen van een duurzaam Shadow IT-beleid. Schaduw-IT gebruiken om nieuwe processen en tools te ontdekken waarmee alle werknemers kunnen uitblinken in hun rol, is gewoon een slimme bedrijfspraktijk. Tools met de mogelijkheid om met meerdere systemen te integreren, bieden bedrijven een oplossing die zowel IT als het bedrijf kan sussen.

De risico's en uitdagingen van Shadow IT kunnen aanzienlijk worden beperkt door governanceprocessen te implementeren om ervoor te zorgen dat kwaliteitsgegevens beschikbaar zijn voor iedereen die deze nodig heeft via selfservicetoegang.

Sleutelvragen 

Belangrijke vragen die IT-beveiliging moet kunnen beantwoorden met betrekking tot de zichtbaarheid en controle van schaduw-IT. Als u over systemen of processen beschikt om deze vragen te beantwoorden, moet u slagen voor de sectie Schaduw-IT van een beveiligingsaudit:

  1. Heeft u een polis die Shadow IT dekt?
  2. Kunt u eenvoudig alle toepassingen opsommen die binnen uw organisatie worden gebruikt? Bonuspunten als je informatie hebt over versie en fixniveau.
  3. Weet u wie de analytische activa in productie heeft gewijzigd?
  4. Weet u wie Shadow IT-applicaties gebruikt?
  5. Weet u wanneer de inhoud in productie voor het laatst is gewijzigd?
  6. Kun je gemakkelijk teruggaan naar een vorige versie als er gebreken zijn in de productieversie?
  7. Bent u in staat om individuele bestanden gemakkelijk te herstellen in geval van een ramp?
  8. Welk proces gebruik je voor het ontmantelen van artefacten?
  9. Kunt u aantonen dat alleen goedgekeurde gebruikers het systeem en de gepromote bestanden hebben geopend?
  10. Als u een fout in uw cijfers ontdekt, hoe weet u dan wanneer deze is geïntroduceerd (en door wie)?

Conclusie

Shadow IT in zijn vele vormen is hier om te blijven. We moeten er een licht op laten schijnen en het blootleggen, zodat we de risico's kunnen beheersen en tegelijkertijd de voordelen ervan kunnen benutten. Het kan werknemers productiever en bedrijven innovatiever maken. Het enthousiasme voor de voordelen moet echter worden getemperd door beveiliging, compliance en governance.   

Referenties

Succesvol zijn met selfservice-analyse tussen empowerment en bestuur?

Definitie van ideologie, Merriam-Webster

Definitie van schaduweconomie, zakelijk marktnieuws

Schaduw-IT, Wikipedia 

Shadow IT: het perspectief van de CIO

Enkele versie van de waarheid, Wikipedia

Succesvol zijn met selfservice-analyse: nieuwe rapporten verifiëren

De evolutie van het IT-bedrijfsmodel

De selfservice BI-hoax

Wat is Shadow IT?, McAfee

Wat te doen over Shadow IT 

 

BI/analyseUncategorized
Ruim uw inzichten op: een gids voor de voorjaarsschoonmaak van Analytics

Ruim uw inzichten op: een gids voor de voorjaarsschoonmaak van Analytics

Ruim uw inzichten op Een gids voor analyses Lenteschoonmaak Het nieuwe jaar begint met een knaller; Er worden eindejaarsrapporten gemaakt en gecontroleerd, waarna iedereen zich aan een consistent werkschema houdt. Naarmate de dagen langer worden en de bomen en bloemen bloeien,...

Lees meer

| 10-2024-XNUMX | 0

Laad meer