Shadow IT: Balanser risikoene og fordelene hver organisasjon står overfor

Abstrakt

Selvbetjent rapportering er dagens lovede land. Enten det er Tableau, Cognos Analytics, Qlik Sense eller et annet analyseverktøy, ser det ut til at alle leverandører fremmer selvbetjent dataoppdagelse og -analyse. Med selvbetjening kommer Shadow IT. Det påstår vi alle organisasjoner lider av Shadow IT som lurer i skyggene, i en eller annen grad. Løsningen er å kaste lys over det, håndtere risikoen og maksimere fordelene. 

Oversikt

I denne hvitboken vil vi dekke utviklingen av rapportering og de skitne hemmelighetene som ingen snakker om. Ulike verktøy krever ulike prosesser. Noen ganger også ideologier.  Ideologier er "de integrerte påstandene, teoriene og målene som utgjør et sosiopolitisk program." Vi kommer ikke til å få sosial politisk men jeg kan ikke komme på et ord for å formidle et forretnings- og IT-program. Jeg vil vurdere Kimball-Inmon-databasen å dele en ideologisk debatt på en lignende måte. Med andre ord, din tilnærming, eller måten du tenker på, styrer handlingene dine.  

Bakgrunn

når IBM 5100 PC var toppmoderne, ville $10,000 5 gi deg en 16-tommers skjerm med et innebygd tastatur, XNUMXK RAM og en båndstasjon veier litt over 50 kilo. Egnet for regnskap, vil dette være koblet til en frittstående diskgruppe på størrelse med et lite arkivskap. All seriøs databehandling ble fortsatt utført via terminaler på en stormaskin-timeshare. (bilde)

"Operatører” administrerte de seriekoblede PC-ene og kontrollerte tilgangen til omverdenen. Team med operatører, eller senere systemadministratorer og devops, vokste for å støtte den stadig voksende teknologien. Teknologien var stor. Lagene som klarte dem var større.

Bedriftsledelse og IT-ledet rapportering har vært normen siden begynnelsen av datamaskinæraen. Denne ideologien ble bygget på den tøffe, konservative tilnærmingen om at "Bedriften" forvalter ressursene og vil gi deg det du trenger. Hvis du trenger en tilpasset rapport, eller en rapport i en tidsramme som var utenfor syklusen, må du sende inn en forespørsel.  

Prosessen gikk sakte. Det var ingen innovasjon. Agile fantes ikke. Og, i likhet med det gamle geistlige bassenget, ble IT-avdelingen ansett som overhead.

Til tross for ulempene, ble det gjort av en grunn. Det var noen fordeler ved å gjøre det på denne måten. Det var prosesser på plass som alle fulgte. Skjemaer ble fylt ut i tre eksemplarer og rutet gjennom interoffice-post. Dataforespørsler fra hele organisasjonen ble sortert, stokket, prioritert og handlet på en forutsigbar måte.  

Det var ett enkelt datavarehus og et enkelt bedriftsomfattende rapporteringsverktøy. Hermetiske rapporter laget av et sentralt team ga en enkeltversjon av sannheten. Hvis tallene var feil, jobbet alle fra de samme feil tallene. Det er noe å si for intern konsistens.

Styringen av denne måten å drive forretning på var forutsigbar. Det var budsjettmessig.  

Så en dag for 15 eller 20 år siden eksploderte alt det. Det var en revolusjon. Datakraften utvidet.  Moores lov – «prosessorkraften til datamaskiner vil dobles hvert annet år» – ble adlydt. PC-er var mindre og allestedsnærværende.   

Flere selskaper begynte å ta beslutninger basert på data i stedet for mageinstinktene de hadde brukt i så mange år. De innså at lederne i deres bransje tok beslutninger basert på historiske data. Snart ble dataene nær sanntid. Etter hvert ble rapporteringen prediktiv. Det var først rudimentært, men det var begynnelsen på å bruke analyser for å drive forretningsbeslutninger.

Det skjedde et skifte til å ansette flere dataanalytikere og dataforskere for å hjelpe ledelsen med å forstå markedsplassen og ta bedre beslutninger. Men en morsom ting skjedde. Det sentrale IT-teamet fulgte ikke samme trend som de krympende personlige datamaskinene. Den ble ikke umiddelbart mer effektiv og mindre.

Men som svar på den desentraliserte teknologien begynte IT-teamet også å bli mer desentralisert. Eller, i det minste roller som tradisjonelt hadde vært en del av IT, var nå en del av forretningsenheter. Analytikere som forsto data og virksomhet var integrert i hver avdeling. Ledere begynte å spørre analytikerne om mer informasjon. Analytikerne sa på sin side «Jeg må fylle ut dataforespørslene i tre eksemplarer. Det tidligste det vil bli godkjent er på denne månedens dataprioriteringsmøte. Deretter kan det ta en uke eller to før IT behandler forespørselen vår om data – avhengig av arbeidsmengden. MEN, ... hvis jeg bare kunne få tilgang til datavarehuset, kunne jeg kjøre en spørring for deg i ettermiddag." Og slik går det.

Skiftet til selvbetjening hadde startet. IT-avdelingen lettet grepet om nøklene til dataene. Leverandører av rapportering og analyser begynte å omfavne den nye filosofien. Det var et nytt paradigme. Brukere fant nye verktøy for å få tilgang til data. De oppdaget at de kunne omgå byråkratiet hvis de bare fikk tilgang til dataene. Deretter kunne de utføre sine egne analyser og redusere behandlingstiden ved å kjøre sine egne spørringer.

Fordeler med selvbetjent rapportering og analyser

Å gi direkte tilgang til dataene til massene og selvbetjent rapportering løste en rekke problemer,

1. Fokusert.  Spesialbygde verktøy som var lett tilgjengelige, erstattet et enkelt, datert, flerbruks eldre rapporterings- og analyseverktøy for å støtte alle brukere og svare på alle spørsmål. 
2. Smidig.  Tidligere var forretningsenhetene hemmet av dårlig produktivitet. Tilgang til kun forrige måneds data førte til manglende evne til å jobbe smidig. Åpning av datavarehuset forkortet prosessen slik at de som var nærmere virksomheten kunne fungere raskere, oppdage viktige trender og ta beslutninger raskere. Dermed økt hastighet og verdi av data.
3. Klargjort. I stedet for at brukerne måtte stole på ekspertisen og tilgjengeligheten til andre for å ta avgjørelser for dem, fikk de ressursene, autoriteten, muligheten og motivasjonen til å gjøre arbeidet sitt. Så brukerne ble bemyndiget ved å bruke et selvbetjeningsverktøy som kunne frigjøre dem fra avhengigheten av andre i organisasjonen for både tilgang til dataene og opprettelsen av selve analysen.

Utfordringer med selvbetjent rapportering og analyser

Men for hvert problem selvbetjent rapportering løst, skapte det flere. Rapporterings- og analyseverktøyene ble ikke lenger administrert sentralt av IT-teamet. Så andre ting som ikke var problemer når et enkelt team klarte å rapportere ble mer utfordrende. Ting som kvalitetssikring, versjonskontroll, dokumentasjon og prosesser som utgivelsesadministrasjon eller distribusjon tok seg av seg selv når de ble administrert av et lite team. Der det fantes bedriftsstandarder for rapportering og datahåndtering, kunne de ikke lenger håndheves. Det var liten innsikt eller synlighet i hva som skjedde utenfor IT. Endringsledelse var ikke-eksisterende. 

Disse avdelingskontrollerte forekomstene fungerte som en skygge økonomi som refererer til virksomhet som skjer 'under radaren', dette er Shadow IT. Wikipedia definerer Shadow IT som "informasjonsteknologi (IT)-systemer distribuert av andre avdelinger enn den sentrale IT-avdelingen, for å omgå manglene ved de sentrale informasjonssystemene.» Noen definerer Skygg IT mer broadly å inkludere ethvert prosjekt, programmer, prosesser eller systemer som er utenfor kontroll av IT eller infosec.

Huff! Ro ned. Hvis Shadow IT er et prosjekt, program, prosess eller system som IT ikke kontrollerer, så er det mer gjennomgripende enn vi trodde. Det er overalt. For å si det mer rett ut, hver organisasjonen har Shadow IT enten de erkjenner det eller ikke.  Det kommer bare ned til en viss grad. En organisasjons suksess i å håndtere Shadow IT avhenger i stor grad av hvor godt de takler noen viktige utfordringer.

• Sikkerhet. Øverst på listen over problemer opprettet av Shadow IT er sikkerhetsrisiko. Tenk makroer. Tenk regneark med PMI og PHI sendt på e-post utenfor organisasjonen.
• Høyere risiko for tap av data.  Igjen, på grunn av inkonsekvenser i implementering eller prosesser, kan hver enkelt implementering være forskjellig. Dette gjør det vanskelig å bevise at etablert forretningspraksis blir fulgt. Videre gjør det det vanskelig selv å etterkomme enkle revisjonsforespørsler om bruk og tilgang.
• Overholdelsesproblemer.  Relatert til revisjonsspørsmål er det også økt sannsynlighet for datatilgang og dataflyter, noe som gjør det vanskeligere å overholde regelverk som f.eks. Sarbanes-Oxley-loven, GAAP (Generelle aksepterte regnskapsprinsipper), HIPAA (Helseforsikringsportabilitet og ansvarlig lov) og andre
• Ineffektivitet i datatilgang.  Selv om et av problemene som distribuert IT prøver å løse er hastighet til data, inkluderer uventede konsekvenser skjulte kostnader for ikke-IT-arbeidere innen finans, markedsføring og HR, for eksempel, som bruker tiden sin på å diskutere gyldigheten av data, for å avstemme naboens tall og prøver å administrere programvare ved setet på buksene deres.
• Ineffektivitet i prosessen. Når teknologi blir tatt i bruk av flere forretningsenheter uavhengig, er det også prosessene knyttet til bruk og distribusjon. Noen kan være effektive. Andre ikke så mye.  
• Inkonsekvent forretningslogikk og definisjoner. Det er ingen gatekeeper for å etablere standarder, inkonsekvenser vil sannsynligvis utvikle seg på grunn av mangel på testing og versjonskontroll. Uten en enhetlig tilnærming til data eller metadata har virksomheten ikke lenger en enkelt versjon av sannheten. Avdelinger kan enkelt ta forretningsbeslutninger basert på mangelfulle eller ufullstendige data.
• Manglende samsvar med bedriftens visjon.  Shadow IT begrenser ofte realiseringen av ROI. Bedriftssystemene på plass for å forhandle leverandørkontrakter og store avtaler blir noen ganger forbigått. Dette kan potensielt føre til overflødig lisensiering og dupliserte systemer. Videre forstyrrer det jakten på organisasjonsmål og ITs strategiske planer.

Poenget er at de gode intensjonene med å ta i bruk selvbetjent rapportering førte til utilsiktede konsekvenser. Utfordringene kan oppsummeres i tre kategorier: styring, sikkerhet og forretningstilpasning.

Gjør ingen feil, bedrifter trenger bemyndigede brukere som utnytter sanntidsdata med moderne verktøy. De trenger også disiplinen endringsledelse, release management og versjonskontroll. Så, er selvbetjent rapportering/BI en bløff? Kan du finne en balanse mellom autonomi og styring? Kan du styre det du ikke kan se?

The Solution

BI Self-Service Spectrum 

En skygge er ikke lenger en skygge hvis du skinner et lys på den. På samme måte er Shadow IT ikke lenger å frykte hvis det bringes til overflaten. Ved å eksponere Shadow IT kan du dra nytte av fordelene med selvbetjent rapportering som forretningsbrukere krever samtidig som du reduserer risiko gjennom styring. Governing Shadow IT høres ut som en oksymoron, men er i virkeligheten en balansert tilnærming for å bringe tilsyn til selvbetjening.

Jeg liker denne forfatterens analogi (lånt fra Kimball) av selvbetjent BI/rapportering sammenlignet med en restaurantbuffet. Buffeen er selvbetjent i den forstand at du kan få alt du vil og ta den tilbake til bordet ditt. Det er ikke dermed sagt at du kommer til å gå inn på kjøkkenet og legge biffen på grillen selv. Du trenger fortsatt kokken og kjøkkenteamet hennes. Det er det samme med selvbetjent rapportering/BI, du vil alltid trenge IT-teamet til å forberede databuffeten gjennom utvinning, transformasjon, lagring, sikring, modellering, spørring og styring.  

En alt-du-kan-spise-buffet kan være en for enkel analogi. Det vi har observert er at det er ulik grad av deltakelse av restaurantkjøkkenteamet. Hos noen, som den tradisjonelle buffeen, tilbereder de maten bak og legger ut smørebordet når det er klart til å spises. Alt du trenger å gjøre er å fylle tallerkenen og ta den tilbake til bordet ditt. Dette er Las Vegas MGM Grand Buffet eller forretningsmodellen Golden Corral. I den andre enden av spekteret er bedrifter som Home Chef, Blue Apron og Hello Fresh, som leverer en oppskrift og ingrediensene på døren. Noe montering kreves. De gjør innkjøp og måltidsplanlegging. Du gjør resten.

Et sted i mellom er det kanskje steder som Mongolian Grill som har tilberedt ingrediensene, men som du kan velge og deretter gi tallerkenen med rått kjøtt og grønnsaker til kokken for å sette den på bålet. I dette tilfellet avhenger suksessen til sluttresultatet (i det minste delvis) av at du velger en blanding av ingredienser og sauser som passer godt sammen. Det avhenger også av tilberedningen og kvaliteten på maten du har å velge mellom, samt dyktigheten til kokken som noen ganger legger til sine egne detaljer.

BI Self-Service Spectrum

Selvbetjeningsanalyse er mye det samme. Organisasjoner med selvbetjeningsanalyse har en tendens til å falle et sted på spekteret. I den ene enden av spekteret er organisasjoner, som MGM Grand Buffet, der IT-teamet fortsatt gjør all data- og metadataforberedelse, velger det hele bedrifts-omfattende analyse- og rapporteringsverktøyet og presenterer det for sluttbrukeren. Alt sluttbrukeren trenger å gjøre er å velge dataelementene han vil se og kjøre rapporten. Det eneste selvbetjeningen med denne modellen er at rapporten ikke allerede er laget av IT-teamet. Filosofien til organisasjoner som bruker Cognos Analytics faller på denne enden av spekteret.

Organisasjoner som ligner mer på måltidspakkene som leveres på døren din, har en tendens til å gi sluttbrukerne sine et "datasett" som inkluderer dataene de trenger og valg av verktøy som de kan få tilgang til det med. Denne modellen krever at brukeren bedre forstår både dataene og verktøyet for å få svarene de trenger. Vår erfaring er at selskaper som utnytter Qlik Sense og Tableau har en tendens til å falle inn i denne kategorien.

Enterprise-verktøy som Power BI ligner mer på Mongolian Grill – et sted i midten.  

Selv om vi kan generalisere og plassere organisasjoner som bruker ulike analyseverktøy på ulike punkter i vårt "BI Self-Service Spectrum", er realiteten at posisjonen kan endre seg på grunn av flere faktorer: selskapet kan ta i bruk nye teknologier, brukerkompetansen kan øke, ledelsen kan diktere en tilnærming, eller bedriften kan ganske enkelt utvikle seg til en mer åpen modell for selvbetjening med mer frihet for dataforbrukerne. Faktisk kan plasseringen på spekteret til og med variere på tvers av forretningsenheter i samme organisasjon.  

Utviklingen av Analytics

Med skiftet mot selvbetjening og etter hvert som organisasjoner beveger seg til høyre på BI Buffet Spectrum, har tradisjonelle diktatoriske Centers of Excellence blitt erstattet med samarbeidende praksisfellesskap. IT kan delta i disse matriserte teamene som hjelper til med å sosialisere beste praksis på tvers av leveringsteam. Dette gjør at utviklingsteamene på forretningssiden kan opprettholde en viss autonomi mens de jobber innenfor bedriftens grenser for styring og arkitektur.

IT må være årvåken. Brukere som lager sine egne rapporter – og i noen tilfeller modeller – er kanskje ikke klar over datasikkerhetsrisikoer. Den eneste måten å forhindre potensielle sikkerhetslekkasjer på er å proaktivt søke etter nytt innhold og evaluere dem for samsvar.

Suksessen til styrt Shadow IT handler også om prosessene som er på plass for å sikre at sikkerhets- og personvernpolitikken overholdes. 

Selvbetjeningsparadokser 

Styrt selvbetjeningsanalyse forener polarkreftene som setter frihet mot kontroll. Denne dynamikken utspiller seg på mange områder innen virksomhet og teknologi: hastighet kontra standarder; innovasjon versus drift; smidighet versus arkitektur; og avdelingsbehov kontra bedriftens interesser.

-Wayne Erickson

Verktøy for å administrere Shadow IT

Å balansere risiko og fordeler er nøkkelen til å utvikle en bærekraftig Shadow IT-policy. Å utnytte Shadow IT for å avdekke nye prosesser og verktøy som kan tillate alle ansatte å utmerke seg i rollene sine, er bare smart forretningspraksis. Verktøy med mulighet for integrering med flere systemer tilbyr bedrifter en løsning som kan tilfredsstille både IT og virksomheten.

Risikoene og utfordringene som skapes av Shadow IT kan reduseres i stor grad ved å implementere styringsprosesser for å sikre at kvalitetsdata er tilgjengelig for alle som trenger det via selvbetjent tilgang.

Nøkkelspørsmål 

Nøkkelspørsmål IT-sikkerhet bør kunne besvares relatert til Shadow IT-synlighet og kontroll. Hvis du har systemer eller prosesser på plass for å svare på disse spørsmålene, bør du kunne bestå Shadow IT-delen av en sikkerhetsrevisjon:

1. Har du en forsikring som dekker Shadow IT?
2. Kan du enkelt liste opp alle applikasjonene som brukes i organisasjonen din? Bonuspoeng hvis du har informasjon om versjon og fikseringsnivå.
3. Vet du hvem som modifiserte de analytiske ressursene i produksjonen?
4. Vet du hvem som bruker Shadow IT-applikasjoner?
5. Vet du når innholdet i produksjonen sist ble endret?
6. Kan du enkelt gå tilbake til en tidligere versjon hvis det er mangler i produksjonsversjonen?
7. Er du i stand til å gjenopprette individuelle filer enkelt i tilfelle en katastrofe?
8. Hvilken prosess bruker du for dekommisjonering av artefakter?
9. Kan du vise at bare godkjente brukere fikk tilgang til systemet og promoterte filer?
10. Hvis du oppdager en feil i tallene dine, hvordan vet du når den ble introdusert (og av hvem)?

konklusjonen

Shadow IT i sine mange former er kommet for å bli. Vi må kaste lys over det og avsløre det slik at vi kan håndtere risikoen samtidig som vi drar nytte av fordelene. Det kan gjøre ansatte mer produktive og bedrifter mer innovative. Imidlertid bør entusiasmen for fordelene dempes av sikkerhet, etterlevelse og styring.   

Referanser

Hvordan lykkes med selvbetjeningsanalyse som balanserer empowerment og styring

Definisjon av ideologi, Merriam-Webster

Definisjon av Shadow Economy, Market Business News

Shadow IT, Wikipedia 

Shadow IT: CIOs perspektiv

Enkeltversjon av sannheten, Wikipedia

Lykkes med selvbetjeningsanalyse: Bekreft nye rapporter

Evolusjonen av IT-driftsmodellen

Selvbetjent BI-hoax

Hva er Shadow IT?, McAfee

Hva du skal gjøre med Shadow IT