Shadow IT: Równoważenie ryzyka i korzyści, przed którymi stoi każda organizacja

Abstrakcyjny

Raportowanie samoobsługowe to ziemia obiecana dnia. Niezależnie od tego, czy jest to Tableau, Cognos Analytics, Qlik Sense, czy inne narzędzie analityczne, wszyscy dostawcy wydają się promować samoobsługowe wykrywanie i analizę danych. Wraz z samoobsługą przychodzi Shadow IT. Zakładamy, że cała kolekcja organizacje cierpią z powodu Shadow IT czającego się w cieniu, w takim czy innym stopniu. Rozwiązaniem jest rzucenie na to światła, zarządzanie ryzykiem i maksymalizacja korzyści. 

Przegląd

W tej białej księdze omówimy ewolucję reportaży i brudne sekrety, o których nikt nie mówi. Różne narzędzia wymagają różnych procesów. Czasami nawet ideologie.  Ideologie są „zintegrowanymi twierdzeniami, teoriami i celami, które składają się na program społeczno-polityczny”. Nie dostaniemy socjopolityczny ale nie potrafię znaleźć słowa, aby przekazać program biznesowo-informatyczny. Uważam, że baza danych Kimball-Inmon dzieli debatę ideologiczną w podobny sposób. Innymi słowy, Twoje podejście lub sposób myślenia napędza Twoje działania.  

Tło

Podczas Komputer IBM 5100 był supernowoczesny, 10,000 5 $ to 16-calowy ekran z wbudowaną klawiaturą, XNUMXK RAM i napędem taśmowym waży nieco ponad 50 funtów. Nadaje się do prowadzenia księgowości i jest podłączony do wolnostojącej macierzy dyskowej wielkości małej szafki na dokumenty. Wszelkie poważne przetwarzanie nadal odbywało się za pośrednictwem terminali na współdzielonym komputerze typu mainframe. (obraz)

"Operatorzy” zarządzał komputerami połączonymi łańcuchowo i kontrolował dostęp do świata zewnętrznego. Zespoły operatorów lub późniejszych sysadminów i devopsów rozrosły się, aby wspierać stale rozwijającą się technologię. Technologia była duża. Zespoły, które nimi zarządzały, były większe.

Zarządzanie przedsiębiorstwem i raportowanie prowadzone przez IT są normą od początku ery komputerów. Ta ideologia została zbudowana na nudnym, konserwatywnym podejściu, zgodnie z którym „Firma” zarządza zasobami i zapewnia to, czego potrzebujesz. Jeśli potrzebujesz raportu niestandardowego lub raportu z okresu poza cyklem, musisz przesłać prośbę.  

Proces był powolny. Nie było innowacji. Agile nie istniał. I podobnie jak starożytna pula urzędnicza, dział IT był uważany za kosztowny.

Mimo minusów zrobiono to nie bez powodu. Były pewne korzyści z robienia tego w ten sposób. Były wdrożone procesy, za którymi wszyscy podążali. Formularze wypełniano w trzech egzemplarzach i przesyłano pocztą międzybiurową. Żądania danych z całej organizacji zostały posortowane, przetasowane, uszeregowane według priorytetów i podjęte w przewidywalny sposób.  

Istniała jedna hurtownia danych i jedno narzędzie do raportowania dla całego przedsiębiorstwa. Gotowe raporty utworzone przez centralny zespół pod warunkiem: pojedyncza wersja prawdy. Jeśli liczby były błędne, wszyscy pracowali z tych samych błędnych liczb. Jest coś do powiedzenia na temat spójności wewnętrznej.

Zarządzanie tym sposobem prowadzenia biznesu było przewidywalne. To było niedrogie.  

A potem pewnego dnia 15 czy 20 lat temu wszystko to eksplodowało. Nastąpiła rewolucja. Zwiększona moc obliczeniowa.  Prawo Moore'a – „moc obliczeniowa komputerów podwaja się co dwa lata” – przestrzegano. Komputery osobiste były mniejsze i wszechobecne.   

Coraz więcej firm zaczęło podejmować decyzje na podstawie danych, a nie instynktów, z których korzystali przez tyle lat. Zdali sobie sprawę, że liderzy w swojej branży podejmują decyzje na podstawie danych historycznych. Wkrótce dane stały się niemal w czasie rzeczywistym. W końcu raportowanie stało się przewidywalne. Na początku było to szczątkowe, ale był to początek wykorzystywania analityki do podejmowania decyzji biznesowych.

Nastąpiła zmiana w zatrudnianiu większej liczby analityków danych i analityków danych, aby pomóc kierownictwu zrozumieć rynek i podejmować lepsze decyzje. Ale wydarzyła się dziwna rzecz. Centralny zespół IT nie podążał za tym samym trendem, co kurczące się komputery osobiste. Nie od razu stał się bardziej wydajny i mniejszy.

Jednak w odpowiedzi na zdecentralizowaną technologię zespół IT również zaczął się bardziej zdecentralizować. A przynajmniej role, które tradycyjnie były częścią IT, teraz są częścią jednostek biznesowych. W każdym dziale osadzeni byli analitycy, którzy rozumieli dane i biznes. Menedżerowie zaczęli prosić swoich analityków o więcej informacji. Analitycy z kolei powiedzieli: „Będę musiał wypełnić żądania danych w trzech egzemplarzach. Zatwierdzenie nastąpi najwcześniej na spotkaniu dotyczącym priorytetyzacji danych w tym miesiącu. Wtedy IT może zająć tydzień lub dwa, aby przetworzyć naszą prośbę o dane – w zależności od obciążenia pracą. ALE… gdybym mógł po prostu uzyskać dostęp do hurtowni danych, mógłbym uruchomić zapytanie dziś po południu”. I tak to się dzieje.

Rozpoczęło się przejście na samoobsługę. Dział IT złagodził kontrolę nad kluczami do danych. Sprzedawcy raportów i analiz zaczęli przyjmować nową filozofię. To był nowy paradygmat. Użytkownicy znaleźli nowe narzędzia dostępu do danych. Odkryli, że mogą ominąć biurokrację, jeśli tylko uzyskają dostęp do danych. Następnie mogliby przeprowadzić własną analizę i skrócić czas realizacji, uruchamiając własne zapytania.

Korzyści z samoobsługowego raportowania i analiz

Zapewnienie bezpośredniego dostępu do danych masom oraz samoobsługowe raportowanie rozwiązało szereg problemów,

1. Koncentruje się.  Specjalnie zaprojektowane narzędzia, które były łatwo dostępne, zastąpiły pojedyncze, przestarzałe, wielofunkcyjne starsze narzędzie do raportowania i analizy, aby wspierać wszystkich użytkowników i odpowiadać na wszystkie pytania. 
2. Zręczny.  Wcześniej jednostki biznesowe były utrudnione przez słabą produktywność. Dostęp tylko do danych z zeszłego miesiąca doprowadził do niemożności pracy zwinnej. Otwarcie hurtowni danych skróciło proces, umożliwiając osobom bliżej biznesu szybsze funkcjonowanie, odkrywanie ważnych trendów i szybsze podejmowanie decyzji. W ten sposób zwiększona prędkość i wartość danych.
3. Wzmocniony. Zamiast polegać na wiedzy i dostępności innych przy podejmowaniu decyzji za nich, użytkownicy otrzymali zasoby, autorytet, możliwość i motywację do wykonywania swojej pracy. W ten sposób użytkownicy zyskali możliwość korzystania z narzędzia samoobsługowego, które uwolniło ich od polegania na innych osobach w organizacji zarówno w zakresie dostępu do danych, jak i samego tworzenia analizy.

Wyzwania samoobsługowego raportowania i analityki

Jednak dla każdego rozwiązanego problemu samoobsługowego raportowania tworzono kilka kolejnych. Narzędzia do raportowania i analizy nie były już zarządzane centralnie przez zespół IT. Tak więc inne rzeczy, które nie stanowiły problemu, gdy raportowaniem zarządzał jeden zespół, stały się trudniejsze. Sprawy takie jak zapewnienie jakości, kontrola wersji, dokumentacja i procesy, takie jak zarządzanie wydaniami lub wdrażanie, zadbały o siebie, gdy były zarządzane przez mały zespół. Tam, gdzie istniały korporacyjne standardy raportowania i zarządzania danymi, nie można ich było już egzekwować. Niewiele było wglądu lub wglądu w to, co działo się poza IT. Zarządzanie zmianą nie istniało. 

Te kontrolowane przez departamenty instancje działały jak szara strefa co odnosi się do biznesu, który odbywa się „poza radarem”, jest to Shadow IT. Wikipedia definiuje Shadow IT jako „technologia informacyjna (IT) systemy wdrożone przez działy inne niż centralny dział IT w celu obejścia wad centralnych systemów informatycznych.” Niektórzy definiują Cień IT więcej broadly w celu uwzględnienia wszelkich projektów, programów, procesów lub systemów, które są poza kontrolą IT lub infosec.

Łał! Zwolnij. Jeśli Shadow IT jest jakimkolwiek projektem, programem, procesem lub systemem, nad którym dział IT nie kontroluje, to jest bardziej wszechobecny niż sądziliśmy. To jest wszędzie. Aby powiedzieć to bardziej dosadnie, każdy organizacja ma Shadow IT, niezależnie od tego, czy to uznają, czy nie.  To po prostu sprowadza się do kwestii stopnia. Sukces organizacji w radzeniu sobie z Shadow IT zależy w dużej mierze od tego, jak dobrze poradzi sobie z niektórymi kluczowymi wyzwaniami.

• Bezpieczeństwo. Na szczycie listy problemów stworzonych przez Shadow IT znajduje się zagrożenia bezpieczeństwa. Pomyśl o makrach. Pomyśl o arkuszach kalkulacyjnych z PMI i PHI wysyłanymi pocztą elektroniczną poza organizację.
• Wyższe ryzyko utraty danych.  Ponownie, z powodu niespójności we wdrażaniu lub procesach, każda pojedyncza implementacja może być inna. Utrudnia to udowodnienie, że przestrzegane są ustalone praktyki biznesowe. Co więcej, utrudnia to nawet spełnienie prostych żądań audytu użytkowania i dostępu.
• Kwestie związane ze zgodnością.  W związku z kwestiami audytu istnieje również zwiększone prawdopodobieństwo dostępu do danych i przepływu danych, co utrudnia przestrzeganie przepisów, takich jak: Ustawa Sarbanes-OxleyGAAP (Ogólnie przyjęte zasady rachunkowości), HIPAA (Ustawa dotycząca przenośności i odpowiedzialności w zakresie ubezpieczeń społecznych) i inni
• Braki w dostępie do danych.  Chociaż jednym z problemów, które próbuje rozwiązać rozproszone IT, jest szybkość dostępu do danych, nieoczekiwanymi konsekwencjami są ukryte koszty dla pracowników niebędących informatykami, na przykład w finansach, marketingu i HR, którzy spędzają czas na dyskusjach na temat ważności danych, godzeniu się z numery sąsiadów i próbują zarządzać oprogramowaniem przy siedzisku ich spodni.
• Nieefektywności w procesie. Kiedy technologia jest wdrażana niezależnie przez wiele jednostek biznesowych, to samo dzieje się z procesami związanymi z ich wykorzystaniem i wdrażaniem. Niektóre mogą być skuteczne. Inni nie tak bardzo.  
• Niespójna logika biznesowa i definicje. Nie ma strażnika, który ustalałby standardy, niespójności mogą powstać z powodu braku testów i kontroli wersji. Bez ujednoliconego podejścia do danych lub metadanych firma nie ma już jednej wersji prawdy. Działy mogą z łatwością podejmować decyzje biznesowe na podstawie błędnych lub niekompletnych danych.
• Brak zgodności z wizją firmy.  Shadow IT często ogranicza realizację ROI. Istniejące korporacyjne systemy służące do negocjowania umów z dostawcami i zawierania transakcji na dużą skalę są czasami pomijane. Może to potencjalnie prowadzić do nadmiernego licencjonowania i powielania systemów. Co więcej, zakłóca dążenie do celów organizacyjnych i planów strategicznych IT.

Najważniejsze jest to, że dobre intencje przyjęcia samoobsługowego raportowania doprowadziły do ​​niezamierzonych konsekwencji. Wyzwania można podsumować w trzech kategoriach: zarządzanie, bezpieczeństwo i dostosowanie biznesowe.

Nie popełnij błędu, firmy potrzebują upoważnionych użytkowników wykorzystujących dane w czasie rzeczywistym za pomocą nowoczesnych narzędzi. Potrzebują również dyscypliny zarządzania zmianami, zarządzania wydaniami i kontroli wersji. Czy zatem samoobsługowe raportowanie/BI to mistyfikacja? Czy potrafisz znaleźć równowagę między autonomią a zarządzaniem? Czy możesz zarządzać tym, czego nie możesz zobaczyć?

Rozwiązanie

Spektrum samoobsługi BI 

Cień nie jest już cieniem, jeśli oświetlisz go światłem. W ten sam sposób Shadow IT nie należy się już obawiać, jeśli zostanie wydobyty na powierzchnię. Ujawniając Shadow IT, możesz skorzystać z zalet samoobsługowego raportowania, którego wymagają użytkownicy biznesowi, przy jednoczesnym zmniejszeniu ryzyka dzięki zarządzaniu. Zarządzanie Shadow IT brzmi jak oksymoron, ale w rzeczywistości jest zrównoważonym podejściem do nadzoru nad samoobsługą.

Podoba mi się to analogia autora (zapożyczona z Kimball) samoobsługowego BI/raportowania porównywanego do restauracji w formie bufetu. Bufet jest samoobsługowy w tym sensie? możesz dostać wszystko, co chcesz i przynieś go z powrotem do swojego stołu. Nie oznacza to, że masz zamiar wejść do kuchni i sam położyć stek na grillu. Nadal potrzebujesz tej szefowej kuchni i jej zespołu kuchennego. Tak samo jest z raportowaniem samoobsługowym/BI, zawsze będziesz potrzebować zespołu IT, aby przygotować bufet danych poprzez ekstrakcję, transformację, przechowywanie, zabezpieczanie, modelowanie, zapytania i zarządzanie.  

Bufet „jesz, ile chcesz” może być zbyt prostą analogią. Zaobserwowaliśmy, że istnieją różne stopnie udziału zespołu kuchni restauracji. Z niektórymi, jak w tradycyjnym bufecie, przygotowują jedzenie z tyłu i rozkładają szwedzki stół, gdy jest gotowy do spożycia. Wszystko, co musisz zrobić, to załadować swój talerz i zabrać go z powrotem do stołu. To jest Las Vegas MGM Grand Buffet lub model biznesowy Golden Corral. Na drugim końcu spektrum znajdują się firmy takie jak Home Chef, Blue Apron i Hello Fresh, które dostarczają przepis i składniki do Twoich drzwi. Wymagany montaż. Robią zakupy i planują posiłki. Ty zrobisz resztę.

Gdzieś pomiędzy, być może, są miejsca takie jak Mongolian Grill, które przygotowały składniki, ale przygotowały je do wyboru, a następnie podarowały szefowi kuchni talerz z surowym mięsem i warzywami, aby je podpalił. W tym przypadku sukces efektu końcowego zależy (przynajmniej częściowo) od Ciebie, aby wybrać mieszankę składników i sosów, które dobrze do siebie pasują. Zależy to również od przygotowania i jakości jedzenia, z którego musisz wybierać, a także od umiejętności szefa kuchni, który czasami dodaje własne akcenty.

Spektrum samoobsługi BI

Analiza samoobsługi jest bardzo podobna. Organizacje z analityką samoobsługową zwykle plasują się gdzieś w spektrum. Na jednym końcu spektrum znajdują się organizacje, takie jak MGM Grand Buffet, w których zespół IT nadal przygotowuje wszystkie dane i metadane, wybiera narzędzie do analizy i raportowania dla całego przedsiębiorstwa i przedstawia je użytkownikowi końcowemu. Wszystko, co użytkownik końcowy musi zrobić, to wybrać elementy danych, które chce zobaczyć, i uruchomić raport. Jedyną cechą samoobsługi w tym modelu jest to, że raport nie jest jeszcze tworzony przez zespół IT. Filozofia organizacji korzystających z Cognos Analytics wypada na tym końcu spektrum.

Organizacje, które bardziej przypominają zestawy posiłków dostarczane do Twoich drzwi, zwykle dają swoim użytkownikom końcowym „zestaw danych”, który zawiera potrzebne im dane i wybór narzędzi, za pomocą których mogą uzyskać do nich dostęp. Model ten wymaga od użytkownika lepszego zrozumienia zarówno danych, jak i narzędzia, aby uzyskać potrzebne odpowiedzi. Z naszego doświadczenia wynika, że ​​do tej kategorii należą firmy, które wykorzystują Qlik Sense i Tableau.

Narzędzia korporacyjne, takie jak Power BI, bardziej przypominają mongolski grill – gdzieś pośrodku.  

Chociaż możemy uogólniać i umieszczać organizacje korzystające z różnych narzędzi analitycznych w różnych punktach naszego „spektrum samoobsługi BI”, w rzeczywistości pozycja może się zmienić ze względu na kilka czynników: firma może przyjąć nowe technologie, kompetencje użytkowników mogą wzrosnąć, zarządzanie może dyktować podejście lub przedsiębiorstwo może po prostu ewoluować w kierunku bardziej otwartego modelu samoobsługi z większą swobodą dla konsumentów danych. W rzeczywistości pozycja w spektrum może się różnić w zależności od jednostek biznesowych w ramach tej samej organizacji.  

Ewolucja analityki

Wraz ze zmianą w kierunku samoobsługi i gdy organizacje przesuwają się na prawo w BI Buffet Spectrum, tradycyjne dyktatorskie Centra Doskonałości zostały zastąpione współpracującymi społecznościami praktyków. Dział IT może uczestniczyć w tych zespołach macierzowych, które pomagają uspołeczniać najlepsze praktyki w zespołach dostarczających. Pozwala to zespołom programistycznym po stronie biznesowej zachować pewną autonomię podczas pracy w ramach korporacyjnych granic zarządzania i architektury.

Dział IT musi zachować czujność. Użytkownicy tworzący własne raporty – aw niektórych przypadkach modele – mogą nie być świadomi zagrożeń związanych z bezpieczeństwem danych. Jedynym sposobem zapobiegania potencjalnym wyciekom zabezpieczeń jest proaktywne wyszukiwanie nowych treści i ocena ich zgodności.

Sukces zarządzanego Shadow IT dotyczy również procesów, które mają na celu zapewnienie przestrzegania zasad bezpieczeństwa i prywatności. 

Paradoksy samoobsługi 

Zarządzana analityka samoobsługowa godzi siły polarne przeciwstawiające wolność kontroli. Ta dynamika występuje w wielu obszarach biznesu i technologii: szybkość kontra standardy; innowacje a operacje; zwinność a architektura; potrzeby departamentów a interesy korporacyjne.

-Wayne'a Ericksona

Narzędzia do zarządzania Shadow IT

Równoważenie ryzyka i korzyści jest kluczem do opracowania zrównoważonej polityki Shadow IT. Wykorzystywanie Shadow IT do odkrywania nowych procesów i narzędzi, które mogłyby umożliwić wszystkim pracownikom doskonalenie się na ich stanowiskach, to po prostu mądra praktyka biznesowa. Narzędzia z możliwością integracji z wieloma systemami oferują firmom rozwiązanie, które może uspokoić zarówno IT, jak i biznes.

Ryzyko i wyzwania związane z Shadow IT można znacznie złagodzić, wdrażając procesy zarządzania, aby zapewnić dostępność danych wysokiej jakości dla wszystkich, którzy ich potrzebują, za pośrednictwem dostępu samoobsługowego.

Kluczowe pytania 

Kluczowe pytania, na które powinno być w stanie odpowiedzieć bezpieczeństwo IT, związane z widocznością i kontrolą w cieniu IT. Jeśli masz systemy lub procesy, aby odpowiedzieć na te pytania, powinieneś być w stanie przejść sekcję Shadow IT audytu bezpieczeństwa:

1. Czy masz politykę, która obejmuje Shadow IT?
2. Czy możesz łatwo wymienić wszystkie aplikacje używane w Twojej organizacji? Dodatkowe punkty, jeśli masz informacje o wersji i poziomie poprawki.
3. Czy wiesz, kto zmodyfikował aktywa analityczne w produkcji?
4. Czy wiesz, kto korzysta z aplikacji Shadow IT?
5. Czy wiesz, kiedy zawartość w produkcji została ostatnio zmodyfikowana?
6. Czy można łatwo przywrócić poprzednią wersję, jeśli w wersji produkcyjnej występują wady?
7. Czy jesteś w stanie łatwo odzyskać pojedyncze pliki w przypadku awarii?
8. Jakiego procesu używasz do likwidacji artefaktów?
9. Czy możesz pokazać, że tylko zatwierdzeni użytkownicy mieli dostęp do systemu i promowanych plików?
10. Jeśli odkryjesz błąd w swoich liczbach, skąd wiesz, kiedy został wprowadzony (i przez kogo)?

Wnioski

Shadow IT w wielu formach zostanie z nami. Musimy oświetlić go i wyeksponować, abyśmy mogli zarządzać ryzykiem, jednocześnie korzystając z jego zalet. Może sprawić, że pracownicy będą bardziej produktywni, a firmy bardziej innowacyjne. Jednak entuzjazm związany z korzyściami powinien być łagodzony przez bezpieczeństwo, zgodność i zarządzanie.   

Referencje

Jak odnieść sukces dzięki samoobsługowej analizie równoważącej uprawnienia i zarządzanie?

Definicja ideologii, Merriam-Webster

Definicja gospodarki cienia, Wiadomości biznesowe z rynku

Cień IT, Wikipedia 

Shadow IT: perspektywa CIO

Pojedyncza wersja prawdy, Wikipedia

Powodzenie dzięki samoobsługowej analizie: weryfikuj nowe raporty

Ewolucja modelu operacyjnego IT

Samoobsługowe oszustwo BI

Co to jest Shadow IT?, McAfee

Co zrobić z Shadow IT