Shadow IT: equilibrando os riscos e benefícios que cada organização enfrenta

Sumário

Os relatórios de autoatendimento são a terra prometida do dia. Seja Tableau, Cognos Analytics, Qlik Sense ou outra ferramenta de análise, todos os fornecedores parecem estar promovendo a descoberta e análise de dados de autoatendimento. Com o autoatendimento vem o Shadow IT. Nós postulamos que todos os as organizações sofrem de Shadow IT à espreita nas sombras, em um grau ou outro. A solução é iluminá-lo, gerenciar os riscos e maximizar os benefícios. 

Visão geral

Neste white paper, abordaremos a evolução da reportagem e os segredos sujos sobre os quais ninguém fala. Ferramentas diferentes requerem processos diferentes. Às vezes até ideologias.  Ideologias são “asserções, teorias e objetivos integrados que constituem um programa sociopolítico”. Nós não vamos conseguir socio-político mas não consigo pensar em uma palavra para transmitir um programa de negócios e de TI. Eu consideraria que o banco de dados Kimball-Inmon divide um debate ideológico de maneira semelhante. Em outras palavras, sua abordagem, ou a maneira como você pensa, impulsiona suas ações.  

BACKGROUND

Quando o Computador IBM 5100 era de última geração, US$ 10,000 dariam a você uma tela de 5 polegadas com teclado embutido, 16K de RAM e uma unidade de fita pesando pouco mais de 50 quilos. Adequado para contabilidade, isso seria conectado a uma matriz de disco independente do tamanho de um pequeno armário de arquivamento. Qualquer computação séria ainda era feita por meio de terminais em um timeshare de mainframe. (imagem)

"Operadores” gerenciava os PCs em cadeia e controlava o acesso ao mundo exterior. Equipes de operadores, ou sysadmins e devops posteriores, cresceram para dar suporte à tecnologia em constante crescimento. A tecnologia era grande. As equipes que os administravam eram maiores.

O gerenciamento empresarial e os relatórios liderados por TI têm sido a norma desde o início da era do computador. Essa ideologia foi construída com base na abordagem enfadonha e conservadora de que “A Empresa” gerencia os recursos e fornecerá o que você precisa. Se você precisar de um relatório personalizado ou de um relatório em um período fora do ciclo, precisará enviar uma solicitação.  

O processo foi lento. Não houve inovação. Ágil não existia. E, como o antigo grupo clerical, o departamento de TI era considerado uma sobrecarga.

Apesar das desvantagens, isso foi feito por uma razão. Havia alguns benefícios em fazê-lo dessa maneira. Havia processos em vigor que todos seguiam. Os formulários foram preenchidos em triplicado e encaminhados por correio interno. As solicitações de dados de toda a organização foram classificadas, embaralhadas, priorizadas e executadas de maneira previsível.  

Havia um único data warehouse e uma única ferramenta de relatórios para toda a empresa. Relatórios enlatados criados por uma equipe central forneceram uma versão única da verdade. Se os números estivessem errados, todos trabalhavam com os mesmos números errados. Há algo a ser dito sobre consistência interna.

A gestão desta forma de fazer negócios era previsível. Era orçamentário.  

Então, um dia, 15 ou 20 anos atrás, tudo isso explodiu. Houve uma revolução. Poder de computação expandido.  lei de Moore – “o poder de processamento dos computadores dobrará a cada dois anos” – foi obedecido. Os PCs eram menores e onipresentes.   

Mais empresas começaram a tomar decisões com base em dados em vez de instintos que usaram por tantos anos. Eles perceberam que os líderes em seu setor estavam tomando decisões com base em dados históricos. Logo os dados se tornaram quase em tempo real. Eventualmente, os relatórios tornaram-se preditivos. Era rudimentar no início, mas foi o começo do uso de análises para orientar as decisões de negócios.

Houve uma mudança para a contratação de mais analistas de dados e cientistas de dados para ajudar a administração a entender o mercado e tomar melhores decisões. Mas algo engraçado aconteceu. A equipe central de TI não seguiu a mesma tendência dos computadores pessoais cada vez menores. Não se tornou imediatamente mais eficiente e menor.

No entanto, em resposta à tecnologia descentralizada, a equipe de TI também começou a se tornar mais descentralizada. Ou, pelo menos, funções que tradicionalmente faziam parte de TI agora faziam parte de unidades de negócios. Analistas que entendiam os dados e os negócios foram incorporados em todos os departamentos. Os gerentes começaram a pedir mais informações a seus analistas. Os analistas, por sua vez, disseram: “Vou precisar preencher as solicitações de dados em triplicado. O mais cedo que será aprovado será na reunião de priorização de dados deste mês. Em seguida, pode levar uma ou duas semanas para que a TI processe nossa solicitação de dados, dependendo da carga de trabalho. MAS… se eu pudesse ter acesso ao data warehouse, poderia fazer uma consulta para você esta tarde.” E por aí vai.

A mudança para o autoatendimento havia começado. O departamento de TI aliviou o controle sobre as chaves dos dados. Os fornecedores de relatórios e análises começaram a adotar a nova filosofia. Era um novo paradigma. Os usuários encontraram novas ferramentas para acessar os dados. Eles descobriram que poderiam contornar a burocracia se tivessem acesso aos dados. Em seguida, eles poderiam realizar sua própria análise e reduzir o tempo de resposta executando suas próprias consultas.

Benefícios dos relatórios e análises de autoatendimento

Fornecer acesso direto aos dados para as massas e relatórios de autoatendimento resolveu uma série de problemas,

1. Focado.  As ferramentas criadas para fins específicos que eram facilmente acessíveis substituíram uma ferramenta de análise e relatórios herdados, datada e multifuncional, para dar suporte a todos os usuários e responder a todas as perguntas. 
2. Ágil.  Anteriormente, as unidades de negócios eram prejudicadas pela baixa produtividade. O acesso apenas aos dados do mês passado levou à incapacidade de trabalhar com agilidade. A abertura do data warehouse encurtou o processo, permitindo que aqueles mais próximos da empresa funcionassem mais rapidamente, descobrissem tendências importantes e tomassem decisões mais rapidamente. Assim, maior velocidade e valor dos dados.
3. Fortalecidos. Em vez de os usuários terem que confiar na experiência e disponibilidade de outros para tomar decisões por eles, eles receberam os recursos, autoridade, oportunidade e motivação para fazer seu trabalho. Assim, os usuários se capacitaram usando uma ferramenta de autoatendimento que poderia libertá-los da dependência de outras pessoas da organização tanto para o acesso aos dados quanto para a criação da própria análise.

Desafios dos relatórios e análises de autoatendimento

No entanto, para cada problema de relatório de autoatendimento resolvido, ele criou vários outros. As ferramentas de relatórios e análises não eram mais gerenciadas centralmente pela equipe de TI. Então, outras coisas que não eram problemas quando uma única equipe gerenciava os relatórios se tornavam mais desafiadoras. Coisas como garantia de qualidade, controle de versão, documentação e processos como gerenciamento de lançamento ou implantação cuidavam de si mesmos quando eram gerenciados por uma equipe pequena. Onde havia padrões corporativos para relatórios e gerenciamento de dados, eles não podiam mais ser aplicados. Havia pouca percepção ou visibilidade do que estava acontecendo fora da TI. A gestão de mudanças era inexistente. 

Essas instâncias controladas por departamentos funcionavam como um economia de sombra que se refere a negócios que ocorrem 'sob o radar', isso é Shadow IT. A Wikipedia define Shadow IT como “tecnologia da informação (TI) implantados por outros departamentos que não o departamento central de TI, para contornar as deficiências dos sistemas de informação central.” Alguns definem ShadowIT mais broadly para incluir qualquer projeto, programas, processos ou sistemas que estão fora do controle de TI ou infosec.

Uau! Desacelerar. Se Shadow IT é qualquer projeto, programa, processo ou sistema que a TI não controla, então é mais abrangente do que pensávamos. Está em toda parte. Para dizer com mais franqueza, cada organização tem Shadow IT, quer reconheça ou não.  Só se resume a uma questão de grau. O sucesso de uma organização em lidar com a Shadow IT depende em grande parte de quão bem eles abordam alguns dos principais desafios.

• Segurança. No topo da lista de problemas criados pela Shadow IT está riscos de segurança. Pense em macros. Pense em planilhas com PMI e PHI enviadas por e-mail para fora da organização.
• Maior risco de perda de dados.  Novamente, devido a inconsistências na implementação ou nos processos, cada implementação individual pode ser diferente. Isso torna difícil provar que as práticas comerciais estabelecidas estão sendo seguidas. Além disso, dificulta até mesmo o cumprimento de simples solicitações de auditoria de uso e acesso.
• Problemas de conformidade.  Relacionado a questões de auditoria, há também uma maior probabilidade de acesso a dados e fluxos de dados, dificultando o cumprimento de regulamentações como Lei Sarbanes-Oxley, GAAP (Princípios de contabilidade geralmente aceitos), HIPAA (Lei de Portabilidade e Responsabilidade do Seguro de Saúde) e outros
• Ineficiências no acesso a dados.  Embora um dos problemas que a TI distribuída tenta resolver seja a velocidade dos dados, consequências inesperadas incluem custos ocultos para trabalhadores não-TI em finanças, marketing e RH, por exemplo, que gastam seu tempo debatendo a validade dos dados, reconciliando-se com os números de seus vizinhos e tentando gerenciar o software pelo fundo das calças.
• Ineficiências no processo. Quando a tecnologia é adotada por várias unidades de negócios de forma independente, também o são os processos relacionados ao seu uso e implantação. Alguns podem ser eficientes. Outros nem tanto.  
• Lógica e definições de negócios inconsistentes. Não há um gatekeeper para estabelecer padrões, é provável que ocorram inconsistências devido à falta de teste e controle de versão. Sem uma abordagem unificada de dados ou metadados, a empresa não tem mais uma versão única da verdade. Os departamentos podem facilmente tomar decisões de negócios com base em dados incorretos ou incompletos.
• Falta de alinhamento com a visão corporativa.  O Shadow IT geralmente limita a realização do ROI. Os sistemas corporativos em vigor para negociar contratos de fornecedores e acordos de grande escala às vezes são ignorados. Isso pode levar a licenciamento excessivo e sistemas duplicados. Além disso, interrompe a busca de objetivos organizacionais e planos estratégicos de TI.

A conclusão é que as boas intenções de adotar o relatório de autoatendimento levaram a consequências não intencionais. Os desafios podem ser resumidos em três categorias: governança, segurança e alinhamento de negócios.

Não se engane, as empresas precisam de usuários capacitados, aproveitando dados em tempo real com ferramentas modernas. Eles também precisam da disciplina de gerenciamento de mudanças, gerenciamento de versões e controle de versões. Então, os relatórios de autoatendimento/BI são uma farsa? Você consegue encontrar um equilíbrio entre autonomia e governança? Você pode governar o que você não pode ver?

A Solução

O espectro de autoatendimento de BI 

Uma sombra não é mais uma sombra se você acender uma luz sobre ela. Da mesma forma, Shadow IT não deve mais ser temido se for trazido à tona. Ao expor o Shadow IT, você pode aproveitar os benefícios dos relatórios de autoatendimento exigidos pelos usuários de negócios e, ao mesmo tempo, reduzir os riscos por meio da governança. Governar a Shadow IT soa como um paradoxo, mas é, na realidade, uma abordagem equilibrada para supervisionar o autoatendimento.

Eu gosto isto analogia do autor (emprestada de Kimball) de BI/relatório de autoatendimento comparado a um buffet de restaurante. O buffet é self-service no sentido de que você pode conseguir o que quiser e trazê-lo de volta à sua mesa. Isso não quer dizer que você vá para a cozinha e coloque seu bife na grelha. Você ainda precisa daquele chef e sua equipe de cozinha. É o mesmo com relatórios/BI de autoatendimento, você sempre precisará da equipe de TI para preparar o buffet de dados por meio de extração, transformação, armazenamento, proteção, modelagem, consulta e controle.  

Um buffet à vontade pode ser uma analogia muito simples. O que observamos é que há diferentes graus de participação da equipe da cozinha do restaurante. Com alguns, como o buffet tradicional, eles preparam a comida na parte de trás e colocam o smorgasbord quando está pronto para comer. Tudo o que você precisa fazer é carregar seu prato e levá-lo de volta à sua mesa. Este é o Las Vegas MGM Grand Buffet ou o modelo de negócios Golden Corral. No outro extremo do espectro, estão empresas como Home Chef, Blue Apron e Hello Fresh, que entregam uma receita e os ingredientes à sua porta. Alguma montagem necessária. Eles fazem as compras e o planejamento das refeições. Você faz o resto.

Em algum lugar no meio, talvez, estejam lugares como o Mongolian Grill, que preparou os ingredientes, mas os colocou para você selecionar e depois deu seu prato de carne crua e legumes ao chef para colocá-lo no fogo. Neste caso, o sucesso do resultado final depende (pelo menos em parte) de você selecionar uma mistura de ingredientes e molhos que combinem bem. Depende também da preparação e qualidade da comida que você tem que escolher, bem como da habilidade do chef que às vezes adiciona seus próprios toques.

O espectro de autoatendimento de BI

A análise de autoatendimento é praticamente a mesma. As organizações com análises de autoatendimento tendem a ficar em algum lugar no espectro. Em uma extremidade do espectro estão as organizações, como o MGM Grand Buffet, onde a equipe de TI ainda faz toda a preparação de dados e metadados, seleciona a ferramenta de análise e relatórios de toda a empresa e a apresenta ao usuário final. Tudo o que o usuário final precisa fazer é selecionar os elementos de dados que deseja ver e executar o relatório. A única coisa de autoatendimento nesse modelo é que o relatório ainda não foi criado pela equipe de TI. A filosofia das organizações que usam o Cognos Analytics está nessa extremidade do espectro.

As organizações que mais se assemelham aos kits de refeições entregues à sua porta tendem a fornecer aos usuários finais um “kit de dados” que inclui os dados de que precisam e a escolha de ferramentas com as quais podem acessá-los. Esse modelo exige que o usuário entenda melhor os dados e a ferramenta para obter as respostas necessárias. Em nossa experiência, as empresas que utilizam o Qlik Sense e o Tableau tendem a se enquadrar nessa categoria.

Ferramentas corporativas como o Power BI são mais parecidas com o Mongolian Grill – em algum lugar no meio.  

Embora possamos generalizar e colocar organizações que utilizam diversas ferramentas analíticas em diferentes pontos do nosso “BI Self-Service Spectrum”, a realidade é que a posição pode mudar devido a vários fatores: a empresa pode adotar novas tecnologias, a competência do usuário pode aumentar, a gestão pode ditar uma abordagem, ou a empresa pode simplesmente evoluir para um modelo mais aberto de autoatendimento com mais liberdade para os consumidores de dados. Na verdade, a posição no espectro pode até variar entre as unidades de negócios dentro da mesma organização.  

A evolução da análise

Com a mudança para o autoatendimento e à medida que as organizações se movem para a direita no BI Buffet Spectrum, os tradicionais Centros de Excelência ditatoriais foram substituídos por comunidades colaborativas de prática. A TI pode participar dessas equipes matriciais que ajudam a socializar as melhores práticas entre as equipes de entrega. Isso permite que as equipes de desenvolvimento do lado comercial mantenham alguma autonomia enquanto trabalham dentro dos limites corporativos de governança e arquitetura.

A TI deve permanecer vigilante. Os usuários que criam seus próprios relatórios – e em alguns casos, modelos – podem não estar cientes dos riscos de segurança de dados. A única maneira de evitar possíveis vazamentos de segurança é pesquisar proativamente novos conteúdos e avaliá-los quanto à conformidade.

O sucesso da Shadow IT governada também tem a ver com os processos implementados para garantir que as políticas de segurança e privacidade sejam cumpridas. 

Paradoxos de autoatendimento 

A análise de autoatendimento governada reconcilia as forças polares que colocam a liberdade contra o controle. Essa dinâmica ocorre em muitas áreas de negócios e tecnologia: velocidade versus padrões; inovação versus operações; agilidade versus arquitetura; e necessidades departamentais versus interesses corporativos.

-Wayne Erickson

Ferramentas para gerenciar Shadow IT

Equilibrar riscos e benefícios é a chave para desenvolver uma política de Shadow IT sustentável. Aproveitar o Shadow IT para descobrir novos processos e ferramentas que podem permitir que todos os funcionários se destaquem em suas funções é apenas uma prática comercial inteligente. Ferramentas com capacidade de integração com vários sistemas oferecem às empresas uma solução que pode apaziguar tanto a TI quanto o negócio.

Os riscos e desafios levantados pela Shadow IT podem ser bastante mitigados com a implementação de processos de governança para garantir que dados de qualidade estejam disponíveis para todos que precisam deles por meio de acesso de autoatendimento.

Perguntas Chave 

Principais perguntas que a segurança de TI deve ser capaz de responder relacionadas à visibilidade e controle da Shadow IT. Se você tiver sistemas ou processos implementados para responder a essas perguntas, poderá passar na seção Shadow IT de uma auditoria de segurança:

1. Você tem uma política que cobre Shadow IT?
2. Você pode listar facilmente todos os aplicativos que estão sendo usados ​​em sua organização? Pontos de bônus se você tiver informações sobre versão e nível de correção.
3. Você sabe quem modificou os ativos analíticos em produção?
4. Você sabe quem está usando aplicativos Shadow IT?
5. Você sabe quando o conteúdo em produção foi modificado pela última vez?
6. Você pode reverter facilmente para uma versão anterior se houver defeitos na versão de produção?
7. Você consegue recuperar arquivos individuais facilmente em caso de desastre?
8. Qual processo você usa para descomissionar artefatos?
9. Você pode mostrar que apenas usuários aprovados acessaram o sistema e os arquivos promovidos?
10. Se você descobrir uma falha em seus números, como saberá quando ela foi introduzida (e por quem)?

Conclusão

Shadow IT em suas muitas formas está aqui para ficar. Precisamos lançar uma luz sobre isso e expô-lo para que possamos gerenciar os riscos enquanto aproveitamos seus benefícios. Pode tornar os funcionários mais produtivos e as empresas mais inovadoras. No entanto, o entusiasmo pelos benefícios deve ser temperado pela segurança, conformidade e governança.   

Referências

Como ter sucesso com a análise de autoatendimento equilibrando empoderamento e governança

Definição de Ideologia, Merriam-Webster

Definição de Economia Paralela, Notícias de Negócios do Mercado

Shadow IT, Wikipédia 

Shadow IT: a perspectiva do CIO

Versão única da verdade, Wikipedia

Sucesso com a análise de autoatendimento: verifique novos relatórios

A evolução do modelo operacional de TI

O embuste de BI de autoatendimento

O que é Shadow IT?, McAfee

O que fazer sobre Shadow IT