Теневые ИТ: баланс между рисками и преимуществами, с которыми сталкивается каждая организация

Абстрактные

Самостоятельная отчетность — это земля обетованная дня. Будь то Tableau, Cognos Analytics, Qlik Sense или другой аналитический инструмент, кажется, что все поставщики продвигают самостоятельный поиск и анализ данных. С самообслуживанием приходит Shadow IT. Мы утверждаем, что Найти организации в той или иной степени страдают от скрытых в тени теневых ИТ. Решение состоит в том, чтобы пролить свет на это, управлять рисками и максимизировать выгоды. 

Обзор

В этом официальном документе мы расскажем об эволюции отчетности и грязных секретах, о которых никто не говорит. Разные инструменты требуют разных процессов. Иногда даже идеологии.  Идеологии являются «интегрированными утверждениями, теориями и целями, составляющими социально-политическую программу». мы не собираемся получать социополитический но я не могу подобрать слова, чтобы передать бизнес и ИТ-программу. Я считаю, что база данных Кимбалла-Инмона разделяет идеологические дебаты аналогичным образом. Другими словами, ваш подход или то, как вы думаете, движет вашими действиями.  

проверка данных

Когда IBM 5100 ПК был ультрасовременным, за 10,000 5 долларов можно было получить 16-дюймовый экран со встроенной клавиатурой, XNUMX КБ ОЗУ и ленточный накопитель. весом чуть более 50 фунтов. Подходящий для бухгалтерского учета, он будет подключен к отдельно стоящему дисковому массиву размером с небольшой картотечный шкаф. Любые серьезные вычисления по-прежнему выполнялись через терминалы на таймшере мейнфрейма. (изображение)

Операторы” управлял последовательным подключением компьютеров и контролировал доступ к внешнему миру. Команды операторов, или более поздних системных администраторов и devops, выросли, чтобы поддерживать постоянно растущую технологию. Технология была большая. Команды, которые управляли ими, были крупнее.

Управление предприятием и отчетность под руководством ИТ были нормой с начала компьютерной эры. Эта идеология строилась на томительном, консервативном подходе, что «Компания» распоряжается ресурсами и обеспечит вас тем, что вам нужно. Если вам нужен пользовательский отчет или отчет за период времени, который не соответствует циклу, вам необходимо отправить запрос.  

Процесс был медленным. Нововведений не было. Agile не существовало. И, подобно древнему канцелярскому пулу, ИТ-отдел считался накладным.

Несмотря на недостатки, это было сделано не просто так. В таком способе были некоторые преимущества. Были процессы, которым все следовали. Формы заполнялись в трех экземплярах и направлялись по внутренней почте. Запросы данных со всей организации сортировались, перемешивались, расставлялись по приоритетам и обрабатывались предсказуемым образом.  

Было единое хранилище данных и единый инструмент отчетности для всего предприятия. Готовые отчеты, созданные центральной командой, обеспечивали единственная версия правды. Если числа были неправильными, все работали с одними и теми же неправильными числами. Есть кое-что, что можно сказать о внутренней согласованности.

Управление таким способом ведения бизнеса было предсказуемым. Это было бюджетно.  

Затем однажды, 15 или 20 лет назад, все это взорвалось. Произошла революция. Вычислительная мощность расширилась.  Закон Мура — «вычислительная мощность компьютеров будет удваиваться каждые два года», — подчинились. ПК были меньше по размеру и широко распространены.   

Все больше компаний стали принимать решения, основываясь на данных, а не на интуиции, которую они использовали в течение стольких лет. Они поняли, что лидеры в своей отрасли принимали решения на основе исторических данных. Вскоре данные стали почти в режиме реального времени. В конце концов, репортажи стали предсказательными. Сначала это было в зачаточном состоянии, но это было началом использования аналитики для принятия бизнес-решений.

Произошел сдвиг в сторону найма большего количества аналитиков данных и ученых, занимающихся данными, чтобы помочь руководству понять рынок и принять более взвешенные решения. Но случилась забавная вещь. Центральная ИТ-команда не следовала той же тенденции, что и персональные компьютеры. Он не сразу стал эффективнее и меньше.

Однако в ответ на децентрализованную технологию ИТ-команда также стала более децентрализованной. Или, по крайней мере, роли, которые традиционно были частью ИТ, теперь стали частью бизнес-подразделений. Аналитики, которые разбирались в данных и бизнесе, были внедрены в каждый отдел. Менеджеры начали запрашивать у своих аналитиков дополнительную информацию. Аналитики, в свою очередь, сказали: «Мне нужно будет заполнить запросы данных в трех экземплярах. Самое раннее, что он будет одобрен, — это собрание по определению приоритетов данных в этом месяце. Затем ИТ-специалистам может потребоваться неделя или две, чтобы обработать наш запрос на данные — в зависимости от их рабочей нагрузки. НО… если бы я мог просто получить доступ к хранилищу данных, я мог бы выполнить для вас запрос сегодня днем». Так оно и есть.

Начался переход на самообслуживание. ИТ-отдел ослабил контроль над ключами к данным. Поставщики отчетности и аналитики начали принимать новую философию. Это была новая парадигма. Пользователи нашли новые инструменты для доступа к данным. Они обнаружили, что могут обойти бюрократию, если просто получат доступ к данным. Затем они могли выполнять собственный анализ и сокращать время обработки, выполняя собственные запросы.

Преимущества самостоятельной отчетности и аналитики

Предоставление прямого доступа к данным в массы и самостоятельная отчетность решили ряд проблем,

1. Основное внимание.  Специально созданные инструменты, которые были легко доступны, заменили единый, устаревший, многоцелевой устаревший инструмент отчетности и аналитики, чтобы поддерживать всех пользователей и отвечать на все вопросы. 
2. Гибкий.  Раньше бизнес-подразделениям мешала низкая производительность. Доступ только к данным за последний месяц привел к невозможности работать гибко. Открытие хранилища данных ускорило процесс, позволив тем, кто ближе к бизнесу, работать быстрее, выявлять важные тенденции и быстрее принимать решения. Таким образом, увеличивается скорость и ценность данных.
3. Наделенным Силой. Вместо того, чтобы пользователям приходилось полагаться на опыт и готовность других принимать решения за них, им были предоставлены ресурсы, полномочия, возможности и мотивация для выполнения своей работы. Таким образом, пользователи получили возможность использовать инструмент самообслуживания, который освободил их от зависимости от других в организации как для доступа к данным, так и для создания самого анализа.

Проблемы отчетности и аналитики самообслуживания

Однако на каждую решенную проблему самообслуживания отчетность создавала еще несколько. Инструменты отчетности и аналитики больше не управлялись централизованно ИТ-командой. Таким образом, другие вещи, которые не были проблемой, когда одна команда управляла отчетностью, стали более сложными. Такие вещи, как обеспечение качества, контроль версий, документация и такие процессы, как управление выпуском или развертывание, позаботятся о себе сами, если ими будет управлять небольшая команда. Там, где существовали корпоративные стандарты отчетности и управления данными, их больше нельзя было применять. Было мало понимания или понимания того, что происходит за пределами ИТ. Управление изменениями отсутствовало. 

Эти ведомственные инстанции функционировали как теневая экономика что относится к бизнесу, который происходит «под радаром», это Shadow IT. Википедия определяет Shadow IT как «информационная технология (ИТ) системы, развернутые отделами, отличными от центрального ИТ-отдела, для устранения недостатков центральных информационных систем». Некоторые определяют Тень ИТ больше бroadвключает любые проекты, программы, процессы или системы, которые находятся вне контроля ИТ или информационной безопасности.

Вау! Замедлять. Если теневые ИТ — это любой проект, программа, процесс или система, которые ИТ не контролируют, то они более распространены, чем мы думали. Это везде. Говоря более прямо, каждую у организации есть Shadow IT, признают они это или нет.  Это просто сводится к степени. Успех организации в работе с теневыми ИТ во многом зависит от того, насколько хорошо она решает некоторые ключевые проблемы.

• Безопасность. В верхней части списка проблем, созданных Shadow IT, находится риски безопасности. Подумайте о макросах. Представьте электронные таблицы с PMI и PHI, отправленные по электронной почте за пределами организации.
• Более высокий риск потери данных.  Опять же, из-за несоответствий в реализации или процессах каждая отдельная реализация может отличаться. Это затрудняет доказательство соблюдения установленной деловой практики. Кроме того, это затрудняет выполнение даже простых запросов на аудит использования и доступа.
• Проблемы соответствия.  Что касается вопросов аудита, существует также повышенная вероятность доступа к данным и потокам данных, что затрудняет соблюдение таких правил, как Закон Сарбейнса-Оксли, ОПБУ (Общепринятые принципы бухучета), HIPAA (Медицинское страхование Портативность и Акт об ответственности) и другие
• Неэффективность доступа к данным.  Несмотря на то, что одной из проблем, которую пытается решить распределенный ИТ, является скорость передачи данных, неожиданные последствия включают скрытые расходы для не связанных с ИТ работников в области финансов, маркетинга и управления персоналом, например, которые тратят свое время на обсуждение достоверности данных, примирение с номера своих соседей и пытаются управлять программным обеспечением, сидя в штанах.
• Неэффективность процесса. Когда технология принимается несколькими бизнес-подразделениями независимо друг от друга, то же самое происходит и с процессами, связанными с их использованием и развертыванием. Некоторые из них могут быть эффективными. Другие не очень.  
• Непоследовательная бизнес-логика и определения. Нет привратника для установления стандартов, несоответствия могут возникнуть из-за отсутствия тестирования и контроля версий. Без единого подхода к данным или метаданным у бизнеса больше нет единой версии правды. Отделы могут легко принимать бизнес-решения на основе ошибочных или неполных данных.
• Отсутствие согласования с корпоративным видением.  Теневые ИТ часто ограничивают реализацию рентабельности инвестиций. Корпоративные системы для согласования контрактов с поставщиками и крупномасштабных сделок иногда игнорируются. Это потенциально может привести к избыточному лицензированию и дублированию систем. Кроме того, это мешает достижению организационных целей и стратегическим планам ИТ.

Суть в том, что благие намерения по внедрению отчетности самообслуживания привели к непредвиденным последствиям. Проблемы можно разделить на три категории: управление, безопасность и согласование с бизнесом.

Не заблуждайтесь, предприятиям нужны уполномоченные пользователи, использующие данные в реальном времени с помощью современных инструментов. Им также нужна дисциплина управления изменениями, управления выпусками и контроля версий. Итак, является ли отчетность самообслуживания/BI мистификацией? Можете ли вы найти баланс между автономией и управлением? Можете ли вы управлять тем, чего не видите?

Решение

Спектр самообслуживания BI 

Тень перестает быть тенью, если на нее направить свет. Точно так же больше не нужно бояться Shadow IT, если он выйдет на поверхность. Разоблачая Shadow IT, вы можете воспользоваться преимуществами самостоятельной отчетности, которые требуются бизнес-пользователям, и в то же время снизить риски за счет управления. Управление теневыми ИТ звучит как оксюморон, но на самом деле это сбалансированный подход к самообслуживанию.

Мне нравится этой авторская аналогия (заимствована из Кимболл) самообслуживания BI/отчетности, уподобленной ресторанному буфету. Шведский стол является самообслуживанием в том смысле, что ты можешь получить все, что захочешь и принести его обратно к вашему столу. Это не значит, что вы пойдете на кухню и сами поджарите стейк на гриле. Тебе все еще нужен этот повар и ее кухонная команда. То же самое и с отчетами самообслуживания / BI: вам всегда понадобится ИТ-команда для подготовки «буфета» данных путем извлечения, преобразования, хранения, защиты, моделирования, запросов и управления.  

Шведский стол, где можно есть, может быть слишком простой аналогией. Мы заметили, что существует разная степень участия кухонной команды ресторана. В некоторых, например, в традиционном буфете, еду готовят сзади и накрывают шведский стол, когда он готов к употреблению. Все, что вам нужно сделать, это загрузить свою тарелку и отнести ее к вашему столу. Это бизнес-модель Las Vegas MGM Grand Buffet или Golden Corral. На другом конце спектра находятся такие компании, как Home Chef, Blue Apron и Hello Fresh, которые доставляют рецепт и ингредиенты к вашей двери. Требуется некоторая сборка. Они делают покупки и планируют еду. Вы делаете все остальное.

Где-то посередине, возможно, есть такие места, как Монгольский гриль, которые приготовили ингредиенты, но выложили их для вас, чтобы вы могли выбрать, а затем отдали свою тарелку с сырым мясом и овощами шеф-повару, чтобы тот поставил ее на огонь. В этом случае успех конечного результата зависит (по крайней мере частично) от того, насколько хорошо вы подберете сочетание ингредиентов и соусов. Это также зависит от приготовления и качества еды, из которой вам предстоит выбирать, а также от мастерства шеф-повара, который иногда добавляет свои штрихи.

Спектр самообслуживания BI

Аналитика самообслуживания во многом похожа. Организации с аналитикой самообслуживания, как правило, находятся где-то в этом спектре. На одном конце спектра находятся такие организации, как MGM Grand Buffet, где ИТ-команда по-прежнему выполняет всю подготовку данных и метаданных, выбирает общекорпоративный инструмент аналитики и отчетности и представляет его конечному пользователю. Все, что нужно сделать конечному пользователю, — это выбрать элементы данных, которые он хочет просмотреть, и запустить отчет. Единственная особенность этой модели самообслуживания заключается в том, что отчет еще не создан ИТ-командой. Философия организаций, использующих Cognos Analytics, находится на этом конце спектра.

Организации, которые больше напоминают наборы для еды, доставленные к вашей двери, как правило, предоставляют своим конечным пользователям «набор данных», который включает в себя необходимые им данные и выбор инструментов, с помощью которых они могут получить к ним доступ. Эта модель требует, чтобы пользователь лучше понимал как данные, так и инструмент, чтобы получить нужные ответы. По нашему опыту, компании, использующие Qlik Sense и Tableau, как правило, попадают в эту категорию.

Корпоративные инструменты, такие как Power BI, больше похожи на монгольский гриль — где-то посередине.  

Хотя мы можем обобщить и поместить организации, использующие различные инструменты аналитики, в разные точки нашего «спектра самообслуживания BI», реальность такова, что положение может измениться из-за нескольких факторов: компания может внедрить новые технологии, может диктовать подход, или предприятие может просто перейти к более открытой модели самообслуживания с большей свободой для потребителей данных. На самом деле положение в спектре может даже различаться в зависимости от бизнес-единиц одной и той же организации.  

Эволюция аналитики

С переходом на самообслуживание и по мере того, как организации перемещаются вправо по спектру BI Buffet Spectrum, традиционные диктаторские центры передового опыта были заменены совместными сообществами практиков. ИТ-специалисты могут участвовать в этих матричных командах, которые помогают распространять лучшие практики между группами доставки. Это позволяет командам разработчиков со стороны бизнеса сохранять некоторую автономию, работая в рамках корпоративных границ управления и архитектуры.

ИТ должен сохранять бдительность. Пользователи, создающие свои собственные отчеты, а в некоторых случаях и модели, могут не знать о рисках безопасности данных. Единственный способ предотвратить потенциальные утечки безопасности — это активно искать новое содержимое и оценивать его на соответствие требованиям.

Успех управляемых теневых ИТ также зависит от процессов, обеспечивающих соблюдение политик безопасности и конфиденциальности. 

Парадоксы самообслуживания 

Управляемая аналитика самообслуживания примиряет полярные силы, противопоставляя свободу контролю. Эта динамика проявляется во многих областях бизнеса и технологий: скорость против стандартов; инновации против операций; гибкость против архитектуры; и ведомственные потребности против корпоративных интересов.

–Уэйн Эриксон

Инструменты для управления Shadow IT

Баланс между рисками и выгодами является ключом к разработке устойчивой политики использования теневых ИТ. Использование Shadow IT для выявления новых процессов и инструментов, которые могут позволить всем сотрудникам преуспеть в своих ролях, — это просто разумная деловая практика. Инструменты с возможностью интеграции с несколькими системами предлагают компаниям решение, которое удовлетворит как ИТ, так и бизнес.

Риски и проблемы, связанные с теневыми ИТ, можно значительно снизить, внедрив процессы управления, чтобы гарантировать, что качественные данные доступны всем, кому они нужны, посредством доступа к самообслуживанию.

Ключевые вопросы 

Ключевые вопросы, на которые ИТ-безопасность должна быть в состоянии ответить, связанные с мониторингом и контролем теневых ИТ. Если у вас есть системы или процессы, позволяющие ответить на эти вопросы, вы сможете пройти раздел Shadow IT аудита безопасности:

1. Есть ли у вас политика, которая распространяется на теневые ИТ?
2. Можете ли вы легко перечислить все приложения, используемые в вашей организации? Бонусные баллы, если у вас есть информация о версии и уровне исправления.
3. Знаете ли вы, кто модифицировал аналитические активы в производственной среде?
4. Знаете ли вы, кто использует теневые ИТ-приложения?
5. Знаете ли вы, когда последний раз изменялся контент в рабочей среде?
6. Можете ли вы легко вернуться к предыдущей версии, если в производственной версии есть дефекты?
7. Можете ли вы легко восстановить отдельные файлы в случае аварии?
8. Какой процесс вы используете для вывода артефактов из эксплуатации?
9. Можете ли вы показать, что только одобренные пользователи имеют доступ к системе и продвигаемым файлам?
10. Если вы обнаружите ошибку в ваших цифрах, как вы узнаете, когда она была введена (и кем)?

Заключение

Теневые ИТ во многих их формах никуда не денутся. Нам нужно пролить свет на это и разоблачить, чтобы мы могли управлять рисками, используя при этом преимущества. Это может сделать сотрудников более продуктивными, а предприятия — более инновационными. Однако энтузиазм по поводу преимуществ должен сдерживаться безопасностью, соответствием требованиям и управлением.   

Рекомендации

Как добиться успеха с помощью аналитики самообслуживания, сочетающей расширение возможностей и управление

Определение идеологии, Merriam-Webster

Определение теневой экономики, Новости рынка бизнеса

Теневые ИТ, Википедия 

Теневые ИТ: точка зрения ИТ-директора

Единая версия правды, Википедия

Успех с помощью аналитики самообслуживания: проверка новых отчетов

Эволюция операционной модели ИТ

Обман самообслуживания BI

Что такое Shadow IT?, McAfee

Что делать с Shadow IT