Shadow IT: Vyváženie rizík a výhod, ktorým čelí každá organizácia

abstraktné

Samoobslužné hlásenie je zasľúbenou krajinou dňa. Či už je to Tableau, Cognos Analytics, Qlik Sense alebo iný analytický nástroj, zdá sa, že všetci predajcovia podporujú samoobslužné zisťovanie a analýzu údajov. So samoobsluhou prichádza Shadow IT. Tvrdíme to všetko organizácie trpia tieňovým IT číhajúcim v tej či onej miere. Riešením je posvietiť si na to, riadiť riziká a maximalizovať výhody. 

Prehľad

V tejto bielej knihe sa budeme zaoberať vývojom spravodajstva a špinavými tajomstvami, o ktorých nikto nehovorí. Rôzne nástroje vyžadujú rôzne procesy. Niekedy aj ideológie.  ideológie sú „integrované tvrdenia, teórie a ciele, ktoré tvoria sociopolitický program“. Nedostaneme sociálnopolitické ale nenapadá ma ani slovo, ktoré by sprostredkovalo biznis a IT program. Databázu Kimball-Inmon by som považoval za rozdelenie ideologickej debaty podobným spôsobom. Inými slovami, váš prístup alebo spôsob myslenia riadi vaše činy.  

pozadia

Keď Počítač IBM 5100 bol najmodernejší, za 10,000 5 dolárov získate 16-palcovú obrazovku so vstavanou klávesnicou, XNUMXK RAM a páskovú mechaniku váži niečo cez 50 libier. Vhodné na účtovníctvo, toto by bolo napojené na voľne stojace diskové pole veľkosti malej kartotéky. Akékoľvek seriózne výpočty sa stále vykonávali prostredníctvom terminálov na časovom zdieľaní mainframe. (obraz)

"operátori” spravoval prepojené počítače a kontroloval prístup do vonkajšieho sveta. Tímy operátorov alebo neskorší systémoví správcovia a vývojári sa rozrástli, aby podporovali neustále rastúcu technológiu. Technológia bola veľká. Tímy, ktoré ich spravovali, boli väčšie.

Podnikový manažment a IT reporting boli štandardom od začiatku počítačovej éry. Táto ideológia bola postavená na ťažkopádnom, konzervatívnom prístupe, že „Spoločnosť“ spravuje zdroje a poskytne vám to, čo potrebujete. Ak potrebujete vlastný prehľad alebo prehľad v časovom rámci, ktorý bol mimo cyklu, musíte odoslať žiadosť.  

Proces bol pomalý. Nedošlo k žiadnej inovácii. Agile neexistoval. A podobne ako starodávny administratívny fond, aj IT oddelenie sa považovalo za réžiu.

Napriek nevýhodám to bolo urobené z nejakého dôvodu. Robiť to týmto spôsobom malo určité výhody. Boli tam procesy, ktoré každý dodržiaval. Formuláre boli vyplnené v troch vyhotoveniach a smerované cez medziúradnú poštu. Požiadavky na údaje z celej organizácie sa triedili, prehadzovali, uprednostňovali a riešili sa predvídateľným spôsobom.  

Existoval jeden dátový sklad a jeden celopodnikový reportovací nástroj. Predpripravené zostavy vytvorené centrálnym tímom poskytli a jediná verzia pravdy. Ak boli čísla nesprávne, všetci pracovali z rovnakých nesprávnych čísel. Je potrebné povedať niečo o vnútornej konzistencii.

Manažment tohto spôsobu podnikania bol predvídateľný. Bolo to rozpočtové.  

Potom jedného dňa pred 15 alebo 20 rokmi to všetko vybuchlo. Nastala revolúcia. Rozšíril sa výpočtový výkon.  Moorov zákon – „výpočtový výkon počítačov sa každé dva roky zdvojnásobí“ – bol dodržaný. Počítače boli menšie a všadeprítomné.   

Viac spoločností sa začalo rozhodovať na základe údajov a nie na základe inštinktov, ktoré používali toľko rokov. Uvedomili si, že lídri v ich odvetví sa rozhodovali na základe historických údajov. Čoskoro sa údaje priblížili reálnemu času. Nakoniec sa spravodajstvo stalo prediktívnym. Spočiatku to bolo základné, ale bol to začiatok používania analytiky na riadenie obchodných rozhodnutí.

Došlo k posunu k najímaniu väčšieho množstva dátových analytikov a dátových vedcov, aby manažment pomohol pochopiť trh a robiť lepšie rozhodnutia. Stala sa však zábavná vec. Centrálny IT tím nenasledoval rovnaký trend ako zmenšujúce sa osobné počítače. Nestala sa hneď efektívnejšou a menšou.

V reakcii na decentralizovanú technológiu sa však začal viac decentralizovať aj IT tím. Alebo aspoň roly, ktoré boli tradične súčasťou IT, boli teraz súčasťou obchodných jednotiek. Analytici, ktorí rozumeli dátam a biznisu, boli súčasťou každého oddelenia. Manažéri začali od svojich analytikov žiadať ďalšie informácie. Analytici zase povedali: „Budem musieť vyplniť žiadosti o údaje v troch vyhotoveniach. Najskoršie to bude schválené na tohtoročnom stretnutí o prioritizácii údajov. Potom môže IT oddeleniu trvať týždeň alebo dva, kým spracuje našu žiadosť o údaje – v závislosti od ich pracovného zaťaženia. ALE... ak by som mohol získať prístup do dátového skladu, mohol by som vám dnes popoludní zadať dopyt.“ A tak to ide.

Začal sa prechod na samoobsluhu. Oddelenie IT zmiernilo svoje uchopenie kľúčov k údajom. Predajcovia reportingu a analytiky začali prijímať novú filozofiu. Bola to nová paradigma. Používatelia našli nové nástroje na prístup k údajom. Zistili, že byrokraciu by mohli obísť, ak by len získali prístup k údajom. Potom mohli vykonať svoju vlastnú analýzu a skrátiť dobu obrátky spustením vlastných dotazov.

Výhody samoobslužného reportingu a analýzy

Poskytovanie priameho prístupu k údajom pre masy a samoobslužný reporting vyriešili množstvo problémov,

1. Sústredený.  Účelové nástroje, ktoré boli ľahko dostupné, nahradili jediný starý viacúčelový starší nástroj na vytváranie prehľadov a analýzy, ktorý podporuje všetkých používateľov a odpovedá na všetky otázky. 
2. Agilný.  Predtým boli obchodné jednotky brzdené nízkou produktivitou. Prístup len k údajom z minulého mesiaca viedol k neschopnosti pracovať agilne. Otvorenie dátového skladu skrátilo proces a umožnilo tým, ktorí sú bližšie k podniku, rýchlejšie fungovať, objavovať dôležité trendy a rýchlejšie sa rozhodovať. Zvýšila sa tak rýchlosť a hodnota dát.
3. zmocniť. Namiesto toho, aby sa používatelia museli spoliehať na odbornosť a dostupnosť iných, aby za nich robili rozhodnutia, dostali zdroje, autoritu, príležitosť a motiváciu robiť svoju prácu. Používatelia tak získali možnosť používať samoobslužný nástroj, ktorý ich mohol oslobodiť od spoliehania sa na ostatných v organizácii pri prístupe k údajom aj pri vytváraní samotnej analýzy.

Výzvy samoobslužného vykazovania a analýzy

Pre každý problém, ktorý samoobslužný reporting vyriešil, však vytvoril niekoľko ďalších. Nástroje na podávanie správ a analytické nástroje už neboli spravované centrálne tímom IT. Takže ďalšie veci, ktoré neboli problémom, keď reportovanie riadil jeden tím, sa stali náročnejšími. Veci ako zabezpečenie kvality, kontrola verzií, dokumentácia a procesy ako správa vydania alebo nasadenie sa postarali samy o seba, keď ich spravoval malý tím. Tam, kde existovali podnikové štandardy pre výkazníctvo a správu údajov, sa už nedali presadzovať. O tom, čo sa deje mimo IT, bol len malý prehľad alebo viditeľnosť. Riadenie zmien neexistovalo. 

Tieto oddelenia riadené inštancie fungovali ako a tieňová ekonomika čo sa týka podnikania, ktoré sa vyskytuje „pod radarom“, je to Shadow IT. Wikipedia definuje Shadow IT ako „informačné technológie (IT) systémy nasadené inými oddeleniami ako centrálnym IT oddelením, aby vyriešili nedostatky centrálnych informačných systémov.“ Niektorí definujú Tieň IT viac broadly zahrnúť akýkoľvek projekt, programy, procesy alebo systémy, ktoré sú mimo kontroly IT alebo infosec.

Och! Spomaľ. Ak je Shadow IT akýkoľvek projekt, program, proces alebo systém, ktorý IT nekontroluje, potom je všadeprítomnejší, než sme si mysleli. je všade. Aby som to povedal otvorenejšie, každý Organizácia má tieňové IT, či to uznajú alebo nie.  Závisí to len od miery. Úspech organizácie pri práci s tieňovým IT do značnej miery závisí od toho, ako dobre rieši niektoré kľúčové výzvy.

• zabezpečenia. Na začiatku zoznamu problémov vytvorených Shadow IT je bezpečnostné riziká. Myslite na makrá. Myslite na tabuľky s PMI a PHI odoslanými e-mailom mimo organizácie.
• Vyššie riziko straty dát.  Opäť z dôvodu nezrovnalostí v implementácii alebo procesoch môže byť každá jednotlivá implementácia odlišná. Preto je ťažké dokázať, že sa dodržiavajú zavedené obchodné praktiky. Okrem toho je ťažké splniť aj jednoduché požiadavky na audit používania a prístupu.
• Problémy s dodržiavaním predpisov.  V súvislosti s problémami auditu existuje aj zvýšená pravdepodobnosť prístupu k údajom a toku údajov, čo sťažuje dodržiavanie nariadení, ako napr. Sarbanes-Oxleyov zákon, GAAP (Veobecne akceptovatelne uctovne zasady), HIPAA (Zákon o prenosnosti a zodpovednosti v zdravotnom poistení) a ďalšie
• Neefektívnosť v prístupe k údajom.  Aj keď jedným z problémov, ktoré sa distribuované IT snaží vyriešiť, je rýchlosť prenosu údajov, neočakávané dôsledky zahŕňajú skryté náklady pre pracovníkov mimo IT vo financiách, marketingu a ľudských zdrojoch, ktorí trávia čas debatami o platnosti údajov a zmierovaním čísla svojich susedov a snažia sa spravovať softvér podľa svojich nohavíc.
• Neefektívnosť v procese. Keď technológiu prijímajú nezávisle viaceré obchodné jednotky, súvisia aj procesy s ich používaním a nasadením. Niektoré môžu byť efektívne. Iní až tak veľmi nie.  
• Nekonzistentná obchodná logika a definície. Neexistuje žiadny strážca, ktorý by stanovoval štandardy, pravdepodobne sa vyvinú nezrovnalosti z dôvodu nedostatku testovania a kontroly verzií. Bez jednotného prístupu k údajom alebo metaúdajom už podnik nemá jedinú verziu pravdy. Oddelenia môžu jednoducho robiť obchodné rozhodnutia na základe chybných alebo neúplných údajov.
• Nedostatok súladu s firemnou víziou.  Tieňové IT často obmedzuje realizáciu ROI. Podnikové systémy zavedené na vyjednávanie zmlúv s dodávateľmi a veľkých obchodov sa niekedy obchádzajú. To môže potenciálne viesť k nadmernému licencovaniu a duplicitným systémom. Ďalej to narúša dosahovanie cieľov organizácie a strategických plánov IT.

Pointa je, že dobré úmysly prijať samoobslužné vykazovanie viedli k nezamýšľaným následkom. Výzvy možno zhrnúť do troch kategórií: riadenie, bezpečnosť a obchodné zosúladenie.

Nerobte chybu, podniky potrebujú kompetentných používateľov využívajúcich údaje v reálnom čase pomocou moderných nástrojov. Potrebujú tiež disciplínu riadenia zmien, správy verzií a kontroly verzií. Je teda samoobslužné hlásenie/BI podvod? Dokážete nájsť rovnováhu medzi autonómiou a riadením? Dokážete ovládať to, čo nevidíte?

Riešenie

Samoobslužné spektrum BI 

Tieň už nie je tieňom, ak naň posvietite svetlom. Rovnako tak sa už netreba báť Shadow IT, ak sa dostane na povrch. Pri odhaľovaní Shadow IT môžete využiť výhody samoobslužného vykazovania, ktoré požadujú podnikoví používatelia, a zároveň znížiť riziko prostredníctvom riadenia. Governing Shadow IT znie ako oxymóron, ale v skutočnosti je to vyvážený prístup, ktorý prináša dohľad nad samoobsluhou.

Páči sa mi toto autorova analógia (vypožičaná z Kimball) samoobslužného BI/reportingu prirovnaného k reštauračnému bufetu. Bufet je samoobslužný v tom zmysle môžete získať čokoľvek, čo chcete a prineste ho späť na váš stôl. To neznamená, že idete do kuchyne a sami si dáte steak na gril. Stále potrebujete tú kuchárku a jej kuchynský tím. Je to rovnaké so samoobslužným reportingom/BI, vždy budete potrebovať IT tím, aby pripravil dátový bufet prostredníctvom extrakcie, transformácie, ukladania, zabezpečenia, modelovania, dotazovania a riadenia.  

Bufet s neobmedzenou konzumáciou môže byť príliš jednoduchá analógia. Zistili sme, že existujú rôzne stupne účasti kuchynského tímu reštaurácie. Niektorí, ako napríklad tradičný bufet, pripravujú jedlo vzadu a vyložia bufet, keď je pripravený na jedenie. Jediné, čo musíte urobiť, je naložiť tanier a vziať ho späť na stôl. Ide o Las Vegas MGM Grand Buffet alebo obchodný model Golden Corral. Na druhom konci spektra sú podniky ako Home Chef, Blue Apron a Hello Fresh, ktoré doručia recept a ingrediencie až k vašim dverám. Vyžaduje sa určitá montáž. Robia nákupy a plánujú jedlo. Zvyšok urobíte vy.

Možno niekde medzi tým sú miesta ako Mongolian Grill, ktoré pripravili ingrediencie, no dali vám ich na výber a potom dali váš tanier so surovým mäsom a zeleninou šéfkuchárovi, aby to priložil na oheň. V tomto prípade závisí úspech konečného výsledku (aspoň čiastočne) od vás, či vyberiete zmes ingrediencií a omáčok, ktoré spolu dobre ladia. Závisí to aj od prípravy a kvality jedla, z ktorého si musíte vybrať, ako aj od šikovnosti šéfkuchára, ktorý občas pridá po svojom.

Samoobslužné spektrum BI

Samoobslužná analytika je v podstate rovnaká. Organizácie so samoobslužnou analytikou majú tendenciu spadať niekde do spektra. Na jednom konci spektra sú organizácie, ako je MGM Grand Buffet, kde tím IT stále pripravuje všetky údaje a metadáta, vyberá celopodnikový analytický a reportovací nástroj a prezentuje ho koncovému používateľovi. Všetko, čo musí koncový používateľ urobiť, je vybrať dátové prvky, ktoré chce vidieť, a spustiť zostavu. Jediná samoobslužná vec na tomto modeli je, že zostavu ešte nevytvoril tím IT. Filozofia organizácií, ktoré používajú Cognos Analytics, spadá na tento koniec spektra.

Organizácie, ktoré sa viac podobajú potravinovým súpravám dodávaným až k vašim dverám, majú tendenciu poskytovať svojim koncovým používateľom „údajovú súpravu“, ktorá obsahuje údaje, ktoré potrebujú, a výber nástrojov, pomocou ktorých k nim môžu pristupovať. Tento model vyžaduje, aby používateľ lepšie porozumel údajom aj nástroju, aby získal odpovede, ktoré potrebuje. Podľa našich skúseností spoločnosti, ktoré využívajú Qlik Sense a Tableau, zvyčajne spadajú do tejto kategórie.

Podnikové nástroje ako Power BI sú skôr ako Mongolian Grill – niekde uprostred.  

Hoci môžeme zovšeobecniť a umiestniť organizácie, ktoré používajú rôzne analytické nástroje do rôznych bodov nášho „BI Self-Service Spectra“, realita je taká, že pozícia sa môže zmeniť v dôsledku niekoľkých faktorov: spoločnosť môže prijať nové technológie, môže sa zvýšiť kompetencia používateľov, manažment môže diktovať prístup, alebo sa podnik môže jednoducho vyvinúť na otvorenejší model samoobsluhy s väčšou slobodou pre spotrebiteľov údajov. V skutočnosti sa pozícia v spektre môže dokonca líšiť v rámci obchodných jednotiek v rámci tej istej organizácie.  

Vývoj analytiky

S posunom smerom k samoobsluhe a ako sa organizácie pohybujú v BI Buffet Spectrum doprava, boli tradičné diktátorské centrá excelentnosti nahradené spolupracujúcimi komunitami praxe. IT môže participovať v týchto maticových tímoch, ktoré pomáhajú socializovať najlepšie postupy medzi dodávateľskými tímami. To umožňuje vývojovým tímom na obchodnej strane zachovať si určitú autonómiu pri práci v rámci podnikových hraníc riadenia a architektúry.

IT musí zostať ostražití. Používatelia, ktorí vytvárajú svoje vlastné zostavy – a v niektorých prípadoch aj modely – si nemusia byť vedomí rizík zabezpečenia údajov. Jediným spôsobom, ako zabrániť potenciálnym únikom bezpečnosti, je proaktívne vyhľadávať nový obsah a vyhodnocovať jeho súlad.

Úspech riadeného tieňového IT je tiež o procesoch, ktoré sú zavedené na zabezpečenie dodržiavania zásad zabezpečenia a ochrany osobných údajov. 

Samoobslužné paradoxy 

Riadená samoobslužná analytika spája polárne sily, ktoré stavajú slobodu proti kontrole. Táto dynamika sa prejavuje v mnohých oblastiach podnikania a technológie: rýchlosť verzus štandardy; inovácie verzus operácie; agilnosť verzus architektúra; a potreby oddelení verzus firemné záujmy.

-Wayne Erickson

Nástroje na správu tieňového IT

Vyváženie rizík a prínosov je kľúčom k rozvoju udržateľnej politiky tieňového IT. Využitie tieňového IT na odhalenie nových procesov a nástrojov, ktoré by umožnili všetkým zamestnancom vynikať vo svojich rolách, je len inteligentná obchodná prax. Nástroje so schopnosťou integrácie s viacerými systémami ponúkajú spoločnostiam riešenie, ktoré dokáže upokojiť IT aj biznis.

Riziká a výzvy, ktoré prináša Shadow IT, možno výrazne zmierniť implementáciou procesov správy, aby sa zabezpečilo, že kvalitné údaje budú dostupné všetkým, ktorí ich potrebujú, prostredníctvom samoobslužného prístupu.

Kľúčové otázky 

Kľúčové otázky IT bezpečnosť by mala byť schopná zodpovedať súvisiace s tieňovou viditeľnosťou a kontrolou IT. Ak máte zavedené systémy alebo procesy na zodpovedanie týchto otázok, mali by ste byť schopní prejsť sekciou Shadow IT bezpečnostného auditu:

1. Máte pravidlá, ktoré sa vzťahujú na tieňové IT?
2. Môžete jednoducho uviesť zoznam všetkých aplikácií používaných vo vašej organizácii? Bonusové body, ak máte informácie o verzii a úrovni opravy.
3. Viete, kto upravil analytické aktíva vo výrobe?
4. Viete, kto používa aplikácie Shadow IT?
5. Viete, kedy bol obsah vo výrobe naposledy upravený?
6. Môžete sa ľahko vrátiť k predchádzajúcej verzii, ak sa v produkčnej verzii vyskytnú chyby?
7. Dokážete ľahko obnoviť jednotlivé súbory v prípade katastrofy?
8. Aký proces používate na vyraďovanie artefaktov z prevádzky?
9. Môžete preukázať, že do systému a propagovaných súborov mali prístup iba schválení používatelia?
10. Ak zistíte chybu vo svojich číslach, ako viete, kedy bola zavedená (a kým)?

záver

Shadow IT vo svojich mnohých podobách tu zostane. Musíme si naň posvietiť a odhaliť ho, aby sme mohli zvládať riziká a zároveň využívať jeho výhody. Zamestnanci môžu byť produktívnejší a podniky inovatívnejšie. Nadšenie z výhod by však malo byť zmiernené bezpečnosťou, dodržiavaním predpisov a riadením.   

Referencie

Ako uspieť so samoobslužnou analýzou, ktorá vyvažuje posilnenie a riadenie

Definícia ideológie, Merriam-Webster

Definícia tieňovej ekonomiky, Market Business News

Shadow IT, Wikipedia 

Shadow IT: pohľad riaditeľa IT

Jediná verzia pravdy, Wikipedia

Úspech so samoobslužnou analýzou: Overte nové prehľady

Vývoj prevádzkového modelu IT

Samoobslužný BI podvod

Čo je Shadow IT?, McAfee

Čo robiť v službe Shadow IT