Shadow IT: Uravnovešanje tveganj in koristi, s katerimi se sooča vsaka organizacija

Minimalizem

Samopostrežno poročanje je obljubljena dežela dneva. Ne glede na to, ali gre za Tableau, Cognos Analytics, Qlik Sense ali drugo analitično orodje, se zdi, da vsi prodajalci spodbujajo samopostrežno odkrivanje in analizo podatkov. S samopostrežno storitvijo prihaja Shadow IT. To trdimo vse organizacije trpijo zaradi Shadow IT, ki se v takšni ali drugačni meri skriva v senci. Rešitev je osvetliti to, obvladovati tveganja in povečati koristi. 

Pregled

V tej beli knjigi bomo obravnavali razvoj poročanja in umazane skrivnosti, o katerih nihče ne govori. Različna orodja zahtevajo različne postopke. Včasih celo ideologije.  ideologije so "integrirane trditve, teorije in cilji, ki sestavljajo družbenopolitični program." Ne bomo dobili družbenopolitični vendar ne najdem besede, s katero bi izrazil poslovni in IT program. Menil bi, da baza podatkov Kimball-Inmon deli ideološko razpravo na podoben način. Z drugimi besedami, vaš pristop ali način razmišljanja poganja vaša dejanja.  

Ozadje

Ko osebni računalnik IBM 5100 je bil najsodobnejši, 10,000 $ bi dobili 5-palčni zaslon z vgrajeno tipkovnico, 16K RAM-a in tračnim pogonom tehta nekaj več kot 50 funtov. Primerno za računovodstvo, to bi bilo povezano s prostostoječim diskovnim nizom velikosti majhne omare za kartoteke. Vsako resno računalništvo se je še vedno izvajalo prek terminalov na časovnem zakupu glavnega računalnika. (slika)

"Izvajalci” je upravljal osebne računalnike, povezane z verigo, in nadzoroval dostop do zunanjega sveta. Ekipe operaterjev ali novejših sistemskih administratorjev in devopov so zrasle, da bi podprle nenehno rastočo tehnologijo. Tehnologija je bila velika. Ekipe, ki so jih vodile, so bile večje.

Upravljanje podjetja in poročanje, ki ga vodi IT, sta že od začetka računalniške dobe običajno. Ta ideologija je bila zgrajena na trdovratnem, konzervativnem pristopu, da »Podjetje« upravlja vire in vam bo zagotovilo, kar potrebujete. Če potrebujete poročilo po meri ali poročilo v časovnem okviru, ki je bil izven cikla, morate oddati zahtevo.  

Proces je bil počasen. Nobene inovacije ni bilo. Agile ni obstajalo. In tako kot starodavni klerikalni bazen je tudi oddelek za IT veljal za nadgradnjo.

Kljub slabostim je bilo to storjeno z razlogom. Na ta način je bilo nekaj koristi. Vzpostavljeni so bili procesi, ki so jim sledili vsi. Obrazci so bili izpolnjeni v treh izvodih in poslani po medslužbeni pošti. Zahteve po podatkih iz celotne organizacije so bile razvrščene, premeščene, razvrščene po prioritetah in se nanje ukrepalo na predvidljiv način.  

Obstajalo je enotno podatkovno skladišče in enotno poročevalsko orodje za celotno podjetje. Pripravljena poročila, ki jih je ustvarila osrednja ekipa, so zagotovila a ena različica resnice. Če so bile številke napačne, so vsi delali iz istih napačnih številk. Nekaj ​​je treba povedati glede notranje doslednosti.

Vodenje tega načina poslovanja je bilo predvidljivo. Bilo je proračunsko.  

Potem je nekega dne pred 15 ali 20 leti vse to eksplodiralo. Zgodila se je revolucija. Povečala se je računalniška moč.  Moorov zakon – »procesorska moč računalnikov se bo podvojila vsaki dve leti« – je bilo upoštevano. Računalniki so bili manjši in vseprisotni.   

Več podjetij se je začelo odločati na podlagi podatkov in ne na podlagi instinktov, ki so jih uporabljali toliko let. Spoznali so, da so se vodilni v svoji panogi odločali na podlagi zgodovinskih podatkov. Kmalu so podatki postali skoraj realni čas. Sčasoma je poročanje postalo napovedno. Sprva je bilo rudimentarno, vendar je bil to začetek uporabe analitike za sprejemanje poslovnih odločitev.

Prišlo je do preusmeritve k najemanju več podatkovnih analitikov in podatkovnih znanstvenikov, da bi vodstvu pomagali razumeti trg in sprejemati boljše odločitve. Toda zgodila se je smešna stvar. Osrednja IT ekipa ni sledila istemu trendu kot krčenje osebnih računalnikov. Ni takoj postal učinkovitejši in manjši.

Vendar pa je kot odgovor na decentralizirano tehnologijo tudi ekipa IT začela postajati bolj decentralizirana. Ali pa so bile vsaj vloge, ki so bile tradicionalno del IT, zdaj del poslovnih enot. Analitiki, ki so razumeli podatke in poslovanje, so bili vgrajeni v vsak oddelek. Menedžerji so začeli spraševati svoje analitike za več informacij. Analitiki so po drugi strani dejali: »Zahteve za podatke bom moral izpolniti v treh izvodih. Najprej bo odobreno na sestanku za določanje prednosti podatkov v tem mesecu. Potem lahko traja teden ali dva, da IT obdela našo zahtevo za podatke – odvisno od njihove delovne obremenitve. AMPAK, ... če bi lahko dobil dostop do podatkovnega skladišča, bi lahko za vas zagnal poizvedbo danes popoldne." In tako gre.

Začel se je prehod na samopostrežno storitev. Oddelek za IT je olajšal oprijem ključev podatkov. Prodajalci poročanja in analitike so začeli sprejemati novo filozofijo. To je bila nova paradigma. Uporabniki so našli nova orodja za dostop do podatkov. Odkrili so, da bi lahko obšli birokracijo, če bi le dobili dostop do podatkov. Nato bi lahko izvedli lastno analizo in skrajšali čas obdelave z izvajanjem lastnih poizvedb.

Prednosti samopostrežnega poročanja in analitike

Zagotavljanje neposrednega dostopa do podatkov množicam in samopostrežno poročanje sta rešila številne težave,

1. Usmerjena.  Namensko izdelana orodja, ki so bila lahko dostopna, so nadomestila enotno, zastarelo, večnamensko orodje za poročanje in analitiko, ki je podprlo vse uporabnike in odgovorilo na vsa vprašanja. 
2. Agilen.  Prej je poslovne enote ovirala slaba produktivnost. Dostop le do podatkov iz prejšnjega meseca je privedel do nezmožnosti agilnega dela. Odpiranje podatkovnega skladišča je skrajšalo proces in omogočilo tistim, ki so bližje podjetju, hitrejše delovanje, odkrivanje pomembnih trendov in hitrejše sprejemanje odločitev. Tako se poveča hitrost in vrednost podatkov.
3. Pooblaščen. Namesto da bi se uporabniki morali zanašati na strokovno znanje in razpoložljivost drugih pri sprejemanju odločitev namesto njih, so dobili sredstva, pooblastila, priložnost in motivacijo za opravljanje svojega dela. Tako so uporabniki pridobili moč z uporabo samopostrežnega orodja, ki jih je lahko osvobodilo odvisnosti od drugih v organizaciji tako pri dostopu do podatkov kot pri izdelavi same analize.

Izzivi samopostrežnega poročanja in analitike

Vendar pa je za vsako rešeno težavo samopostrežnega poročanja ustvaril še več. Ekipa za IT ni več centralno upravljala orodij za poročanje in analitiko. Tako so druge stvari, ki niso bile težave, ko je poročanje upravljala ena sama ekipa, postale bolj zahtevne. Stvari, kot so zagotavljanje kakovosti, nadzor različic, dokumentacija in procesi, kot je upravljanje izdajaj ali uvajanje, so poskrbeli sami zase, ko jih je upravljala majhna ekipa. Kjer so obstajali korporativni standardi za poročanje in upravljanje podatkov, jih ni bilo več mogoče uveljavljati. Bilo je malo vpogleda ali vidnosti v to, kaj se dogaja zunaj IT. Upravljanja sprememb ni bilo. 

Ti primeri pod nadzorom oddelkov so delovali kot a senčna ekonomija ki se nanaša na posle, ki se pojavljajo 'pod radarjem', je to Shadow IT. Wikipedia definira Shadow IT kot "informacijska tehnologija (IT) sistemi, ki so jih uvedli oddelki, ki niso osrednji IT oddelek, da bi odpravili pomanjkljivosti osrednjih informacijskih sistemov." Nekateri definirajo Senca IT več broadvključuje vse projekte, programe, procese ali sisteme, ki so zunaj nadzora IT ali infosec.

Vau! Upočasni. Če je Shadow IT kateri koli projekt, program, proces ali sistem, ki ga IT ne nadzoruje, je bolj razširjen, kot smo mislili. Povsod je. Če povem bolj odkrito, vsak organizacija ima Shadow IT, če to priznavajo ali ne.  Gre le za vprašanje stopnje. Uspeh organizacije pri soočanju s senčnimi IT je v veliki meri odvisen od tega, kako dobro se soočajo z nekaterimi ključnimi izzivi.

• Varnost. Na vrhu seznama težav, ki jih je ustvaril Shadow IT, je varnostna tveganja. Pomislite na makre. Pomislite na preglednice s PMI in PHI, poslanimi po e-pošti izven organizacije.
• Večje tveganje izgube podatkov.  Zaradi nedoslednosti pri izvajanju ali postopkih je lahko vsaka posamezna izvedba drugačna. Zaradi tega je težko dokazati, da se upoštevajo ustaljene poslovne prakse. Poleg tega otežuje celo izpolnjevanje preprostih revizijskih zahtev glede uporabe in dostopa.
• Težave s skladnostjo.  V zvezi z revizijskimi vprašanji obstaja tudi večja verjetnost dostopa do podatkov in pretoka podatkov, zaradi česar je težje izpolnjevati predpise, kot so Sarbanes-Oxleyjev zakon, GAAP (Splošno sprejeta računovodska načela), HIPAA (Zakon o prenosljivosti zdravstvenega zavarovanja in odgovornosti) in drugi
• Neučinkovitost pri dostopu do podatkov.  Čeprav je eden od problemov, ki jih poskuša rešiti distribuirana IT, hitrost prenosa podatkov, nepričakovane posledice vključujejo skrite stroške za delavce, ki niso IT v financah, trženju in HR, na primer, ki svoj čas porabijo za razpravo o veljavnosti podatkov in se uskladijo z sosedove številke in poskušajo upravljati programsko opremo glede na sedež svojih hlač.
• Neučinkovitosti v postopku. Ko tehnologijo sprejema več poslovnih enot neodvisno, so tudi procesi povezani z njihovo uporabo in uvajanjem. Nekateri so lahko učinkoviti. Drugi ne toliko.  
• Nekonsistentna poslovna logika in definicije. Ni nadzornika, ki bi vzpostavil standarde, verjetno se bodo pojavile nedoslednosti zaradi pomanjkanja testiranja in nadzora različic. Brez enotnega pristopa do podatkov ali metapodatkov podjetje nima več ene različice resnice. Oddelki lahko zlahka sprejemajo poslovne odločitve na podlagi napačnih ali nepopolnih podatkov.
• Pomanjkanje usklajenosti z vizijo podjetja.  Senčna IT pogosto omejuje realizacijo ROI. Korporativni sistemi, ki so vzpostavljeni za pogajanja o pogodbah s prodajalci in obsežnih poslih, se včasih zaobidejo. To lahko potencialno privede do presežka licenc in podvojenih sistemov. Poleg tega moti uresničevanje organizacijskih ciljev in strateških načrtov IT.

Bistvo je, da so dobri nameni sprejetja samopostrežnega poročanja privedli do nenamernih posledic. Izzive lahko povzamemo v tri kategorije: upravljanje, varnost in poslovna usklajenost.

Da ne bo pomote, podjetja potrebujejo pooblaščene uporabnike, ki izkoriščajo podatke v realnem času s sodobnimi orodji. Potrebujejo tudi disciplino upravljanja sprememb, upravljanja izdaj in nadzora različic. Je torej samopostrežno poročanje/BI prevara? Ali lahko najdete ravnovesje med avtonomijo in upravljanjem? Ali lahko upravljate tisto, česar ne vidite?

Rešitev

Samopostrežni spekter BI 

Senca ni več senca, če jo osvetliš. Na enak način se Shadow IT ni več treba bati, če se dvigne na površje. Pri izpostavljanju Shadow IT lahko izkoristite prednosti samopostrežnega poročanja, ki jih zahtevajo poslovni uporabniki, hkrati pa zmanjšate tveganje z upravljanjem. Governing Shadow IT zveni kot oksimoron, vendar je v resnici uravnotežen pristop, s katerim se nadzor vnese v samopostrežbo.

Všeč mi je ta avtorjeva analogija (izposojena iz Kimball) samopostrežnega BI/poročanja v primerjavi z restavracijskim bifejem. Bife je samopostrežni v tem smislu lahko dobiš karkoli želiš in ga prinesi nazaj na svojo mizo. To ne pomeni, da boste šli v kuhinjo in sami postavili svoj zrezek na žar. Še vedno potrebujete tistega kuharja in njeno kuhinjsko ekipo. Enako je s samopostrežnim poročanjem/BI, vedno boste potrebovali ekipo IT za pripravo bifeja podatkov z ekstrakcijo, pretvorbo, shranjevanjem, varovanjem, modeliranjem, poizvedovanjem in upravljanjem.  

Samopostrežni bife, ki ga lahko pojeste, je morda preveč preprosta analogija. Opazili smo, da obstajajo različne stopnje udeležbe ekipe restavracijske kuhinje. Pri nekaterih, kot je tradicionalni samopostrežni bife, pripravijo hrano zadaj in postavijo jednico, ko je pripravljena za jesti. Vse kar morate storiti je, da naložite svoj krožnik in ga odnesete nazaj na svojo mizo. To je Las Vegas MGM Grand Buffet ali poslovni model Golden Corral. Na drugem koncu spektra so podjetja, kot so Home Chef, Blue Apron in Hello Fresh, ki dostavijo recept in sestavine na vaša vrata. Potrebno je nekaj sestavljanja. Nakupujejo in načrtujejo obroke. Ostalo narediš ti.

Nekje vmes so morda kraji, kot je Mongolian Grill, ki so pripravili sestavine, a jih dali, da jih izberete in nato daste svoj krožnik s surovim mesom in zelenjavo kuharju, da ga prižge. V tem primeru je uspeh končnega rezultata (vsaj delno) odvisen od vas, da izberete mešanico sestavin in omak, ki se dobro ujemajo. Odvisno je tudi od priprave in kakovosti hrane, ki jo morate izbrati, pa tudi od spretnosti kuharja, ki včasih doda svoje.

Samopostrežni spekter BI

Samopostrežna analitika je skoraj enaka. Organizacije s samopostrežno analitiko ponavadi sodijo nekje v spektru. Na enem koncu spektra so organizacije, kot je MGM Grand Buffet, kjer IT ekipa še vedno pripravlja vse podatke in metapodatke, izbere orodje za analitiko in poročanje za celotno podjetje ter ga predstavi končnemu uporabniku. Vse, kar mora končni uporabnik narediti, je izbrati elemente podatkov, ki jih želi videti, in zagnati poročilo. Edina stvar pri tem modelu je samopostrežna, da poročila še ni ustvarila ekipa za IT. Filozofija organizacij, ki uporabljajo Cognos Analytics, sodi na ta konec spektra.

Organizacije, ki so bolj podobne kompletom obrokov, ki so dostavljeni na vaša vrata, svojim končnim uporabnikom ponudijo "podatkovni komplet", ki vključuje podatke, ki jih potrebujejo, in izbiro orodij, s katerimi lahko dostopajo do njih. Ta model od uporabnika zahteva, da bolje razume podatke in orodje, da dobi odgovore, ki jih potrebuje. Po naših izkušnjah podjetja, ki uporabljajo Qlik Sense in Tableau, običajno spadajo v to kategorijo.

Podjetniška orodja, kot je Power BI, so bolj podobna Mongolian Grill – nekje na sredini.  

Čeprav lahko posplošimo in postavimo organizacije, ki uporabljajo različna analitična orodja na različnih točkah našega "samopostrežnega spektra BI", je v resnici, da se položaj lahko spremeni zaradi več dejavnikov: podjetje lahko sprejme nove tehnologije, lahko se poveča usposobljenost uporabnikov, vodstvo lahko narekuje pristop ali pa se podjetje preprosto razvije v bolj odprt model samopostrežne storitve z več svobode za potrošnike podatkov. Dejansko se položaj na spektru lahko celo razlikuje med poslovnimi enotami znotraj iste organizacije.  

Razvoj analitike

S premikom k samopostrežbi in ko se organizacije premaknejo v desno na BI Buffet Spectrum, so tradicionalne diktatorske centre odličnosti nadomestile skupne skupnosti prakse. IT lahko sodeluje v teh matričnih skupinah, ki pomagajo pri povezovanju najboljših praks v skupinah za dostavo. To omogoča razvojnim ekipam na poslovni strani, da ohranijo nekaj avtonomije, medtem ko delajo znotraj korporativnih meja upravljanja in arhitekture.

IT mora ostati previden. Uporabniki, ki ustvarjajo lastna poročila – in v nekaterih primerih tudi modele – se morda ne zavedajo tveganj za varnost podatkov. Edini način za preprečevanje morebitnega uhajanja varnosti je proaktivno iskanje nove vsebine in ocenjevanje njihove skladnosti.

Uspeh upravljane Shadow IT je tudi v postopkih, ki so vzpostavljeni za zagotavljanje skladnosti s pravilniki o varnosti in zasebnosti. 

Samopostrežni paradoksi 

Upravljana samopostrežna analitika usklajuje polarne sile, ki nasprotujejo svobodi in nadzoru. Ta dinamika se pojavlja na številnih področjih poslovanja in tehnologije: hitrost proti standardom; inovacije v primerjavi z delovanjem; agilnost proti arhitekturi; in potrebe oddelkov v primerjavi z interesi podjetij.

-Wayne Erickson

Orodja za upravljanje Shadow IT

Uravnovešanje tveganj in koristi je ključno za razvoj trajnostne politike IT v senci. Izkoriščanje Shadow IT za odkrivanje novih procesov in orodij, ki bi lahko omogočila vsem zaposlenim, da se izkažejo v svojih vlogah, je le pametna poslovna praksa. Orodja z zmožnostjo integracije z več sistemi ponujajo podjetjem rešitev, ki lahko pomiri tako IT kot poslovanje.

Tveganja in izzive, ki jih povzroča senčna IT, je mogoče močno ublažiti z izvajanjem procesov upravljanja, da se zagotovi, da so kakovostni podatki na voljo vsem, ki jih potrebujejo prek samopostrežnega dostopa.

Ključna vprašanja 

Ključna vprašanja, na katera bi morala biti sposobna odgovoriti varnost IT v zvezi z vidnostjo in nadzorom IT v senci. Če imate vzpostavljene sisteme ali procese za odgovore na ta vprašanja, bi morali biti sposobni opraviti oddelek o senčni IT varnostne revizije:

1. Ali imate politiko, ki pokriva Shadow IT?
2. Ali lahko preprosto navedete vse aplikacije, ki se uporabljajo v vaši organizaciji? Bonusne točke, če imate informacije o različici in ravni popravkov.
3. Ali veste, kdo je spreminjal analitična sredstva v proizvodnji?
4. Ali veste, kdo uporablja aplikacije Shadow IT?
5. Ali veste, kdaj je bila vsebina v produkciji nazadnje spremenjena?
6. Ali se lahko preprosto vrnete na prejšnjo različico, če so v proizvodni različici napake?
7. Ali lahko v primeru katastrofe enostavno obnovite posamezne datoteke?
8. Kateri postopek uporabljate za razgradnjo artefaktov?
9. Ali lahko pokažete, da so samo odobreni uporabniki dostopali do sistema in promovirali datoteke?
10. Če odkrijete napako v svojih številkah, kako veste, kdaj jo je uvedel (in kdo)?

zaključek

Shadow IT v svojih številnih oblikah je tu, da ostane. Moramo ga osvetliti in izpostaviti, da bomo lahko obvladovali tveganja in hkrati izkoristili njegove koristi. Zaposlene lahko naredi bolj produktivne, podjetja pa bolj inovativna. Vendar pa je treba navdušenje nad koristmi ublažiti z varnostjo, skladnostjo in upravljanjem.   

Reference

Kako uspeti s samopostrežno analitiko, ki uravnoteži opolnomočenje in upravljanje

Definicija ideologije, Merriam-Webster

Opredelitev senčne ekonomije, tržne poslovne novice

Shadow IT, Wikipedia 

Shadow IT: perspektiva CIO

Ena različica resnice, Wikipedia

Uspeh s samopostrežno analizo: preverite nova poročila

Razvoj operacijskega modela IT

Prevara samopostrežnega BI

Kaj je Shadow IT?, McAfee

Kaj storiti glede Shadow IT