Shadow IT: Balansera riskerna och fördelarna som varje organisation står inför

Abstrakt

Självbetjäningsrapportering är dagens förlovade land. Oavsett om det är Tableau, Cognos Analytics, Qlik Sense eller ett annat analysverktyg, verkar alla leverantörer främja självbetjäningsdataupptäckt och analys. Med självbetjäning kommer Shadow IT. Det hävdar vi alla organisationer lider av att Shadow IT lurar i skuggorna, i en eller annan grad. Lösningen är att belysa det, hantera riskerna och maximera fördelarna. 

Översikt

I denna vitbok kommer vi att täcka utvecklingen av rapportering och de smutsiga hemligheterna som ingen pratar om. Olika verktyg kräver olika processer. Ibland till och med ideologier.  Ideologier är "de integrerade påståenden, teorierna och målen som utgör ett sociopolitiskt program." Vi kommer inte att få social politisk men jag kan inte komma på ett ord för att förmedla ett affärs- och IT-program. Jag skulle anse att Kimball-Inmon-databasen delar en ideologisk debatt på ett liknande sätt. Med andra ord, ditt förhållningssätt, eller ditt sätt att tänka, driver dina handlingar.  

Bakgrund

När IBM 5100 PC var toppmodern, $10,000 5 skulle ge dig en 16-tumsskärm med ett inbyggt tangentbord, XNUMXK RAM och en bandenhet väger drygt 50 kilo. Lämplig för bokföring, skulle detta kopplas till en fristående diskuppsättning storleken på ett litet arkivskåp. All seriös datoranvändning gjordes fortfarande via terminaler på en stordator timeshare. (bild)

"Operatörer” hanterade de seriekopplade datorerna och kontrollerade åtkomsten till omvärlden. Team av operatörer, eller senare sysadmins och devops, växte för att stödja den ständigt växande tekniken. Tekniken var stor. Lagen som klarade dem var större.

Företagsledning och IT-ledd rapportering har varit normen sedan början av datoreran. Den här ideologin byggdes på det tuffa, konservativa förhållningssättet att "Bolaget" förvaltar resurserna och kommer att förse dig med det du behöver. Om du behöver en anpassad rapport, eller en rapport inom en tidsram som var utanför cykeln, måste du skicka in en begäran.  

Processen var långsam. Det fanns ingen innovation. Agile fanns inte. Och, precis som den gamla prästerliga poolen, ansågs IT-avdelningen vara overhead.

Trots nackdelarna gjordes det av en anledning. Det fanns vissa fördelar med att göra på det här sättet. Det fanns processer på plats som alla följde. Blanketter fylldes i i tre exemplar och skickades via post mellan kontor. Dataförfrågningar från hela organisationen sorterades, blandades, prioriterades och åtgärdades på ett förutsägbart sätt.  

Det fanns ett enda datalager och ett enda företagsomfattande rapporteringsverktyg. Standardrapporter skapade av ett centralt team gav en enda version av sanningen. Om siffrorna var fel, arbetade alla från samma fel siffror. Det finns något att säga för intern konsekvens.

Hanteringen av detta sätt att göra affärer var förutsägbar. Det var budgetvänligt.  

Sedan en dag för 15 eller 20 år sedan exploderade allt det. Det var en revolution. Datorkraften utökades.  Moores lag – ”datorernas processorkraft kommer att fördubblas vartannat år” – lydde. Datorer var mindre och överallt.   

Fler företag började fatta beslut baserade på data snarare än de maginstinkter de använt i så många år. De insåg att ledarna i deras bransch fattade beslut baserat på historiska data. Snart blev uppgifterna nära realtid. Så småningom blev rapporteringen prediktiv. Det var först rudimentärt, men det var början på att använda analyser för att driva affärsbeslut.

Det skedde en övergång till att anställa fler dataanalytiker och datavetare för att hjälpa ledningen att förstå marknaden och fatta bättre beslut. Men en rolig sak hände. Det centrala IT-teamet följde inte samma trend som de krympande persondatorerna. Det blev inte direkt effektivare och mindre.

Men som svar på den decentraliserade tekniken började IT-teamet också bli mer decentraliserat. Eller, åtminstone roller som traditionellt hade varit en del av IT, var nu en del av affärsenheter. Analytiker som förstod data och verksamheten var inbäddade i varje avdelning. Chefer började fråga sina analytiker om mer information. Analytikerna sa i sin tur "Jag måste fylla i dataförfrågningarna i tre exemplar. Det tidigaste det kommer att godkännas är vid månadens dataprioriteringsmöte. Sedan kan det ta en eller två veckor för IT att behandla vår begäran om data – beroende på deras arbetsbelastning. MEN... om jag bara kunde få tillgång till datalagret skulle jag kunna köra en fråga åt dig i eftermiddag.” Och så går det.

Övergången till självbetjäning hade börjat. IT-avdelningen lättade på greppet om nycklarna till datan. Leverantörer av rapportering och analys började anamma den nya filosofin. Det var ett nytt paradigm. Användare hittade nya verktyg för att komma åt data. De upptäckte att de kunde kringgå byråkratin om de bara fick tillgång till datan. Sedan kunde de utföra sin egen analys och minska handläggningstiden genom att köra sina egna frågor.

Fördelar med självbetjäningsrapportering och analyser

Att tillhandahålla direkt tillgång till data till massorna och självbetjäningsrapportering löste ett antal problem,

1. Fokuserad.  Specialbyggda verktyg som var lättillgängliga ersatte ett enda, daterat, multifunktionellt äldre rapporterings- och analysverktyg för att stödja alla användare och svara på alla frågor. 
2. Vig.  Tidigare hämmades affärsenheterna av dålig produktivitet. Tillgång till endast förra månadens data ledde till oförmågan att arbeta agilt. Öppnandet av datalagret förkortade processen, vilket gjorde det möjligt för dem som stod närmare verksamheten att fungera snabbare, upptäcka viktiga trender och fatta beslut snabbare. Alltså ökad hastighet och värde på data.
3. befogenhet. Istället för att användare måste förlita sig på andras expertis och tillgänglighet för att fatta beslut åt dem, fick de resurser, auktoritet, möjlighet och motivation att utföra sitt arbete. Så användarna fick befogenhet genom att använda ett självbetjäningsverktyg som kunde befria dem från beroendet av andra i organisationen för både tillgång till data och skapandet av själva analysen.

Utmaningar med självbetjäningsrapportering och analys

Men för varje problem som självbetjäningsrapportering löstes skapade det flera fler. Rapporterings- och analysverktygen hanterades inte längre centralt av IT-teamet. Så andra saker som inte var problem när ett enda team hanterade rapportering blev mer utmanande. Saker som kvalitetssäkring, versionskontroll, dokumentation och processer som releasehantering eller distribution skötte sig själva när de hanterades av ett litet team. Där det fanns företagsstandarder för rapportering och datahantering kunde de inte längre tillämpas. Det fanns liten insikt eller synlighet i vad som hände utanför IT. Förändringshantering var obefintlig. 

Dessa avdelningskontrollerade instanser fungerade som en skugga ekonomi som hänvisar till affärer som sker "under radarn", detta är Shadow IT. Wikipedia definierar Shadow IT som "informationsteknologi (IT)-system som används av andra avdelningar än den centrala IT-avdelningen för att komma till rätta med bristerna i de centrala informationssystemen.” Vissa definierar Skugga IT mer broadatt inkludera alla projekt, program, processer eller system som ligger utanför IT eller infosecs kontroll.

Oj! Sakta ner. Om Shadow IT är något projekt, program, process eller system som IT inte kontrollerar, då är det mer genomgripande än vi trodde. Det finns överallt. För att säga det mer rakt av, varje organisationen har Shadow IT oavsett om de erkänner det eller inte.  Det kommer bara till en viss grad. En organisations framgång i att hantera Shadow IT beror till stor del på hur väl de hanterar några viktiga utmaningar.

• Säkerhet. Överst på listan över problem som skapats av Shadow IT är säkerhetsrisker. Tänk makron. Tänk att kalkylblad med PMI och PHI skickas via e-post utanför organisationen.
• Högre risk för dataförlust.  Återigen, på grund av inkonsekvenser i implementering eller processer kan varje enskild implementering vara annorlunda. Detta gör det svårt att bevisa att etablerade affärspraxis följs. Dessutom gör det det svårt att till och med uppfylla enkla revisionsförfrågningar om användning och åtkomst.
• Överensstämmelsefrågor.  Relaterat till revisionsfrågor finns det också en ökad sannolikhet för dataåtkomst och dataflöden, vilket gör det svårare att följa regler som t.ex. Sarbanes-Oxley Act, GAAP (Allmänt accepterade redovisningsprinciper), HIPAA (Sjukförsäkringsportabilitet och ansvarsskyldighet) och andra
• Ineffektivitet i dataåtkomst.  Även om ett av problemen som distribuerad IT försöker lösa är snabbhet till data, inkluderar oväntade konsekvenser dolda kostnader för icke-IT-arbetare inom t.ex. ekonomi, marknadsföring och HR, som ägnar sin tid åt att diskutera datas giltighet, för att stämma av mot deras grannes nummer och försöker hantera programvara vid byxans säte.
• Ineffektivitet i processen. När tekniken anammas av flera affärsenheter oberoende, så är processerna också relaterade till deras användning och implementering. Vissa kan vara effektiva. Andra inte så mycket.  
• Inkonsekvent affärslogik och definitioner. Det finns ingen gatekeeper för att etablera standarder, inkonsekvenser kommer sannolikt att utvecklas på grund av brist på testning och versionskontroll. Utan ett enhetligt förhållningssätt till data eller metadata har företaget inte längre en enda version av sanningen. Avdelningar kan enkelt fatta affärsbeslut baserat på felaktiga eller ofullständiga data.
• Brist på anpassning till företagets vision.  Shadow IT begränsar ofta realiseringen av ROI. De företagssystem som finns på plats för att förhandla om leverantörskontrakt och storskaliga affärer förbigås ibland. Detta kan potentiellt leda till överdriven licensiering och dubbletter av system. Vidare stör det strävan efter organisatoriska mål och IT:s strategiska planer.

Summan av kardemumman är att de goda avsikterna med att införa självbetjäningsrapportering ledde till oavsiktliga konsekvenser. Utmaningarna kan sammanfattas i tre kategorier: styrning, säkerhet och affärsmässig anpassning.

Gör inga misstag, företag behöver bemyndigade användare som utnyttjar realtidsdata med moderna verktyg. De behöver också disciplinen förändringshantering, releasehantering och versionskontroll. Så, är självbetjäningsrapportering/BI en bluff? Kan du hitta en balans mellan autonomi och styrning? Kan du styra det du inte kan se?

Lösningen

BI Self-Service Spectrum 

En skugga är inte längre en skugga om du lyser på den. På samma sätt är Shadow IT inte längre att frukta om det lyfts upp till ytan. Genom att exponera Shadow IT kan du dra nytta av fördelarna med självbetjäningsrapportering som affärsanvändare efterfrågar samtidigt som du minskar risken genom styrning. Governing Shadow IT låter som en oxymoron, men är i verkligheten ett balanserat tillvägagångssätt för att få tillsyn till självbetjäning.

Jag gillar detta författarens analogi (lånad från Kimball) av självbetjäning BI/rapportering liknas vid en restaurangbuffé. Buffén är självbetjäning i den meningen att du kan få vad du vill och ta tillbaka den till ditt bord. Därmed inte sagt att du ska gå in i köket och lägga din biff på grillen själv. Du behöver fortfarande den där kocken och hennes köksteam. Det är samma sak med självbetjäningsrapportering/BI, du kommer alltid att behöva IT-teamet för att förbereda databuffén genom utvinning, transformation, lagring, säkrande, modellering, sökning och styrning.  

En allt-du-kan-äta-buffé kan vara en för enkel analogi. Det vi har observerat är att det finns olika grader av deltagande av restaurangköksteamet. Hos några, som den traditionella buffén, lagar de maten på baksidan och lägger fram smörgåsbordet när det är klart att ätas. Allt du behöver göra är att ladda din tallrik och ta tillbaka den till ditt bord. Det här är Las Vegas MGM Grand Buffet eller affärsmodellen Golden Corral. I andra änden av spektrumet finns företag som Home Chef, Blue Apron och Hello Fresh, som levererar ett recept och ingredienserna till din dörr. En viss montering krävs. De handlar och planerar måltider. Du gör resten.

Någonstans däremellan finns kanske ställen som Mongolian Grill som har förberett ingredienserna men ställt fram dem så att du kan välja ut dem och sedan ge din tallrik med rått kött och grönsaker till kocken för att sätta den på elden. I det här fallet beror framgången för slutresultatet (åtminstone delvis) på att du väljer en blandning av ingredienser och såser som passar bra. Det beror också på förberedelserna och kvaliteten på maten du har att välja mellan, såväl som skickligheten hos kocken som ibland lägger till sina egna detaljer.

BI Self-Service Spectrum

Självbetjäningsanalys är ungefär detsamma. Organisationer med självbetjäningsanalys tenderar att hamna någonstans på spektrumet. I ena änden av spektrumet finns organisationer, som MGM Grand Buffet, där IT-teamet fortfarande förbereder all data och metadata, väljer det företagsomfattande analys- och rapporteringsverktyget och presenterar det för slutanvändaren. Allt som slutanvändaren behöver göra är att välja de dataelement han vill se och köra rapporten. Det enda självbetjänande med denna modell är att rapporten inte redan skapats av IT-teamet. Filosofin för organisationer som använder Cognos Analytics faller på denna ände av spektrumet.

Organisationer som mer liknar måltidspaketen som levereras till din dörr tenderar att ge sina slutanvändare ett "datakit" som innehåller den data de behöver och val av verktyg med vilka de kan komma åt det. Denna modell kräver att användaren bättre förstår både data och verktyg för att få de svar de behöver. Enligt vår erfarenhet tenderar företag som utnyttjar Qlik Sense och Tableau att hamna i denna kategori.

Företagsverktyg som Power BI är mer som Mongolian Grill – någonstans i mitten.  

Även om vi kan generalisera och placera organisationer som använder olika analysverktyg på olika punkter i vårt "BI Self-Service Spectrum", är verkligheten att positionen kan förändras på grund av flera faktorer: företaget kan ta till sig ny teknik, användarnas kompetens kan öka, ledningen kan diktera ett tillvägagångssätt, eller så kan företaget helt enkelt utvecklas till en mer öppen modell för självbetjäning med mer frihet för datakonsumenterna. Faktum är att positionen på spektrumet till och med kan variera mellan affärsenheter inom samma organisation.  

Utvecklingen av Analytics

Med skiftet mot självbetjäning och när organisationer flyttar till höger på BI Buffet Spectrum, har traditionella diktatoriska Centers of Excellence ersatts med samarbetsgemenskaper. IT kan delta i dessa matriserade team som hjälper till att socialisera bästa praxis mellan leveransteam. Detta gör att utvecklingsteamen på affärssidan kan bibehålla viss självständighet samtidigt som de arbetar inom företagets gränser för styrning och arkitektur.

IT måste vara vaksam. Användare som skapar sina egna rapporter – och i vissa fall modeller – kanske inte är medvetna om datasäkerhetsrisker. Det enda sättet att förhindra potentiella säkerhetsläckor är att proaktivt söka efter nytt innehåll och utvärdera dem med avseende på efterlevnad.

Framgången för styrd Shadow IT handlar också om de processer som finns på plats för att säkerställa att säkerhets- och integritetspolicyer efterlevs. 

Självbetjäningsparadoxer 

Styrd självbetjäningsanalys förenar de polära krafterna som ställer frihet mot kontroll. Denna dynamik utspelar sig inom många affärs- och teknikområden: hastighet kontra standarder; innovation kontra verksamhet; smidighet kontra arkitektur; och avdelningens behov kontra företagens intressen.

-Wayne Erickson

Verktyg för att hantera Shadow IT

Att balansera risker och fördelar är nyckeln till att utveckla en hållbar Shadow IT-policy. Att utnyttja Shadow IT för att upptäcka nya processer och verktyg som kan göra det möjligt för alla anställda att utmärka sig i sina roller är bara smart affärspraxis. Verktyg med förmågan att integrera med flera system erbjuder företag en lösning som kan blidka både IT och verksamheten.

De risker och utmaningar som Shadow IT ger upphov till kan minskas avsevärt genom att implementera styrningsprocesser för att säkerställa att kvalitetsdata är tillgänglig för alla som behöver den via självbetjäningsåtkomst.

Nyckelfrågor 

Nyckelfrågor IT-säkerhet bör kunna besvara relaterade till Shadow IT-synlighet och kontroll. Om du har system eller processer på plats för att svara på dessa frågor bör du klara Shadow IT-delen av en säkerhetsrevision:

1. Har du en policy som täcker Shadow IT?
2. Kan du enkelt lista alla applikationer som används inom din organisation? Bonuspoäng om du har information om version och fixnivå.
3. Vet du vem som modifierade de analytiska tillgångarna i produktionen?
4. Vet du vem som använder Shadow IT-applikationer?
5. Vet du när innehållet i produktionen senast ändrades?
6. Kan du enkelt återgå till en tidigare version om det finns defekter i produktionsversionen?
7. Kan du enkelt återställa enskilda filer i händelse av en katastrof?
8. Vilken process använder du för att avveckla artefakter?
9. Kan du visa att endast godkända användare fick åtkomst till systemet och marknadsförda filer?
10. Om du upptäcker ett fel i dina siffror, hur vet du när det introducerades (och av vem)?

Slutsats

Shadow IT i dess många former är här för att stanna. Vi måste belysa det och exponera det så att vi kan hantera riskerna samtidigt som vi drar fördel av dess fördelar. Det kan göra anställda mer produktiva och företag mer innovativa. Entusiasmen för fördelarna bör dock dämpas av säkerhet, efterlevnad och styrning.   

Referensprojekt

Hur man lyckas med självbetjäningsanalyser som balanserar empowerment och styrning

Definition av ideologi, Merriam-Webster

Definition av Shadow Economy, Market Business News

Shadow IT, Wikipedia 

Shadow IT: CIO:s perspektiv

Enskild version av sanningen, Wikipedia

Att lyckas med självbetjäningsanalys: Verifiera nya rapporter

IT-operativmodellens utveckling

Self-Service BI Hoax

Vad är Shadow IT?, McAfee

Vad du ska göra om Shadow IT