Shadow IT: Her Kuruluşun Karşılaştığı Riskleri ve Faydaları Dengelemek

Özet

Self servis raporlama, günün vaat edilen ülkesidir. Tableau, Cognos Analytics, Qlik Sense veya başka bir analiz aracı olsun, tüm satıcılar self servis veri keşfi ve analizini teşvik ediyor gibi görünüyor. Self servis ile Shadow IT gelir. biz bunu varsayıyoruz herşey kuruluşlar, bir dereceye kadar gölgelerde gizlenen Gölge BT'den muzdariptir. Çözüm, ona ışık tutmak, riskleri yönetmek ve faydaları maksimize etmektir. 

Genel Bakış

Bu teknik incelemede, haberciliğin evrimini ve kimsenin bahsetmediği kirli sırları ele alacağız. Farklı araçlar farklı süreçler gerektirir. Bazen ideolojiler bile.  ideolojiler sosyopolitik bir program oluşturan bütünleşik iddialar, teoriler ve amaçlardır. almayacağız sosyopolitik ama aklıma bir iş ve bilişim programını anlatacak tek kelime gelmiyor. Kimball-Inmon veritabanının ideolojik bir tartışmayı benzer şekilde böldüğünü düşünürdüm. Başka bir deyişle, yaklaşımınız veya düşünme şekliniz eylemlerinizi yönlendirir.  

Olayın Arka Planı

Zaman IBM 5100 bilgisayar son teknolojiydi, 10,000 dolar size yerleşik klavye, 5K RAM ve teyp sürücüsü olan 16 inçlik bir ekran getirirdi ağırlığı 50 poundun biraz üzerinde. Hesaplama için uygun olan bu, küçük bir dosya dolabı boyutunda bağımsız bir disk dizisine bağlanacaktır. Herhangi bir ciddi bilgi işlem hala bir ana bilgisayar devre mülkündeki terminaller aracılığıyla yapılıyordu. (görüntü)

"Operatörler”, zincirleme PC'leri yönetti ve dış dünyaya erişimi kontrol etti. Operatör ekipleri veya daha sonraki sistem yöneticileri ve geliştiriciler, sürekli büyüyen teknolojiyi desteklemek için büyüdü. Teknoloji büyüktü. Onları yöneten takımlar daha büyüktü.

Kurumsal yönetim ve BT liderliğindeki raporlama, bilgisayar çağının başlangıcından beri norm olmuştur. Bu ideoloji, “Şirket”in kaynakları yönettiği ve size ihtiyacınız olanı sağlayacağı şeklindeki hantal, muhafazakar yaklaşım üzerine inşa edilmiştir. Özel bir rapora veya çevrim dışı bir zaman diliminde bir rapora ihtiyacınız varsa, bir istek göndermeniz gerekir.  

Süreç yavaştı. Yenilik yoktu. Çevik yoktu. Ve eski rahip havuzu gibi, BT departmanı da genel gider olarak kabul edildi.

Olumsuzluklara rağmen, bir sebepten dolayı yapıldı. Bu şekilde yapmanın bazı faydaları vardı. Herkesin takip ettiği süreçler vardı. Formlar üç kopya halinde dolduruldu ve ofisler arası posta yoluyla yönlendirildi. Kuruluş genelinden gelen veri talepleri sıralandı, karıştırıldı, önceliklendirildi ve öngörülebilir bir şekilde harekete geçildi.  

Tek bir veri ambarı ve kurum çapında tek bir raporlama aracı vardı. Merkezi bir ekip tarafından oluşturulan hazır raporlar, gerçeğin tek versiyonu. Rakamlar yanlışsa, herkes aynı yanlış numaralardan çalıştı. İç tutarlılık için söylenecek bir şey var.

Bu şekilde iş yapmanın yönetimi tahmin edilebilirdi. Bütçeye uygundu.  

Sonra 15 ya da 20 yıl önce bir gün, bunların hepsi patladı. Bir devrim oldu. Bilgi işlem gücü genişletildi.  Moore Yasası – “Bilgisayarların işlem gücü iki yılda bir ikiye katlanacak” – uyuldu. Bilgisayarlar daha küçüktü ve her yerdeydi.   

Daha fazla şirket, uzun yıllardır kullandıkları içgüdüsel içgüdüler yerine verilere dayalı kararlar vermeye başladı. Sektörlerindeki liderlerin geçmiş verilere dayalı kararlar aldıklarını fark ettiler. Yakında veriler gerçek zamana yakın hale geldi. Sonunda, raporlama öngörücü hale geldi. İlk başta ilkeldi, ancak iş kararlarını yönlendirmek için analitiği kullanmanın başlangıcıydı.

Yönetimin pazarı anlamasına ve daha iyi kararlar almasına yardımcı olmak için daha fazla veri analisti ve veri bilimcisi işe alma yönünde bir değişiklik oldu. Ama komik bir şey oldu. Merkezi BT ekibi, küçülen kişisel bilgisayarlar ile aynı trendi takip etmedi. Hemen daha verimli ve daha küçük hale gelmedi.

Ancak, merkezi olmayan teknolojiye yanıt olarak, BT ekibi de daha merkezi olmayan hale gelmeye başladı. Ya da en azından geleneksel olarak BT'nin bir parçası olan roller artık iş birimlerinin bir parçasıydı. Verileri ve işi anlayan analistler her departmana yerleştirildi. Yöneticiler analistlerinden daha fazla bilgi istemeye başladılar. Analistler, sırayla, “Veri isteklerini üç kopya halinde doldurmam gerekecek. En erken bu ayki veri önceliklendirme toplantısında onaylanacak. Ardından, iş yüklerine bağlı olarak, BT'nin veri talebimizi işleme koyması bir veya iki hafta sürebilir. AMA,… veri ambarına erişebilseydim, bu öğleden sonra sizin için bir sorgu çalıştırabilirim.” Ve öyle gidiyor.

Self servise geçiş başladı. BT departmanı, verilerin anahtarlarını kavramasını kolaylaştırdı. Raporlama ve analitik tedarikçileri yeni felsefeyi benimsemeye başladı. Yeni bir paradigmaydı. Kullanıcılar verilere erişmek için yeni araçlar buldu. Verilere yeni erişirlerse bürokrasiyi atlayabileceklerini keşfettiler. Ardından kendi analizlerini gerçekleştirebilir ve kendi sorgularını çalıştırarak geri dönüş süresini azaltabilirler.

Self servis raporlama ve analizin faydaları

Kitlelere doğrudan veri erişiminin sağlanması ve self servis raporlamanın bir takım sorunları çözmesi,

1. Odaklanmış.  Kolayca erişilebilen amaca yönelik araçlar, tüm kullanıcıları desteklemek ve tüm soruları yanıtlamak için tek, tarihli, çok amaçlı eski bir raporlama ve analitik aracının yerini aldı. 
2. Çevik.  Daha önce, iş birimleri düşük üretkenlik nedeniyle engelleniyordu. Sadece geçen aya ait verilere erişim, çevik çalışamamaya neden oldu. Veri ambarının açılması süreci kısalttı ve işletmeye daha yakın olanların daha hızlı çalışmasına, önemli trendleri keşfetmesine ve daha hızlı kararlar almasına olanak sağladı. Böylece verinin hızı ve değeri arttı.
3. Güçlendirilmiş. Kullanıcılara, kendileri için karar vermek için başkalarının uzmanlığına ve erişilebilirliğine güvenmek yerine, işlerini yapmaları için kaynaklar, yetki, fırsat ve motivasyon verildi. Böylece kullanıcılar, hem verilere erişim hem de analizin kendisinin oluşturulması için onları kuruluştaki diğer kişilere güvenmekten kurtarabilecek bir self servis aracı kullanarak yetkilendirildi.

Self servis raporlama ve analizin zorlukları

Ancak, self servis raporlamanın çözdüğü her sorun için birkaç tane daha yarattı. Raporlama ve analiz araçları artık BT ekibi tarafından merkezi olarak yönetilmiyordu. Dolayısıyla, raporlamayı tek bir ekip yönettiğinde sorun olmayan diğer şeyler daha zor hale geldi. Kalite güvencesi, sürüm kontrolü, belgeleme ve sürüm yönetimi veya dağıtım gibi süreçler, küçük bir ekip tarafından yönetildiklerinde kendi kendilerine halledilirdi. Raporlama ve veri yönetimine ilişkin kurumsal standartların olduğu yerde, bunlar artık uygulanamazdı. BT dışında neler olduğuna dair çok az içgörü veya görünürlük yoktu. Değişiklik yönetimi mevcut değildi. 

Departman tarafından kontrol edilen bu örnekler, bir gölge ekonomisi 'radar altında' gerçekleşen işlere atıfta bulunan bu, Gölge BT'dir. Wikipedia, Shadow IT'yi “bilgi teknolojisi (BT) sistemleri, merkezi bilgi sistemlerinin eksikliklerini gidermek için merkezi BT departmanı dışındaki departmanlar tarafından dağıtılır.” Bazıları tanımlar Gölge BT daha fazla broadIT veya infosec'in kontrolü dışında olan herhangi bir proje, program, süreç veya sistemi içerecek şekilde.

Vay! Yavaşlatmak. Gölge BT, BT'nin kontrol etmediği herhangi bir proje, program, süreç veya sistemse, düşündüğümüzden daha yaygındır. O heryerde. Daha açık söylemek gerekirse, her Kuruluş, kabul etseler de etmeseler de Gölge BT'ye sahiptir.  Sadece bir dereceye kadar geliyor. Bir organizasyonun Gölge BT ile başa çıkmadaki başarısı, büyük ölçüde bazı temel zorlukları ne kadar iyi ele aldıklarına bağlıdır.

• Güvenlik. Shadow IT tarafından oluşturulan sorunlar listesinin başında güvenlik riskleri. Makroları düşünün. Kuruluş dışına e-postayla gönderilen PMI ve PHI içeren elektronik tabloları düşünün.
• Daha yüksek veri kaybı riski.  Yine, uygulamadaki veya süreçlerdeki tutarsızlıklar nedeniyle, her bir uygulama farklı olabilir. Bu, yerleşik iş uygulamalarının takip edildiğini kanıtlamayı zorlaştırır. Ayrıca, basit denetim kullanım ve erişim taleplerine bile uymayı zorlaştırır.
• Uyum sorunları.  Denetim sorunlarıyla ilgili olarak, veri erişimi ve veri akışı olasılığı da artar ve bu da aşağıdaki gibi düzenlemelere uymayı zorlaştırır: Sarbanes-Oxley Kanunu, GAAP (Genel kabul görmüş muhasebe ilkeleri), HIPAA (Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası) ve diğerleri
• Veri erişimindeki verimsizlikler.  Dağıtılmış BT'nin çözmeye çalıştığı sorunlardan biri veri hızı olsa da, beklenmeyen sonuçlar arasında finans, pazarlama ve İK'daki BT dışı çalışanlara, örneğin zamanlarını verilerin geçerliliğini tartışarak, verilerle uzlaşarak harcayan gizli maliyetler sayılabilir. komşularının numaraları ve pantolonunun koltuğundan yazılımı yönetmeye çalışıyorlar.
• Süreçteki verimsizlikler. Teknoloji birden fazla iş birimi tarafından bağımsız olarak benimsendiğinde, bunların kullanımı ve dağıtımıyla ilgili süreçler de öyle olur. Bazıları verimli olabilir. Diğerleri pek değil.  
• Tutarsız iş mantığı ve tanımlar. Standartları oluşturacak bir ağ geçidi bekçisi yoktur, test ve sürüm kontrolü eksikliği nedeniyle tutarsızlıkların gelişmesi muhtemeldir. Verilere veya meta verilere birleşik bir yaklaşım olmadan, işletme artık gerçeğin tek bir versiyonuna sahip değildir. Departmanlar, kusurlu veya eksik verilere dayanarak iş kararlarını kolayca verebilir.
• Kurumsal vizyon ile uyum eksikliği.  Gölge BT, genellikle yatırım getirisinin gerçekleştirilmesini sınırlar. Satıcı sözleşmelerini ve büyük ölçekli anlaşmaları müzakere etmek için yürürlükte olan kurumsal sistemler bazen atlanır. Bu, potansiyel olarak aşırı lisanslamaya ve sistemlerin kopyalanmasına neden olabilir. Ayrıca, kurumsal hedeflerin ve BT'nin stratejik planlarının takibini bozar.

Sonuç olarak, self servis raporlamayı benimsemenin iyi niyeti, istenmeyen sonuçlara yol açtı. Zorluklar üç kategoride özetlenebilir: yönetişim, güvenlik ve iş uyumu.

Hiç şüpheniz olmasın, işletmelerin modern araçlarla gerçek zamanlı verilerden yararlanan yetkili kullanıcılara ihtiyacı var. Ayrıca değişiklik yönetimi, sürüm yönetimi ve sürüm kontrolü disiplinine de ihtiyaçları var. Peki, self servis raporlama/BI bir aldatmaca mı? Özerklik ve yönetişim arasında bir denge bulabilir misiniz? Göremediğiniz şeyi yönetebilir misiniz?

Çözüm

BI Self Servis Spektrumu 

Üzerine ışık tutarsanız, gölge artık gölge değildir. Aynı şekilde, Shadow IT yüzeye çıkarsa artık korkulacak bir şey değil. Gölge BT'yi açığa çıkarırken, iş kullanıcılarının talep ettiği self servis raporlamanın avantajlarından yararlanırken aynı zamanda yönetişim yoluyla riski azaltabilirsiniz. Governing Shadow IT, kulağa bir tezat gibi gelse de, gerçekte, self servise gözetim getirmek için dengeli bir yaklaşımdır.

Sevdiğim Re-Tweet yazarın benzetmesi (alındı Kimball) bir restoran büfesine benzetilen self servis BI/raporlama. Büfe, şu anlamda self-servis istediğin her şeyi alabilirsin ve masanıza geri getirin. Bu, mutfağa gidip bifteğinizi ızgaraya kendiniz koyacağınız anlamına gelmez. Hala o şefe ve mutfak ekibine ihtiyacın var. Self servis raporlama/BI ile aynıdır, çıkarma, dönüştürme, depolama, güvenlik altına alma, modelleme, sorgulama ve yönetme yoluyla veri büfesini hazırlamak için her zaman BT ekibine ihtiyacınız olacaktır.  

Yiyebileceğiniz kadar açık büfe bir benzetme için fazla basit olabilir. Gözlemlediğimiz şey, restoran mutfak ekibinin farklı derecelerde katılımları olduğu. Bazıları, geleneksel büfe gibi, yiyecekleri arkada hazırlarlar ve yemeye hazır olduğunda smorgasbord'u bırakırlar. Tek yapmanız gereken tabağınızı doldurmak ve masanıza geri götürmek. Bu, Las Vegas MGM Grand Buffet veya Golden Corral iş modelidir. Yelpazenin diğer ucunda, bir tarifi ve malzemeleri kapınıza getiren Home Chef, Blue Apron ve Hello Fresh gibi işletmeler var. Bazı montaj gerekli. Alışverişi ve yemek planlamasını onlar yapıyor. Gerisini sen yap.

Arada bir yerde, belki de Mongolian Grill gibi malzemeleri hazırlayan, ancak onları seçmeniz için ayarlayan ve ardından tabağınızı ateşe vermesi için şefe çiğ et ve sebze veren yerler vardır. Bu durumda, nihai sonucun başarısı (en azından kısmen) birlikte iyi giden bir malzeme ve sos karışımı seçmenize bağlıdır. Ayrıca, seçim yapmanız gereken yemeğin hazırlanmasına ve kalitesine ve bazen kendi dokunuşlarını ekleyen şefin becerisine de bağlıdır.

BI Self Servis Spektrumu

Self servis analitik hemen hemen aynıdır. Self servis analitiği olan kuruluşlar, yelpazede bir yere düşme eğilimindedir. Yelpazenin bir ucunda, MGM Grand Buffet gibi, BT ekibinin tüm veri ve meta veri hazırlığını yaptığı, kurum çapında analitik ve raporlama aracını seçtiği ve son kullanıcıya sunduğu kuruluşlar var. Son kullanıcının yapması gereken tek şey görmek istediği veri öğelerini seçip raporu çalıştırmaktır. Bu modelle ilgili self servis olan tek şey, raporun zaten BT ekibi tarafından oluşturulmamış olmasıdır. Cognos Analytics'i kullanan kuruluşların felsefesi, yelpazenin bu ucunda yer alır.

Kapınıza teslim edilen yemek takımlarına daha çok benzeyen kuruluşlar, son kullanıcılarına, ihtiyaç duydukları verileri ve bunlara erişebilecekleri araç seçeneklerini içeren bir "veri kiti" verme eğilimindedir. Bu model, kullanıcının ihtiyaç duyduğu yanıtları almak için hem verileri hem de aracı daha iyi anlamasını gerektirir. Deneyimlerimize göre, Qlik Sense ve Tableau'dan yararlanan şirketler bu kategoriye girme eğilimindedir.

Power BI gibi kurumsal araçlar daha çok Mongolian Grill'e benziyor - ortada bir yerde.  

Çeşitli analitik araçlarını kullanan kuruluşları “BI Self Servis Spektrumu”muzun farklı noktalarına genelleştirip yerleştirebilsek de, gerçek şu ki pozisyon birkaç faktöre bağlı olarak değişebilir: şirket yeni teknolojileri benimseyebilir, kullanıcı yetkinliği artabilir, yönetim bir yaklaşımı zorunlu kılabilir veya kuruluş, veri tüketicileri için daha fazla özgürlüğe sahip daha açık bir self-servis modeline dönüşebilir. Aslında, spektrumdaki konum, aynı organizasyon içindeki iş birimleri arasında bile değişebilir.  

Analitiğin Evrimi

Self servise geçişle ve kuruluşlar BI Buffet Spectrum'da sağa doğru hareket ettikçe, geleneksel diktatörlük Mükemmeliyet Merkezleri, işbirlikçi uygulama topluluklarıyla değiştirildi. BT, dağıtım ekipleri arasında en iyi uygulamaları sosyalleştirmeye yardımcı olan bu matrisli ekiplere katılabilir. Bu, iş tarafındaki geliştirme ekiplerinin yönetişim ve mimarinin kurumsal sınırları içinde çalışırken bir miktar özerkliği korumalarına olanak tanır.

BT uyanık kalmalıdır. Kendi raporlarını ve bazı durumlarda modelleri oluşturan kullanıcılar, veri güvenliği risklerinin farkında olmayabilir. Potansiyel güvenlik sızıntılarını önlemenin tek yolu, proaktif olarak yeni içerik aramak ve bunları uygunluk açısından değerlendirmektir.

Yönetilen Shadow IT'nin başarısı, güvenlik ve gizlilik politikalarına uyulmasını sağlamak için yürürlükte olan süreçlerle de ilgilidir. 

Self Servis Paradoksları 

Yönetilen self servis analitik, özgürlüğü kontrole karşı koyan kutupsal güçleri uzlaştırır. Bu dinamik, iş ve teknolojinin birçok alanında kendini gösterir: hıza karşı standartlar; inovasyona karşı operasyonlar; çevikliğe karşı mimari; ve departman ihtiyaçları ile kurumsal çıkarlar.

-Wayne Erickson

Gölge BT'yi yönetmek için araçlar

Riskleri ve faydaları dengelemek, sürdürülebilir bir Gölge BT politikası geliştirmenin anahtarıdır. Tüm çalışanların rollerinde başarılı olmalarını sağlayacak yeni süreçleri ve araçları ortaya çıkarmak için Gölge BT'den yararlanmak, yalnızca akıllı bir iş uygulamasıdır. Birden fazla sistemle entegre olma yeteneğine sahip araçlar, şirketlere hem BT'yi hem de işi tatmin edebilecek bir çözüm sunar.

Gölge BT'nin ortaya çıkardığı riskler ve zorluklar, kaliteli verilerin self servis erişim yoluyla ihtiyacı olan herkes tarafından erişilebilir olmasını sağlamak için yönetişim süreçleri uygulanarak büyük ölçüde azaltılabilir.

Anahtar sorular 

Gölge BT Görünürlüğü ve Kontrolüyle İlgili BT Güvenliğinin Yanıtlayabilmesi Gereken Temel Sorular. Bu soruları yanıtlayacak sistemleriniz veya işlemleriniz varsa, bir güvenlik denetiminin Gölge BT bölümünü geçebilmelisiniz:

1. Shadow IT'yi kapsayan bir poliçeniz var mı?
2. Kuruluşunuzda kullanılan tüm uygulamaları kolayca listeleyebilir misiniz? Sürüm ve düzeltme seviyesi hakkında bilginiz varsa bonus puanlar.
3. Üretimde analitik varlıkları kimin değiştirdiğini biliyor musunuz?
4. Shadow IT uygulamalarını kimlerin kullandığını biliyor musunuz?
5. Üretimdeki içeriğin en son ne zaman değiştirildiğini biliyor musunuz?
6. Üretim sürümünde kusurlar varsa kolayca önceki sürüme dönebilir misiniz?
7. Felaket durumunda tek tek dosyaları kolayca kurtarabiliyor musunuz?
8. Yapıların hizmet dışı bırakılması için hangi süreci kullanıyorsunuz?
9. Sisteme ve tanıtılan dosyalara yalnızca onaylı kullanıcıların eriştiğini gösterebilir misiniz?
10. Sayılarınızda bir kusur keşfederseniz, bunun ne zaman (ve kim tarafından) sunulduğunu nasıl anlarsınız?

Sonuç

Shadow IT, birçok formda kalmak için burada. Avantajlarından yararlanırken riskleri yönetebilmemiz için ona ışık tutmalı ve açığa çıkarmalıyız. Çalışanları daha üretken ve işletmeleri daha yenilikçi hale getirebilir. Bununla birlikte, avantajlara yönelik coşku güvenlik, uyumluluk ve yönetişim ile yumuşatılmalıdır.   

Referanslar

Self Servis Analitik Güçlendirme ve Yönetişim Dengeleme ile Nasıl Başarılı Olunur?

İdeolojinin Tanımı, Merriam-Webster

Gölge Ekonominin Tanımı, Piyasa İş Haberleri

Gölge BT, Vikipedi 

Shadow IT: CIO'nun bakış açısı

Gerçeğin tek versiyonu, Wikipedia

Self Servis Analizlerle Başarıya Ulaşmak: Yeni Raporları Doğrulayın

BT İşletim Modeli Evrimi

Self Servis BI Aldatmacası

Gölge BT nedir?, McAfee

Gölge BT Hakkında Yapılması Gerekenler