Тіньові IT: балансування ризиків і переваг, з якими стикається кожна організація
абстрактний
Звіти самообслуговування – це земля обітована дня. Незалежно від того, чи це Tableau, Cognos Analytics, Qlik Sense чи інший інструмент аналітики, усі постачальники, схоже, сприяють пошуку та аналізу даних самообслуговування. З самообслуговуванням приходить Shadow IT. Ми це стверджуємо всі організації в тій чи іншій мірі страждають від тіньових ІТ, які ховаються в тіні. Рішення полягає в тому, щоб пролити світло на це, керувати ризиками та максимізувати вигоди.
огляд
У цьому документі ми розглянемо еволюцію звітності та брудні таємниці, про які ніхто не говорить. Різні інструменти вимагають різних процесів. Іноді навіть ідеології. Ідеології — це «інтегровані твердження, теорії та цілі, які становлять соціополітичну програму». Ми не отримаємо соціально-політичний але я не можу придумати жодного слова, щоб передати програму бізнесу та ІТ. Я вважаю, що база даних Кімбола-Інмона розділяє ідеологічні дебати подібним чином. Іншими словами, ваш підхід або те, як ви думаєте, керує вашими діями.
фон
Коли ПК IBM 5100 було найсучаснішим, за 10,000 5 доларів ви отримаєте 16-дюймовий екран із вбудованою клавіатурою, XNUMX КБ оперативної пам’яті та стрижневий накопичувач 
вагою трохи більше 50 фунтів. Підходить для обліку, це було б підключено до окремо стоячого дискового масиву розміром з невелику картотеку. Будь-які серйозні обчислення все ще виконувались через термінали на тайм-шері мейнфрейма. (зображення)
"Оператори” керував комп’ютерами з ланцюжком і контролював доступ до зовнішнього світу. Команди операторів, або новітніх системних адміністраторів і devops, виросли, щоб підтримувати технологію, що постійно розвивається. Технологія була велика. Команди, які ними керували, були більшими.
Управління підприємством та звітність під керівництвом ІТ були нормою з початку комп’ютерної ери. Ця ідеологія була побудована на жорсткому консервативному підході, згідно з яким «Компанія» керує ресурсами і забезпечить вас тим, що вам потрібно. Якщо вам потрібен спеціальний звіт або звіт за період часу, який вийшов поза циклом, потрібно надіслати запит.
Процес був повільним. Інновацій не було. Agile не існувало. І, як стародавній канцелярський пул, ІТ-відділ вважався накладним.
Незважаючи на мінуси, це було зроблено неспроста. Зробити це таким чином було певною перевагою. Були процеси, за якими всі дотримувалися. Форми були заповнені в трьох примірниках і направлені через міжслужбову пошту. Запити на дані з усієї організації були відсортовані, перемішані, розставлені пріоритети та оброблені у передбачуваний спосіб.
Було єдине сховище даних і єдиний інструмент звітності для всього підприємства. Консервовані звіти, створені центральною командою, надано a єдина версія правди. Якщо числа були неправильними, всі працювали з однаковими неправильними числами. Є що сказати про внутрішню послідовність. 
Управління таким способом ведення бізнесу було передбачуваним. Це було бюджетно.
Тоді одного дня 15 чи 20 років тому все це вибухнуло. Була революція. Розширені обчислювальні потужності. закон Мура – «Потужність обчислювальної техніки комп’ютерів подвоюватиметься кожні два роки», – було дотримано. Комп’ютери були меншими і поширеними.
Більше компаній почали приймати рішення на основі даних, а не інстинктів, якими вони користувалися протягом багатьох років. Вони зрозуміли, що лідери своєї галузі приймають рішення на основі історичних даних. Незабаром дані стали близькими до реального часу. Згодом звіт став передбачуваним. Спочатку це було елементарно, але це було початком використання аналітики для прийняття бізнес-рішень.
Відбувся перехід до найму більшої кількості аналітиків та науковців із даних, щоб допомогти керівництву зрозуміти ринок і приймати кращі рішення. Але сталася смішна річ. Центральна IT-команда не дотримувалася тієї ж тенденції, що й скорочення персональних комп’ютерів. Він не відразу став ефективнішим і меншим.
Однак у відповідь на децентралізовану технологію IT-команда також почала ставати децентралізованою. Або, принаймні, ролі, які традиційно були частиною ІТ, тепер стали частиною бізнес-підрозділів. Аналітики, які розуміли дані та бізнес, були вбудовані в кожен відділ. Менеджери почали запитувати у своїх аналітиків додаткову інформацію. Аналітики, у свою чергу, сказали: «Мені потрібно буде заповнити запити на дані у трьох примірниках. Найраніше його буде затверджено на нараді щодо визначення пріоритетів даних у цьому місяці. Тоді ІТ може зайняти тиждень або два, щоб обробити наш запит на дані – залежно від їхнього навантаження. АЛЕ… якби я міг отримати доступ до сховища даних, я міг би зробити запит для вас сьогодні вдень». І так воно йде.
Почався перехід на самообслуговування. ІТ-відділ полегшив контроль над ключами до даних. Постачальники звітності та аналітики почали сприймати нову філософію. Це була нова парадигма. Користувачі знайшли нові інструменти для доступу до даних. Вони виявили, що можуть обійти бюрократію, якщо просто отримають доступ до даних. Тоді вони можуть виконати власний аналіз і скоротити час виконання, виконуючи власні запити.
Переваги звітності та аналітики самообслуговування
Забезпечення прямого доступу до даних масам і звітності самообслуговування вирішили ряд проблем, 
- Цілеспрямований. Спеціальні інструменти, які були легко доступні, замінили єдиний, застарілий, багатоцільовий застарілий інструмент звітності та аналітики, щоб підтримувати всіх користувачів і відповідати на всі запитання.
- спритний. Раніше бізнес-підрозділам заважала низька продуктивність. Доступ лише до даних минулого місяця призвів до неможливості працювати швидко. Відкриття сховища даних скоротило процес, дозволяючи тим, хто ближче до бізнесу, функціонувати швидше, виявляти важливі тенденції та швидше приймати рішення. Таким чином, збільшується швидкість і цінність даних.
- Уповноважений. Замість того, щоб користувачам доводилося покладатися на досвід та доступність інших, щоб приймати рішення за них, вони отримали ресурси, повноваження, можливості та мотивацію для виконання своєї роботи. Таким чином, користувачі отримали можливість використовувати інструмент самообслуговування, який міг звільнити їх від залежності від інших в організації як для доступу до даних, так і для створення самого аналізу.
Проблеми самообслуговування звітності та аналітики
Однак для кожної вирішеної проблеми звітності самообслуговування створювалося ще кілька. ІТ-команда більше не керувала інструментами звітності та аналітики централізовано. Отже, інші речі, які не були проблемами, коли звітування керувала одна команда, стали складнішими. Такі речі, як гарантія якості, контроль версій, документація та процеси, як-от керування випуском або розгортання, займалися самі собою, коли ними керувала невелика команда. Там, де існували корпоративні стандарти звітності та управління даними, їх уже не можна було застосовувати. Було мало розуміння чи видимості того, що відбувалося за межами ІТ. Управління змінами не існувало. 
Ці відомчі контрольовані інстанції функціонували як а тіньова економіка що відноситься до бізнесу, який відбувається «за радаром», це Shadow IT. Вікіпедія визначає Shadow IT як «інформаційна технологія (ІТ) системи, розгорнуті відділами, відмінними від центрального ІТ-відділу, для подолання недоліків центральних інформаційних систем». Деякі визначають Тінь ІТ більше бroadвключити будь-який проект, програми, процеси або системи, які знаходяться поза контролем ІТ або Infosec.
Вау! Уповільнити. Якщо Shadow IT — це будь-який проект, програма, процес або система, яку ІТ не контролює, то вона більш поширена, ніж ми думали. Це всюди. Сказати це більш прямо, кожен організація має Shadow IT, визнають вони це чи ні. Це зводиться лише до питання ступеня. Успіх організації в роботі з тіньовими ІТ значною мірою залежить від того, наскільки добре вони вирішують деякі ключові проблеми. 
- Безпека. У верхній частині списку проблем, створених Shadow IT, знаходиться ризики для безпеки. Подумайте про макроси. Подумайте про електронні таблиці з PMI та PHI, які надсилаються електронною поштою за межі організації.
- Вищий ризик втрати даних. Знову ж таки, через невідповідності в реалізації або процесах кожна окрема реалізація може відрізнятися. Це ускладнює докази дотримання усталеної ділової практики. Крім того, це ускладнює навіть виконання простих запитів на аудит використання та доступу.
- Проблеми відповідності. Що стосується питань аудиту, існує також підвищена ймовірність доступу до даних і потоків даних, що ускладнює дотримання таких правил, як Закон Сарбейнса-Окслі, GAAP (Загальноприйняті принципи бухгалтерського обліку), HIPAA (Закон про переносимість та відповідальність за охорону здоров'я) і інші
- Неефективність доступу до даних. Незважаючи на те, що одна з проблем, які розподілені ІТ намагаються вирішити, — це швидкість передачі даних, несподівані наслідки включають приховані витрати для працівників фінансів, маркетингу та HR, які не є ІТ-спеціалістами, наприклад, які витрачають свій час на обговорення достовірності даних, змиряючись із номери їхніх сусідів і намагаються керувати програмним забезпеченням за сидінням своїх штанів.
- Неефективність процесу. Коли технологія впроваджується кількома бізнес-підрозділами незалежно, так само й процеси, пов’язані з їх використанням та розгортанням. Деякі можуть бути ефективними. Інші не дуже.
- Непослідовна бізнес-логіка та визначення. Немає привратника, який би встановлював стандарти, імовірно, виникнуть невідповідності через відсутність тестування та контролю версій. Без єдиного підходу до даних або метаданих бізнес більше не має єдиної версії правди. Відділи можуть легко приймати бізнес-рішення на основі хибних або неповних даних.
- Відсутність узгодженості з корпоративним баченням. Тіньові ІТ часто обмежують реалізацію рентабельності інвестицій. Корпоративні системи для укладання контрактів з постачальниками та великомасштабних угод іноді обходять стороною. Це потенційно може призвести до надмірного ліцензування та дублювання систем. Крім того, це перешкоджає досягненню організаційних цілей і стратегічних планів ІТ.
Суть полягає в тому, що добрі наміри прийняття звітності самообслуговування призвели до непередбачених наслідків. Проблеми можна звести до трьох категорій: управління, безпека та бізнес-узгодження.
Не помиляйтеся, підприємствам потрібні уповноважені користувачі, які використовують дані в реальному часі за допомогою сучасних інструментів. Їм також потрібна дисципліна управління змінами, управління випусками та контроль версій. Отже, чи є звітність самообслуговування/BI обманом? Чи можете ви знайти баланс між автономією та управлінням? Чи можете ви керувати тим, чого не бачите?
Рішення
Спектр самообслуговування BI
Тінь більше не тінь, якщо ви просвітите на неї світло. Таким же чином, Shadow IT більше не варто боятися, якщо вона буде виведена на поверхню. Розкриваючи Shadow IT, ви можете скористатися перевагами звітності самообслуговування, яких вимагають бізнес-користувачі, і водночас знизити ризик за допомогою управління. Управління Shadow IT звучить як оксюморон, але насправді є збалансованим підходом для забезпечення контролю за самообслуговуванням. 
Мені подобається це авторська аналогія (запозичена з Кімбол) самообслуговування BI/звітності, що порівнюється зі шведським столом у ресторані. Шведський стіл в тому сенсі самообслуговування ти можеш отримати все, що хочеш і повернути його до свого столу. Це не означає, що ви збираєтеся піти на кухню і покласти свій стейк на мангал самостійно. Вам все ще потрібні той шеф-кухар та її кухонна команда. Те ж саме і зі звітами самообслуговування/BI: вам завжди знадобиться команда ІТ для підготовки пакету даних шляхом вилучення, перетворення, зберігання, захисту, моделювання, запитів та керування.
Шведський стіл, який можна їсти, може бути занадто простою аналогією. Ми помітили, що є різні ступені участі команди кухні ресторану. У деяких, як у традиційному шведському столі, вони готують їжу в задній частині і викладають шведський стіл, коли він готовий до вживання. Все, що вам потрібно зробити, це завантажити тарілку і віднести її назад до столу. Це Las Vegas MGM Grand Buffet або бізнес-модель Golden Corral. На іншому кінці спектру знаходяться такі компанії, як Home Chef, Blue Apron і Hello Fresh, які доставляють рецепт та інгредієнти до ваших дверей. Потрібна деяка збірка. Вони роблять покупки та планують харчування. Решту роби ти.
Десь посередині, можливо, є такі заклади, як Mongolian Grill, які підготували інгредієнти, але виклали їх, щоб ви могли вибрати, а потім віддайте свою тарілку сирого м’яса та овочів кухарю, щоб той поставив її на вогонь. У цьому випадку успіх кінцевого результату залежить (принаймні частково) від того, чи ви виберете поєднання інгредієнтів і соусів, які добре поєднуються. Це також залежить від приготування та якості страв, з яких ви маєте вибрати, а також від майстерності кухаря, який іноді додає свої власні штрихи. 
Спектр самообслуговування BI
Аналітика самообслуговування майже така сама. Організації з аналітикою самообслуговування, як правило, потрапляють десь у спектр. На одному кінці спектру знаходяться організації, як-от MGM Grand Buffet, де IT-команда все ще займається підготовкою всіх даних і метаданих, вибирає інструмент аналітики та звітності для всього підприємства та представляє його кінцевому користувачеві. Все, що потрібно зробити кінцевому користувачеві, це вибрати елементи даних, які він хоче побачити, і запустити звіт. Єдине, що самообслуговування цієї моделі полягає в тому, що звіт ще не створений ІТ-командою. Філософія організацій, які використовують Cognos Analytics, припадає на цей кінець спектра.
Організації, які більше нагадують набори їжі, які доставляють вам до дверей, як правило, надають своїм кінцевим користувачам «набір даних», який включає в себе необхідні дані та вибір інструментів, за допомогою яких вони можуть отримати до них доступ. Ця модель вимагає, щоб користувач краще розумів як дані, так і інструмент, щоб отримати відповіді, які йому потрібні. З нашого досвіду, компанії, які використовують Qlik Sense та Tableau, як правило, потрапляють до цієї категорії.
Корпоративні інструменти, такі як Power BI, більше схожі на Mongolian Grill – десь посередині.
Хоча ми можемо узагальнити та розмістити організації, які використовують різні інструменти аналітики, у різні точки нашого «Спектру самообслуговування BI», реальність така, що позиція може змінитися через декілька факторів: компанія може прийняти нові технології, компетенція користувачів може зрости, керівництво може диктувати свій підхід, або підприємство може просто еволюціонувати до більш відкритої моделі самообслуговування з більшою свободою для споживачів даних. Насправді позиція в спектрі може навіть відрізнятися в різних підрозділах однієї організації.
Еволюція аналітики
Зі переходом у бік самообслуговування та в міру того, як організації рухаються вправо на спектрі BI Buffet Spectrum, традиційні диктаторські центри передового досвіду були замінені спільними спільнотами практики. ІТ можуть брати участь у цих матричних командах, які допомагають соціалізувати найкращі практики між командами доставки. Це дозволяє командам розробників з боку бізнесу зберігати певну автономію, працюючи в межах корпоративного управління та архітектури. 
ІТ має бути пильним. Користувачі, які створюють власні звіти, а в деяких випадках і моделі, можуть не знати про ризики безпеки даних. Єдиний спосіб запобігти потенційним витокам безпеки – активний пошук нового вмісту та оцінка його на відповідність.
Успіх керованих Тіньових ІТ також залежить від процесів, які забезпечують дотримання політики безпеки та конфіденційності.
Парадокси самообслуговування
Керована аналітика самообслуговування примирює полярні сили, які протиставляють свободу контролю. Ця динаміка проявляється в багатьох сферах бізнесу та технологій: швидкість проти стандартів; інновації проти операцій; спритність проти архітектури; і відомчі потреби проти корпоративних інтересів.
Інструменти для управління Shadow IT
Баланс між ризиками та вигодами є ключем до розробки стійкої політики тіньових ІТ. Використання Shadow IT для виявлення нових процесів та інструментів, які можуть дозволити всім співробітникам досягти успіху у своїх ролях, — це просто розумна бізнес-практика. Інструменти з можливістю інтеграції з кількома системами пропонують компаніям рішення, яке може заспокоїти як ІТ, так і бізнес.
Ризики та проблеми, пов’язані з тіньовими ІТ, можна значно пом’якшити шляхом впровадження процесів управління, щоб забезпечити доступність якісних даних для всіх, хто їх потребує, через доступ до самообслуговування.
Ключові питання
Ключові запитання, на які має бути в змозі відповісти ІТ-безпека, пов’язані з видимістю й контролем у тіньовому ІТ. Якщо у вас є системи або процеси, щоб відповісти на ці запитання, ви повинні мати можливість пройти аудиту безпеки в розділі Shadow IT:
- Чи є у вас політика щодо Shadow IT?
- Чи можете ви легко перерахувати всі програми, які використовуються у вашій організації? Бонусні бали, якщо у вас є інформація про версію та рівень виправлення.
- Ви знаєте, хто змінив аналітичні активи у виробництві?
- Чи знаєте ви, хто використовує програми Shadow IT?
- Чи знаєте ви, коли востаннє змінено вміст у виробництві?
- Чи можете ви легко повернутися до попередньої версії, якщо у виробничій версії є дефекти?
- Чи можете ви легко відновити окремі файли в разі катастрофи?
- Який процес ви використовуєте для виведення артефактів з експлуатації?
- Чи можете ви показати, що лише схвалені користувачі отримували доступ до системи та рекламували файли?
- Якщо ви виявите недолік у своїх цифрах, як ви дізнаєтесь, коли він був введений (і ким)?
Висновок
Shadow IT у багатьох його формах залишиться. Нам потрібно пролити світло на це та викрити, щоб ми могли керувати ризиками, користуючись його перевагами. Це може зробити співробітників більш продуктивними, а бізнес більш інноваційним. Однак ентузіазм щодо вигод має бути придушений безпекою, дотриманням вимог і управлінням.
посилання
Визначення ідеології, Мерріам-Вебстер
Визначення тіньової економіки, ринкові бізнес-новини
Єдина версія правди, Вікіпедія
Успіх за допомогою аналітики самообслуговування: перевірка нових звітів
Еволюція операційної моделі ІТ
