影子 IT:平衡每个组织面临的风险和收益
抽象
自助报告是当今的乐土。 无论是 Tableau、Cognos Analytics、Qlik Sense 还是其他分析工具,所有供应商似乎都在推广自助式数据发现和分析。 伴随着自助服务而来的是影子 IT。 我们认为 所有 组织在一定程度上受到潜伏在阴影中的影子 IT 的影响。 解决方案是照亮它,管理风险并最大化收益。
概述
在本白皮书中,我们将介绍报道的演变以及没人谈论的肮脏秘密。 不同的工具需要不同的过程。 有时甚至是意识形态。 意识形态 是“构成社会政治纲领的综合主张、理论和目标”。 我们不会得到 社会政治的 但我想不出一个词来传达业务和 IT 程序。 我认为 Kimball-Inmon 数据库以类似的方式划分意识形态辩论。 换句话说,您的方法或您的思维方式会驱动您的行动。
背景
当。。。的时候 IBM 5100 电脑 是最先进的,10,000 美元可以让你得到一个 5 英寸的屏幕,带有内置键盘、16K RAM 和磁带驱动器 
体重刚刚超过 50 磅。 适用于会计,这将连接到一个小型文件柜大小的独立磁盘阵列。 任何严肃的计算仍然是通过大型机分时的终端完成的。 (图片)
“运营商” 管理菊花链式 PC 并控制对外部世界的访问。 操作员团队,或后来的系统管理员和 devops,成长为支持不断发展的技术。 这项技术很大。 管理他们的团队更大。
自计算机时代开始以来,企业管理和 IT 主导的报告一直是常态。 这种意识形态建立在“公司”管理资源并将为您提供所需的东西的平庸、保守的方法之上。 如果您需要自定义报告或超出周期的时间范围内的报告,您需要提交请求。
这个过程很缓慢。 没有创新。 敏捷并不存在。 而且,就像古代的文职人员池一样,IT 部门被认为是开销。
尽管有缺点,但这样做是有原因的。 这样做有一些好处。 有每个人都遵循的流程。 表格一式三份完成,并通过办公室间邮件发送。 来自整个组织的数据请求以可预测的方式进行排序、打乱、确定优先级并采取行动。
有一个数据仓库和一个企业范围的报告工具。 由中央团队创建的罐头报告提供了 真理的单一版本. 如果数字是错误的,那么每个人都从相同的错误数字开始工作。 对于内部一致性,有话要说。 
这种经营方式的管理是可以预见的。 这是可预算的。
然后在 15 或 20 年前的某一天,一切都爆发了。 发生了一场革命。 计算能力扩大。 摩尔定律 ——“计算机的处理能力每两年翻一番”——被服从了。 个人电脑更小且无处不在。
越来越多的公司开始根据数据而不是他们多年来使用的直觉做出决策。 他们意识到,他们所在行业的领导者正在根据历史数据做出决策。 很快,数据变得接近实时。 最终,报告变得具有预测性。 起初它是初级的,但它是使用分析来推动业务决策的开始。
雇佣更多的数据分析师和数据科学家来帮助管理层了解市场并做出更好的决策已经发生了转变。 但是发生了一件有趣的事情。 中央 IT 团队没有跟随个人电脑缩小的趋势。 它并没有立即变得更高效和更小。
然而,为了应对去中心化的技术,IT团队也开始变得更加去中心化。 或者,至少传统上属于 IT 的角色现在是业务部门的一部分。 每个部门都嵌入了了解数据和业务的分析师。 经理们开始向他们的分析师询问更多信息。 分析师反过来说:“我需要一式三份填写数据请求。 最早将在本月的数据优先级会议上获得批准。 然后,IT 可能需要一到两周的时间来处理我们对数据的请求——这取决于他们的工作量。 但是,……如果我可以访问数据仓库,我可以在今天下午为您运行查询。” 就这样。
向自助服务的转变已经开始。 IT 部门放松了对数据密钥的控制。 报告和分析供应商开始接受新理念。 这是一个新的范式。 用户找到了访问数据的新工具。 他们发现,只要他们能够访问数据,就可以绕过官僚机构。 然后他们可以执行自己的分析并通过运行自己的查询来缩短周转时间。
自助报告和分析的好处
向大众提供数据的直接访问和自助报告解决了许多问题, 
- 专注。 易于访问的专用工具取代了单一的、过时的、多用途的遗留报告和分析工具,以支持所有用户并回答所有问题。
- 敏捷。 以前,业务部门受到生产力低下的阻碍。 仅访问上个月的数据导致无法敏捷地工作。 开放数据仓库缩短了流程,使那些与业务更接近的人能够更快地发挥作用,发现重要趋势并更快地做出决策。 因此,提高了数据的速度和价值。
- 增效. 用户不必依赖其他人的专业知识和可用性来为他们做出决定,而是为他们提供了资源、权力、机会和动力来完成他们的工作。 因此,用户可以使用自助服务工具获得授权,该工具可以让他们摆脱对组织中其他人访问数据和创建分析本身的依赖。
自助服务报告和分析的挑战
然而,对于自助报告解决的每个问题,它都会产生更多问题。 报告和分析工具不再由 IT 团队集中管理。 因此,当单个团队管理报告时,其他不成问题的事情变得更具挑战性。 质量保证、版本控制、文档和发布管理或部署等流程在由一个小团队管理时会自行解决。 如果有报告和数据管理的公司标准,就无法再执行。 对于 IT 之外发生的事情几乎没有洞察力或可见性。 不存在变更管理。 
这些部门控制的实例的功能就像一个 影子经济 指的是“在雷达下”发生的业务,这就是影子 IT。 维基百科将影子 IT 定义为“信息技术 (IT) 系统由中央 IT 部门以外的部门部署,以解决中央信息系统的缺点。” 一些定义 影子IT 更多road仅包括不受 IT 或信息安全控制的任何项目、程序、流程或系统。
哇! 慢一点。 如果影子 IT 是 IT 无法控制的任何项目、程序、流程或系统,那么它比我们想象的更普遍。 它无处不在。 说得更直白一点, 每周 无论他们是否承认,组织都拥有影子 IT。 这只是程度的问题。 一个组织在处理影子 IT 方面的成功很大程度上取决于他们如何应对一些关键挑战。 
- 安保行业. 在影子 IT 创建的问题列表的顶部是 安全风险. 想想宏。 考虑在组织外部通过电子邮件发送的带有 PMI 和 PHI 的电子表格。
- 数据丢失的风险更高。 同样,由于实施或过程的不一致,每个单独的实施可能不同。 这使得很难证明正在遵循既定的商业惯例。 此外,即使遵守简单的使用和访问审计请求也变得困难。
- 合规问题。 与审计问题相关的是,数据访问和数据流动的可能性也增加了,这使得遵守法规变得更加困难,例如 萨班斯 - 奥克斯利法案, 公认会计原则 (一般公认会计原则), 健康保险 (健康保险流通与责任法案) 和别的
- 数据访问效率低下。 尽管分布式 IT 试图解决的问题之一是数据的速度,但意想不到的后果包括财务、营销和人力资源部门的非 IT 工作人员的隐性成本,例如,他们花时间辩论数据的有效性,调和他们邻居的号码,并试图通过他们的裤子来管理软件。
- 流程效率低下. 当多个业务部门独立采用技术时,与其使用和部署相关的流程也是如此。 有些可能是有效的。 其他的没那么多。
- 不一致的业务逻辑和定义。 没有建立标准的看门人,由于缺乏测试和版本控制,可能会出现不一致。 如果没有统一的数据或元数据方法,企业就不再拥有单一版本的事实。 部门可以根据有缺陷或不完整的数据轻松做出业务决策。
- 与企业愿景不一致。 影子 IT 通常会限制 ROI 的实现。 用于谈判供应商合同和大规模交易的公司系统有时会被绕过。 这可能会导致过多的许可和重复系统。 此外,它扰乱了对组织目标和 IT 战略计划的追求。
最重要的是,采用自助报告的良好意图导致了意想不到的后果。 这些挑战可以概括为三类:治理、安全性和业务一致性。
毫无疑问,企业需要授权用户利用现代工具利用实时数据。 他们还需要变更管理、发布管理和版本控制的纪律。 那么,自助服务报告/BI 是骗局吗? 你能在自治和治理之间找到平衡吗? 你能管理你看不见的东西吗?
解决方案
BI 自助服务范围
如果你照亮它,阴影就不再是阴影。 同样,如果影子 IT 浮出水面,也不再令人恐惧。 在公开影子 IT 的过程中,您可以利用业务用户所需的自助服务报告的优势,同时通过治理降低风险。 管理影子 IT 听起来有些矛盾,但实际上是一种将监督引入自助服务的平衡方法。 
我喜欢 Free Introduction 作者的比喻(借自 金博尔) 的自助式 BI/报告比作餐厅自助餐。 从某种意义上说,自助餐是自助服务 你可以得到任何你想要的 并将其带回您的餐桌。 这并不是说你要去厨房自己把牛排放在烤架上。 你仍然需要那个厨师和她的厨房团队。 自助服务报告/BI 也是如此,您将始终需要 IT 团队通过提取、转换、存储、保护、建模、查询和管理来准备数据自助餐。
无限量自助餐的比喻可能过于简单。 我们观察到的是,餐厅厨房团队的参与程度不同。 有一些,比如传统的自助餐,他们在后面准备食物,准备吃的时候摆好大杂烩。 你所要做的就是把你的盘子装上,然后把它放回你的桌子上。 这是拉斯维加斯米高梅大自助餐或金畜栏商业模式。 另一端是 Home Chef、Blue Apron 和 Hello Fresh 等企业,它们将食谱和食材送到您家门口。 需要一些组装。 他们负责购物和膳食计划。 你做剩下的。
介于两者之间的某个地方,也许是像蒙古烤肉这样的地方,它们已经准备好食材,但把它们摆出来供你选择,然后把你的一盘生肉和蔬菜交给厨师,让它在火上烤。 在这种情况下,最终结果的成功取决于(至少部分地)您选择的配料和酱汁的混合搭配得很好。 这还取决于您必须选择的食物的准备和质量,以及有时会添加自己风格的厨师的技能。 
BI 自助服务范围
自助服务分析大致相同。 具有自助式分析的组织往往属于该范围内的某个位置。 一方面是像 MGM Grand Buffet 这样的组织,IT 团队仍然负责所有数据和元数据的准备工作,选择企业范围的分析和报告工具并将其呈现给最终用户。 最终用户需要做的就是选择他想要查看的数据元素并运行报告。 这个模型唯一的自助服务是报告不是由 IT 团队创建的。 使用 Cognos Analytics 的组织的理念属于这一端。
与送到您家门口的餐包更相似的组织倾向于为最终用户提供“数据包”,其中包括他们需要的数据以及他们可以访问这些数据的工具选择。 该模型要求用户更好地理解数据和工具以获得他们需要的答案。 根据我们的经验,利用 Qlik Sense 和 Tableau 的公司往往属于这一类。
Power BI 之类的企业工具更像是蒙古烤肉——介于两者之间。
尽管我们可以将使用各种分析工具的组织概括并置于“BI 自助服务频谱”的不同点,但现实情况是,由于以下几个因素,位置可能会发生变化:公司可能会采用新技术,用户能力可能会提高,管理可能会决定一种方法,或者企业可能会简单地演变为更开放的自助服务模型,为数据消费者提供更多自由。 事实上,频谱上的位置甚至可能因同一组织内的业务部门而异。
分析的演变
随着向自助服务的转变以及组织在 BI Buffet Spectrum 上向右移动,传统的独裁卓越中心已被协作实践社区所取代。 IT 可能会参与这些矩阵式团队,这有助于在交付团队之间交流最佳实践。 这允许业务方面的开发团队在治理和架构的公司边界内工作时保持一定的自主权。 
IT 必须保持警惕。 创建自己的报告(在某些情况下是模型)的用户可能不知道数据安全风险。 防止潜在安全漏洞的唯一方法是主动搜索新内容并评估它们的合规性。
受监管的影子 IT 的成功还与确保遵守安全和隐私政策的流程有关。
自助服务悖论
受管控的自助服务分析协调了极地力量对自由与控制的对抗。 这种动态在商业和技术的许多领域都表现出来:速度与标准; 创新与运营; 敏捷与架构; 以及部门需求与公司利益。
管理影子 IT 的工具
平衡风险和收益是制定可持续影子 IT 政策的关键。 利用影子 IT 来发现新的流程和工具,让所有员工都能在各自的岗位上表现出色,这只是明智的业务实践。 具有与多个系统集成能力的工具为公司提供了一种既能满足 IT 又能满足业务需求的解决方案。
影子 IT 带来的风险和挑战可以通过实施治理流程来大大减轻,以确保通过自助访问向所有需要它的人提供高质量的数据。
关键问题
IT 安全应该能够回答与影子 IT 可见性和控制相关的关键问题。 如果您有系统或流程来回答这些问题,您应该能够通过安全审计的影子 IT 部分:
- 您是否有涵盖影子 IT 的政策?
- 您能否轻松列出组织内使用的所有应用程序? 如果您有关于版本和修复级别的信息,可以获得奖励积分。
- 您知道谁在生产中修改了分析资产吗?
- 您知道谁在使用影子 IT 应用程序吗?
- 您知道上次修改生产内容的时间吗?
- 如果生产版本存在缺陷,您能否轻松恢复到以前的版本?
- 如果发生灾难,您是否能够轻松恢复单个文件?
- 您使用什么过程来退役工件?
- 你能证明只有经过批准的用户才能访问系统和提升文件吗?
- 如果你发现你的数字有缺陷,你怎么知道它是什么时候引入的(以及由谁引入的)?
结论
多种形式的影子 IT 将继续存在。 我们需要照亮它并揭露它,以便我们可以在利用它的好处的同时管理风险。 它可以使员工更有效率,使企业更具创新性。 但是,安全性、合规性和治理应缓和对收益的热情。
参考资料
