影子 IT:平衡每個組織面臨的風險和收益
抽象
自助報告是當今的樂土。 無論是 Tableau、Cognos Analytics、Qlik Sense 還是其他分析工具,所有供應商似乎都在推廣自助式數據發現和分析。 伴隨著自助服務而來的是影子 IT。 我們認為 全部 組織在一定程度上受到潛伏在陰影中的影子 IT 的影響。 解決方案是照亮它,管理風險並最大化收益。
概述
在本白皮書中,我們將介紹報導的演變以及沒人談論的骯髒秘密。 不同的工具需要不同的過程。 有時甚至是意識形態。 意識形態 是“構成社會政治綱領的綜合主張、理論和目標”。 我們不會得到 社會政治的 但我想不出一個詞來傳達業務和 IT 程序。 我認為 Kimball-Inmon 數據庫以類似的方式劃分意識形態辯論。 換句話說,您的方法或您的思維方式會驅動您的行動。
背景
當 IBM 5100 電腦 是最先進的,10,000 美元可以讓你得到一個 5 英寸的屏幕,帶有內置鍵盤、16K RAM 和磁帶驅動器 
體重剛剛超過 50 磅。 適用於會計,這將連接到一個小型文件櫃大小的獨立磁盤陣列。 任何嚴肅的計算仍然是通過大型機分時的終端完成的。 (圖片)
“運營商” 管理菊花鍊式 PC 並控制對外部世界的訪問。 操作員團隊,或後來的系統管理員和 devops,成長為支持不斷發展的技術。 這項技術很大。 管理他們的團隊更大。
自計算機時代開始以來,企業管理和 IT 主導的報告一直是常態。 這種意識形態建立在“公司”管理資源並將為您提供所需的東西的平庸、保守的方法之上。 如果您需要自定義報告或超出週期的時間範圍內的報告,您需要提交請求。
這個過程很緩慢。 沒有創新。 敏捷並不存在。 而且,就像古代的文職人員池一樣,IT 部門被認為是開銷。
儘管有缺點,但這樣做是有原因的。 這樣做有一些好處。 有每個人都遵循的流程。 表格一式三份完成,並通過辦公室間郵件發送。 來自整個組織的數據請求以可預測的方式進行排序、打亂、確定優先級並採取行動。
有一個數據倉庫和一個企業範圍的報告工具。 由中央團隊創建的罐頭報告提供了 單一版本的真相. 如果數字是錯誤的,那麼每個人都從相同的錯誤數字開始工作。 對於內部一致性,有話要說。 
這種經營方式的管理是可以預見的。 這是可預算的。
然後在 15 或 20 年前的某一天,一切都爆發了。 發生了一場革命。 計算能力擴大。 摩爾定律 ——“計算機的處理能力每兩年翻一番”——被服從了。 個人電腦更小且無處不在。
越來越多的公司開始根據數據而不是他們多年來使用的直覺做出決策。 他們意識到,他們所在行業的領導者正在根據歷史數據做出決策。 很快,數據變得接近實時。 最終,報告變得具有預測性。 起初它是初級的,但它是使用分析來推動業務決策的開始。
僱傭更多的數據分析師和數據科學家來幫助管理層了解市場並做出更好的決策已經發生了轉變。 但是發生了一件有趣的事情。 中央 IT 團隊沒有跟隨個人電腦縮小的趨勢。 它並沒有立即變得更高效和更小。
然而,為了應對去中心化的技術,IT團隊也開始變得更加去中心化。 或者,至少傳統上屬於 IT 的角色現在是業務部門的一部分。 每個部門都嵌入了了解數據和業務的分析師。 經理們開始向他們的分析師詢問更多信息。 分析師反過來說:“我需要一式三份填寫數據請求。 最早將在本月的數據優先級會議上獲得批准。 然後,IT 可能需要一到兩週的時間來處理我們對數據的請求——這取決於他們的工作量。 但是,……如果我可以訪問數據倉庫,我可以在今天下午為您運行查詢。” 就這樣。
向自助服務的轉變已經開始。 IT 部門放鬆了對數據密鑰的控制。 報告和分析供應商開始接受新理念。 這是一個新的範式。 用戶找到了訪問數據的新工具。 他們發現,只要他們能夠訪問數據,就可以繞過官僚機構。 然後他們可以執行自己的分析並通過運行自己的查詢來縮短周轉時間。
自助報告和分析的好處
向大眾提供數據的直接訪問和自助報告解決了許多問題, 
- 專注。 易於訪問的專用工具取代了單一的、過時的、多用途的遺留報告和分析工具,以支持所有用戶並回答所有問題。
- 敏捷。 以前,業務部門受到生產力低下的阻礙。 僅訪問上個月的數據導致無法敏捷地工作。 開放數據倉庫縮短了流程,使那些與業務更接近的人能夠更快地發揮作用,發現重要趨勢並更快地做出決策。 因此,提高了數據的速度和價值。
- 增效. 用戶不必依賴其他人的專業知識和可用性來為他們做出決定,而是為他們提供了資源、權力、機會和動力來完成他們的工作。 因此,用戶可以使用自助服務工具獲得授權,該工具可以讓他們擺脫對組織中其他人訪問數據和創建分析本身的依賴。
自助服務報告和分析的挑戰
然而,對於自助報告解決的每個問題,它都會產生更多問題。 報告和分析工具不再由 IT 團隊集中管理。 因此,當單個團隊管理報告時,其他不成問題的事情變得更具挑戰性。 質量保證、版本控制、文檔和發布管理或部署等流程在由一個小團隊管理時會自行解決。 如果有報告和數據管理的公司標準,就無法再執行。 對於 IT 之外發生的事情幾乎沒有洞察力或可見性。 不存在變更管理。 
這些部門控制的實例的功能就像一個 影子經濟 指的是“在雷達下”發生的業務,這就是影子 IT。 維基百科將影子 IT 定義為“信息技術 (IT) 系統由中央 IT 部門以外的部門部署,以解決中央信息系統的缺點。” 一些定義 影子IT 更多road僅包括不受 IT 或信息安全控制的任何項目、程序、流程或系統。
哇! 慢一點。 如果影子 IT 是 IT 無法控制的任何項目、程序、流程或系統,那麼它比我們想像的更普遍。 它無處不在。 說得更直白一點, 無論他們是否承認,組織都擁有影子 IT。 這只是程度的問題。 一個組織在處理影子 IT 方面的成功很大程度上取決於他們如何應對一些關鍵挑戰。 
- 安全性. 在影子 IT 創建的問題列表的頂部是 安全風險. 想想宏。 考慮在組織外部通過電子郵件發送的帶有 PMI 和 PHI 的電子表格。
- 數據丟失的風險更高。 同樣,由於實施或過程的不一致,每個單獨的實施可能不同。 這使得很難證明正在遵循既定的商業慣例。 此外,即使遵守簡單的使用和訪問審計請求也變得困難。
- 合規問題。 與審計問題相關的是,數據訪問和數據流動的可能性也增加了,這使得遵守法規變得更加困難,例如 薩班斯 - 奧克斯利法案, 公認會計原則 (一般公認會計原則), 健康保險 (健康保險流通與責任法案) 和別的
- 數據訪問效率低下。 儘管分佈式 IT 試圖解決的問題之一是數據的速度,但意想不到的後果包括財務、營銷和人力資源部門的非 IT 工作人員的隱性成本,例如,他們花時間辯論數據的有效性,調和他們鄰居的號碼,並試圖通過他們的褲子來管理軟件。
- 流程效率低下. 當多個業務部門獨立採用技術時,與其使用和部署相關的流程也是如此。 有些可能是有效的。 其他的沒那麼多。
- 不一致的業務邏輯和定義。 沒有建立標準的看門人,由於缺乏測試和版本控制,可能會出現不一致。 如果沒有統一的數據或元數據方法,企業就不再擁有單一版本的事實。 部門可以根據有缺陷或不完整的數據輕鬆做出業務決策。
- 與企業願景不一致。 影子 IT 通常會限制 ROI 的實現。 用於談判供應商合同和大規模交易的公司係統有時會被繞過。 這可能會導致過多的許可和重複系統。 此外,它擾亂了對組織目標和 IT 戰略計劃的追求。
最重要的是,採用自助報告的良好意圖導致了意想不到的後果。 這些挑戰可以概括為三類:治理、安全性和業務一致性。
毫無疑問,企業需要授權用戶利用現代工具利用實時數據。 他們還需要變更管理、發布管理和版本控制的紀律。 那麼,自助服務報告/BI 是騙局嗎? 你能在自治和治理之間找到平衡嗎? 你能管理你看不見的東西嗎?
解決方案
BI 自助服務範圍
如果你照亮它,陰影就不再是陰影。 同樣,如果影子 IT 浮出水面,也不再令人恐懼。 在公開影子 IT 的過程中,您可以利用業務用戶所需的自助服務報告的優勢,同時通過治理降低風險。 管理影子 IT 聽起來有些矛盾,但實際上是一種將監督引入自助服務的平衡方法。 
我喜歡 Free Introduction 作者的比喻(借自 金博爾) 的自助式 BI/報告比作餐廳自助餐。 從某種意義上說,自助餐是自助服務 你可以得到任何你想要的 並將其帶回您的餐桌。 這並不是說你要去廚房自己把牛排放在烤架上。 你仍然需要那個廚師和她的廚房團隊。 自助服務報告/BI 也是如此,您將始終需要 IT 團隊通過提取、轉換、存儲、保護、建模、查詢和管理來準備數據自助餐。
無限量自助餐的比喻可能過於簡單。 我們觀察到的是,餐廳廚房團隊的參與程度不同。 有一些,比如傳統的自助餐,他們在後面準備食物,準備吃的時候擺好大雜燴。 你所要做的就是把你的盤子裝上,然後把它放回你的桌子上。 這是拉斯維加斯米高梅大自助餐或金畜欄商業模式。 另一端是 Home Chef、Blue Apron 和 Hello Fresh 等企業,它們將食譜和食材送到您家門口。 需要一些組裝。 他們負責購物和膳食計劃。 你做剩下的。
介於兩者之間的某個地方,也許是像蒙古烤肉這樣的地方,它們已經準備好食材,但把它們擺出來供你選擇,然後把你的一盤生肉和蔬菜交給廚師,讓它在火上烤。 在這種情況下,最終結果的成功取決於(至少部分地)您選擇的配料和醬汁的混合搭配得很好。 這還取決於您必須選擇的食物的準備和質量,以及有時會添加自己風格的廚師的技能。 
BI 自助服務範圍
自助服務分析大致相同。 具有自助式分析的組織往往屬於該範圍內的某個位置。 一方面是像 MGM Grand Buffet 這樣的組織,IT 團隊仍然負責所有數據和元數據的準備工作,選擇企業範圍的分析和報告工具並將其呈現給最終用戶。 最終用戶需要做的就是選擇他想要查看的數據元素並運行報告。 這個模型唯一的自助服務是報告不是由 IT 團隊創建的。 使用 Cognos Analytics 的組織的理念屬於這一端。
與送到您家門口的餐包更相似的組織傾向於為最終用戶提供“數據包”,其中包括他們需要的數據以及他們可以訪問這些數據的工具選擇。 該模型要求用戶更好地理解數據和工具以獲得他們需要的答案。 根據我們的經驗,利用 Qlik Sense 和 Tableau 的公司往往屬於這一類。
Power BI 之類的企業工具更像是蒙古烤肉——介於兩者之間。
儘管我們可以將使用各種分析工具的組織概括並置於“BI 自助服務頻譜”的不同點,但現實情況是,由於以下幾個因素,位置可能會發生變化:公司可能會採用新技術,用戶能力可能會提高,管理可能會決定一種方法,或者企業可能會簡單地演變為更開放的自助服務模型,為數據消費者提供更多自由。 事實上,頻譜上的位置甚至可能因同一組織內的業務部門而異。
分析的演變
隨著向自助服務的轉變以及組織在 BI Buffet Spectrum 上向右移動,傳統的獨裁卓越中心已被協作實踐社區所取代。 IT 可能會參與這些矩陣式團隊,這有助於在交付團隊之間交流最佳實踐。 這允許業務方面的開發團隊在治理和架構的公司邊界內工作時保持一定的自主權。 
IT 必須保持警惕。 創建自己的報告(在某些情況下是模型)的用戶可能不知道數據安全風險。 防止潛在安全漏洞的唯一方法是主動搜索新內容並評估它們的合規性。
受監管的影子 IT 的成功還與確保遵守安全和隱私政策的流程有關。
自助服務悖論
受管控的自助服務分析協調了極地力量對自由與控制的對抗。 這種動態在商業和技術的許多領域都表現出來:速度與標準; 創新與運營; 敏捷與架構; 以及部門需求與公司利益。
- 韋恩·埃里克森
管理影子 IT 的工具
平衡風險和收益是製定可持續影子 IT 政策的關鍵。 利用影子 IT 來發現新的流程和工具,讓所有員工都能在各自的崗位上表現出色,這只是明智的業務實踐。 具有與多個系統集成能力的工具為公司提供了一種既能滿足 IT 又能滿足業務需求的解決方案。
影子 IT 帶來的風險和挑戰可以通過實施治理流程來大大減輕,以確保通過自助訪問向所有需要它的人提供高質量的數據。
關鍵問題
IT 安全應該能夠回答與影子 IT 可見性和控制相關的關鍵問題。 如果您有適當的系統或流程來回答這些問題,您應該能夠通過安全審計的影子 IT 部分:
- 您是否有涵蓋影子 IT 的政策?
- 您能否輕鬆列出組織內使用的所有應用程序? 如果您有關於版本和修復級別的信息,可以獲得獎勵積分。
- 您知道誰在生產中修改了分析資產嗎?
- 您知道誰在使用影子 IT 應用程序嗎?
- 您知道上次修改生產內容的時間嗎?
- 如果生產版本存在缺陷,您能否輕鬆恢復到以前的版本?
- 如果發生災難,您是否能夠輕鬆恢復單個文件?
- 您使用什麼過程來退役工件?
- 你能證明只有經過批准的用戶才能訪問系統和提昇文件嗎?
- 如果你發現你的數字有缺陷,你怎麼知道它是什麼時候引入的(以及由誰引入的)?
結論
多種形式的影子 IT 將繼續存在。 我們需要照亮它並揭露它,以便我們可以在利用它的好處的同時管理風險。 它可以使員工更有效率,使企業更具創新性。 但是,安全性、合規性和治理應緩和對收益的熱情。
參考
