Shadow IT - Shadow IT
В крупных организациях тень IT (также известный как встроенная ИТ, поддельная ИТ, скрытая ИТ, мошенническая ИТ, дикая ИТ или клиентская ИТ) информационные технологии (ИТ) системы, развернутые другими отделами, кроме центрального ИТ-отдела, для обхода[1] недостатки центральных информационных систем[2].
Теневые ИТ-системы являются важным источником инновации, а теневые системы могут стать прототипы для будущих центральных ИТ-решений.[3] С другой стороны, теневые ИТ-решения увеличивают риски из-за требований организации к контролю, документации, безопасности, надежности и т. Д.[4]
Происхождение
Информационные системы в крупных организациях могут быть источником разочарования для их пользователей.[2].Чтобы обойти предполагаемые ограничения решений, предоставляемых централизованным ИТ-отделом, другие отделы могут создавать независимые ИТ-ресурсы для удовлетворения своих конкретных или срочных требований.[5]. Находчивые отделы нередко нанимают ИТ-инженеров и покупают или даже разрабатывают программное обеспечение самостоятельно, без знаний, поддержки или контроля со стороны централизованного ИТ-отдела.
Подразумеваемое
В большинстве организаций преобладание теневых систем приводит к сильно фрагментированной среде приложений, где согласованность, безопасность и управляемость приносятся в жертву для достижения необходимого уровня гибкости бизнеса, будь то в целях инноваций или простого выживания.
Преимущества
Основное преимущество теневых ИТ - повышенная реактивность. Хост-отдел имеет прямую власть над своими теневыми ИТ-ресурсами в отличие от центральных. Кроме того, избегается согласование между отделами - трудоемкая, а иногда и невозможная задача.
Теневые ИТ-системы являются важным источником инновации, а теневые системы могут стать прототипы для будущих центральных ИТ-решений[3].
Существующее ИТ-руководство, имеющее дело с устаревшей инфраструктурой и проблемами управления данными, не может легко обеспечить данные как услуга либо потому, что не знают о его преимуществах, либо не могут получить бюджет для его успешного внедрения. На этом фоне ИТ-отдел никогда не сможет удовлетворить все бизнес-требования с достаточно низкими затратами по сравнению с настоящим ИТ-отделом DaaS. Эти недостатки побуждают бизнес внедрять ИТ-решения, выполнение которых может казаться менее затратным, хотя и сопряжено с рисками, которых можно избежать с помощью официального ИТ-проекта.
Например, с появлением мощных процессоров для настольных ПК эксперты в предметной области могут использовать теневые ИТ-системы для извлечения и обработки сложных наборов данных без необходимости запрашивать работу у ИТ-отдела. Задача ИТ-отдела состоит в том, чтобы распознать эту деятельность и улучшить среду технического контроля или направить бизнес в выборе инструментов анализа данных корпоративного класса.
Еще одним препятствием для внедрения DaaS является устаревшая массовая подготовка только элемента «Чтение» модели CRUD (создание, чтение, обновление, удаление). Это приводит к тому, что ИТ-специалисты пренебрегают необходимостью «обратной записи» в исходный набор данных, потому что этого сложно достичь. Теневым ИТ-пользователям необходимо затем хранить эти измененные данные отдельно (т. Е. «Изолирование»), что приводит к потере целостности данных организации.
Создание барьеров для теневых ИТ может быть эквивалентом повышения безопасности организации.[6] подтверждает, что 35% сотрудников считают, что им необходимо обойти меры безопасности или протокол для эффективной работы. 63% отправляют документы на домашний адрес электронной почты, чтобы продолжить работу из дома, даже если они знают, что это, вероятно, запрещено.
Недостатки
Помимо рисков безопасности, Shadow IT имеет следующие последствия:[7][8]
- Потерянное время Теневые ИТ добавляют скрытые затраты организациям, состоящим в основном из не связанных с ИТ сотрудников в области финансов, маркетинга, управления персоналом и т. Д., Которые тратят значительное количество времени на обсуждение и повторную проверку достоверности определенных данных, настройку систем и программного обеспечения и управление ими. без опыта.
- Непоследовательная бизнес-логика Если приложение электронных таблиц «теневого ИТ» инкапсулирует свои собственные определения и вычисления, вполне вероятно, что со временем возникнут несоответствия из-за накопления небольших различий от одной версии к другой и от одной группы к другой, поскольку электронные таблицы часто копируются и изменяются. Кроме того, многие ошибки, возникающие из-за непонимания концепций или неправильного использования электронной таблицы, часто остаются незамеченными из-за отсутствия тщательного тестирования и контроля версий.
- Непоследовательный подход Даже если определения и формулы верны, методология проведения анализа может быть искажена расположением и потоком связанных электронных таблиц, или сам процесс может быть неправильным.
- Потраченные впустую инвестиции Теневые ИТ-приложения иногда препятствуют полному Прибыль на инвестиции (ROI) от инвестиций в системы, которые предназначены для выполнения функций, которые теперь заменены Shadow IT. Это часто наблюдается в хранилищах данных (DW) и Бизнес-информатика (BI) проекты, которые инициируются с добрыми намерениями, когда более широкое и последовательное использование DW и BI в организации никогда не начинается. Это также может быть вызвано неспособностью руководства предвидеть затраты на развертывание, лицензирование и емкость системы при попытке предоставить решения DW и BI. Принятие внутренней модели затрат, которая заставляет потенциальных новых пользователей системы DW / BI выбирать более дешевые (теневые) альтернативы, также играет роль в предотвращении успешного внедрения на предприятии.
- Неэффективность Теневая ИТ может стать препятствием для инноваций, блокируя создание более эффективных рабочих процессов. Дополнительные узкие места производительности и новые единые точки отказа могут появиться, когда теневые ИТ-системы накладываются на существующие системы. Данные могут быть экспортированы из общей системы в электронную таблицу для выполнения критических задач или анализа.
- Более высокий риск потери или утечки данных Процедуры резервного копирования теневых ИТ-данных не могут быть предоставлены или проверены. Персонал и подрядчики в теневых ИТ-операциях не могут проходить обычное обучение, процедуры или проверки. Создатели теневых ИТ-систем могут покинуть организацию, часто оставляя собственные данные или оставляя сложные системы, которыми остальной персонал не может управлять.
- Барьер для улучшения Shadow IT может тормозить внедрение новых технологий. Поскольку ИТ-артефакты, например электронные таблицы, развертываются для удовлетворения критических потребностей, их необходимо тщательно заменять. Но при отсутствии соответствующей документации, средств контроля и стандартов этот процесс медленный и подвержен ошибкам.
- Организационная дисфункция Shadow IT создает дисфункциональную среду, ведущую к враждебности между ИТ и не связанными с ИТ группами внутри организации. Неподходящие мотивы, стоящие за усилиями Shadow IT, такие как поиск гарантированной работы (например, «Боб - единственный человек, у которого есть эти данные» или «Что будет, если он уйдет?»), Накопление данных, самореклама, торговля в пользу торговли и т. Д. может привести к серьезным проблемам управления. Исследование, проведенное в 2015 г. среди более 400 человек по всему миру ИТ-директора (ИТ-директора) показали, что 90% ИТ-директоров во всем мире хотя бы иногда оказываются в стороне от сферы деятельности. Треть (31%) ИТ-директоров во всем мире обычно остаются в стороне, когда дело доходит до принятия решений о закупках ИТ.[9]
- Проблемы с соответствием Shadow IT увеличивает вероятность неконтролируемых потоков данных, что затрудняет соблюдение Закон Сарбейнса-Оксли (США) и многие другие инициативы, ориентированные на соблюдение требований, такие как: Базель II (Международные стандарты банковского дела), GLBA (Закон Грэмма-Лича-Блайли )[10], COBIT (Цели контроля для информационных и связанных технологий ), FISMA (Федеральный закон об управлении информационной безопасностью 2002 г. ), ДФАРС (Дополнение к Положению о государственных закупках для обороны ), GAAP (Общепринятые принципы бухучета ), HIPAA (Медицинское страхование Портативность и Акт об ответственности ), МСФО (Международные стандарты финансовой отчетности ), ITIL (Библиотека Инфраструктуры Информационных Технологий ), PCI DSS (Стандарт безопасности данных индустрии платежных карт ), GDPR (Общие правила защиты данных )[11], CCPA (Закон Калифорнии о конфиденциальности потребителей ), NYDFS (Департамент финансовых услуг Нью-Йорка) [12]
Распространенность
Как известно, Shadow IT сложно измерить. Внутри организации объем теневой ИТ-активности по определению неизвестен, тем более что отделы часто скрывают свою теневую ИТ-деятельность в качестве превентивной меры для обеспечения своей текущей деятельности. Даже когда цифры известны, организации обычно не занимаются этим. В качестве заметного исключения компания Boeing опубликовала отчет о своем опыте.[1] описание вызывающего тревогу количества теневых приложений, которые различные департаменты внедрили для обхода ограничений своей официальной информационной системы.
По данным Gartner, к 2015 году 35% корпоративных ИТ-расходов для большинства организаций будут управляться вне бюджета центрального ИТ-отдела.[13]
Французский опрос 2012 г. [14] из 129 ИТ-менеджеров выявили несколько примеров теневого ИТ:
- Макрос Excel 19%
- программное обеспечение 17%
- облачные решения 16%
- ERP 12%
- Системы бизнес-аналитики 9%
- Сайты 8%
- оборудование 6%
- VoIP 5%
- поддержка теневых ИТ 5%
- теневой ИТ-проект 3%
- BYOD 3%.
Примеры
Примеры этих неофициальных потоков данных включают USB-накопители или другие портативные устройства хранения данных, MSN Messenger или другое программное обеспечение для обмена сообщениями в Интернете, Gmail или другие службы электронной почты в Интернете, Гугл документы или другой обмен документами в Интернете и Skype или другой онлайн VOIP программное обеспечение и другие менее простые продукты: базы данных Access собственной разработки и собственные Excel электронные таблицы и макросы. Риски безопасности возникают, когда данные или приложения перемещаются за пределы защищенных систем, сетей, физического местоположения или доменов безопасности.
Другая форма теневой ИТ - это приложения, подключенные по протоколу OAuth, когда пользователь разрешает доступ к стороннему приложению через санкционированное приложение. Например, пользователь может использовать свои учетные данные Facebook для входа в Spotify или другое стороннее приложение через свое корпоративное облачное приложение (Google G Suite или Microsoft Office 365). При таком доступе стороннее приложение может иметь чрезмерный доступ к санкционированному приложению, что создает непредвиденный риск.
Рекомендации
- ^ а б Гендель, Марк Дж .; Полтрок, Стивен (2011). «Работа с официальными приложениями: опыт большого инженерного проекта». CSCW '11: Материалы конференции ACM 2011 по совместной работе с компьютерной поддержкой. С. 309–312. Дои:10.1145/1958824.1958870. S2CID 2038883.
- ^ а б Ньюэлл, Сью; Вагнер, Эрик; Дэвид, Гэри (2006). Неуклюжие информационные системы: критический обзор корпоративных систем. Гибкие информационные системы: концептуализация, построение и управление. п. 163. ISBN 1136430482.
- ^ а б «Как инструменты разработки без кода могут принести пользу ИТ». Получено 2017-12-25.
- ^ "Shadow IT - стоит ли обижаться ИТ-директорам?". CXO отключен. Получено 2012-04-25.
- ^ Зарнеков, Р; Бреннер, Вт; Pilgram, U (2006). Интегрированное управление информацией: применение успешных промышленных концепций в ИТ. ISBN 978-3540323068.
- ^ RSA, ноябрь 2007 г., Исследование признаний: офисные работники выявляют повседневное поведение, которое ставит под угрозу конфиденциальную информацию, доступно по адресу (PDF), заархивировано из оригинал (PDF) 11 февраля 2012 г., получено 15 сентября, 2017
- ^ Раден, Н., октябрь 2005 г., Shadow IT: A Lesson for BI, BI Review Magazine, Data Management Review и SourceMedia, Inc.
- ^ Майерс, Ноа и Starliper, Мэтью В. и Саммерс, Скотт Л. и Вуд, Дэвид А., Влияние теневых ИТ-систем на воспринимаемую достоверность информации и принятие управленческих решений (8 марта 2016 г.). Доступно в SSRN: http://ssrn.com/abstract=2334463 или же https://dx.doi.org/10.2139/ssrn.2334463
- ^ «Shadow IT - реальность для 90% ИТ-директоров». Logicalis. 23 ноября 2015 г.. Получено 2015-11-23.
- ^ "Закон Грэмма-Лича-Блайли".
- ^ "В разработке".
- ^ «23 NYCRR 500». govt.westlaw.com. Получено 2019-10-17.
- ^ «Прогнозы показывают, что ИТ-бюджеты выходят из-под контроля ИТ-отделов». Gartner. Получено 2012-04-25.
- ^ РЕЗУЛЬТАТЫ ДЕ L’ENQUETE SUR LE PHENOMENE DU "SHADOW IT" от Thomas Chejfec: http://chejfec.com/2012/12/18/resultats-complets-de-lenquete-shadow-it/