Инструменты самообслуживания (self-service tools) резко уменьшат потребность в теневых ИТ, но последние все равно не исчезнут. Как считают опрошенные порталом InformationWeek экперты, чтобы противостоять им, бизнесу и ИТ нужно объединить усилия.
Многие ИТ-отделы предоставляют конечным пользователям инструменты самообслуживания, предназначенные для создания отчетов, аналитических дашбордов и даже для написания собственных приложений. Будут ли пользователи применять их или игнорировать, зависит от взаимоотношений между бизнесом и ИТ, а также от того, насколько эти инструменты удовлетворяют их требованиям. Децентрализация ИТ-закупок привела к тому, что часть организаций отказалась от централизованного приобретения аппаратного оборудования и софта, отдав это решение на откуп структурным подразделениям.
Пользуясь моментом, поставщики SaaS начали целенаправленную маркетинговую атаку на бизнес-департаменты, завлекая их обещаниями, что облачные продукты легко адаптировать, просто применять и они почти не требуют ИТ-поддержки. Несмотря на эти обещания, бремя основной нагрузки по обеспечению работоспособности этих продуктов и снижения рисков ложится на ИТ-департамент предприятия. Искоренить теневые ИТ вряд ли возможно в принципе, поэтому некоторые организации пытаются свести их влияние к минимуму, предоставляя бизнес-направлениям инструменты самообслуживания.
Что питает теневые ИТ
Катализаторами теневых ИТ являются два фактора: нетерпеливость и желание сбросить оковы «навязанных» ИТ-отделом технологий. Организации пытаются найти баланс между поддержкой должного уровня эффективности бизнес-подразделений и управлением рисками предприятия, что находит отражение в виде частичной децентрализации ИТ и точечного бюджетирования под решение специфических задач отдельных подразделений. Крупные организации с внушительным штатом ИТ-специалистов выбирают ИТ-модель управления в виде централизованного «хаба», являющегося по сути центром передового опыта (center of excellence) с привлечением специфичных для конкретных департаментов ИТ-ресурсов. Небольшие организации обладают меньшими ИТ-ресурсами, поэтому они не могут принять подобную модель.
«Мы неоднократно сталкивались с ситуацией, когда отдел маркетинга привлекал для развертывания мобильного облачного приложения консалтинговую фирму или дизайнерское агентство, но затем выяснялось, что оно привязано к чьей-то личной кредитной карте, — сказал вице-президент консалтингового агентства в сфере цифровой трансформации SPR Джастин Роденбостел. — Это подходящий вариант для небольшой компании или команды, которая отдает отчет своим действиям, но что произойдет, если человек, который оплачивает счет, покинет компанию, или сменится команда, или компания будет выкуплена другой компанией? Что произойдет с подобными активами, которые выпадают из поля зрения ИТ?».
Бизнес-пользователи предпочитают не задумываться над развитием событий типа «а что, если», что никогда не упускается из вида опытными ИТ-специалистами. Теневые ИТ руководствуются сиюминутными потребностями, которые облачные сервисы всегда готовы незамедлительно удовлетворить. Старший аналитик Gartner Брайан Лоуэнс подчеркнул риски такого подхода: «Большинство организаций даже не задумывается о том, каким количеством теневых ИТ-приложений они владеют и к чему это может привести. А ведь нарушение данных, потенциально допущенное бизнес-подразделением вследствие применения недостаточно защищенного приложения, может привести к финансовым обязательствам, влияющим на итоговые показатели организации. Эти обязательства могут быть очень большими из-за сочетания затрат, которые включают штрафы и санкции, аудиторские проверки, потерю доходов клиентов, ущерб бренду, восстановление периметра безопасности, инвестиции, а также киберстрахование».
Как минимизировать риски от теневых ИТ
По оценкам Gartner, в 2017 г. на теневые ИТ-системы приходилось 38% всех закупок. Реальность такова, что ИТ-группа не может остановить теневые ИТ, но, сотрудничая с бизнесом (обеспечивая его инструментами самообслуживания) и используя инструменты обнаружения теневых ИТ, она может минимизировать негативное влияние, которое они несут. По данным совместного исследования Oracle и KPMG за 2019 г., уровень проникновения теневых ИТ на порядок выше, чем говорилось в исследовании Gartner. Согласно опросу компаний-респондентов, теневые ИТ являются проблемой для 93% из них. В качестве распространенных причин мошенничества и раскрытия данных 50% назвали отсутствие мер безопасности и неправильное конфигурирование; 26% в качестве основной проблемы кибербезопасности обозначили несанкционированное использование облачных сервисов.
Роденбостел считает, что с самыми большими проблемами могут столкнуться компании, деятельность которых регулируется контролирующими органами. Это связано с ростом популярности инструментов гражданской разработки типа low/no-code, которые в силу своей специфики не всегда удовлетворяют пользовательские нужды. Хотя многие из таких инструментов предоставляют доступ к командной строке, они не обладают механизмами для решения сложных ИТ-проблем, к примеру, внешних зависимостей.
Нужно отметить, что существует целый спектр инструментов low/no-code, предназначенных для разных аудиторий. Некоторые из них предназначены для профессиональных разработчиков, а другие — для веб- или гражданских разработчиков. Последние больше тяготеют к инструментам типа no-code, что связано с тем, что механика написания кода скрыта за слоем абстракции в виде визуальных инструментов для перетаскивания отдельных блоков.
Финансовая компания NES Financial применяет no-code-платформу корпоративного класса Outsystems, что связано с тем, что она добровольно поддерживает отчетность, которая регламентируется Systems and Organizational Controls (SOC 1), законом о банковской тайне (BSA), нормативными документами службы гражданства и иммиграции США (USCIS), а также комиссии по ценным бумагам (SEC).
«Наладка систем и управление данными — это само по себе искусство, потому что нужно очень много знать о новых правилах, требованиях и ограничениях, — говорит технический директор NES Financial Изак Жубер. — Возможность маркетинговых организаций реализовать концепцию теневых ИТ вызывает уважение, но если взглянуть на это с точки зрения безопасности, то она определенно несет в себе огромные риски». Он приводит определение того, что можно считать теневыми ИТ, а что — нет. Под первыми он подразумевает модель закупок бизнес-структурами для своих нужд ПО или аппаратного обеспечения без участия ИТ-служб, однако если в бизнес-подразделениях имеется штатная ИТ-команда, которая помогает внедрять эти решения, то называть такую организационную модель теневыми ИТ было бы ошибкой.
Чтобы увязать потребности бизнес-подразделений с корпоративной политикой в области управления и контроля, NES Financial сформировала инженерную команду, которая следит за безопасностью данных путем выделенного API-слоя, через который эти подразделения могут подключаться к своим теневым приложениям. «Как правило, бизнес-пользователь не берет в расчет требования корпоративной безопасности, полагая, что он волен делать все, что захочет. Отчет своим действиям отдают очень немногие, что не может не вызывать беспокойства, — считает Жубер. — И уж если они сбиваются с пути, наша основная задача — попытаться ограничить действия, не дать им зайти слишком далеко, потому что в какой-то момент может возникнуть ситуация, которая неминуемо нанесет ущерб организации».
Компании по всему миру пытаются если не ликвидировать теневые ИТ, то хотя бы взять их под контроль. Лучший способ — это выяснить, чего в первую очередь хочет бизнес, и найти способ удовлетворить его, защищая при этом основные активы предприятия. «Как мне кажется, основной причиной возникновения теневых ИТ является модель управления, выбранная руководителями организации, — полагает Жубер. — Контролируют ли они технических энтузиастов? Строят ли они информационные барьеры между структурными подразделениями? Организации зарегулировала сама себя правилами и корпоративными политиками? Вывод тут один: предприятие, в котором процветает культура сотрудничества, гораздо меньше нуждается в теневых ИТ».