Árnyékinformatika

Az árnyékinformatika (Shadow IT) kifejezés olyan, jóvá nem hagyott informatikai megoldásokra (hardver- vagy szoftverelemekre, szolgáltatásokra) utal, melyek a céges infrastruktúrát menedzselő IT-osztály radarja alatt működő, párhuzamos informatikai környezetet alkotnak. A felhasználók egyedi megoldásai mellett az árnyékinformatikához sorolhatók az informatikai osztálytól eltérő osztályok által specifikált és feltelepített megoldások is.^[1]

Az árnyékinformatika megjelenésének egyik mozgatórugója az informatika konzumerizációja. A vállalati felhasználók gyakran elvárják, hogy saját tulajdonú laptopjukat, tabletjüket, okostelefonjukat a vállalati hálózatban, munkavégzésre is használhassák (lásd: Bring Your Own Device – hozd a saját kütyüd). Ha a vállalat által nyújtott eszközök nem eléggé könnyen kezelhetőek, hatékonyak, megtalálják a módját, hogy más eszközöket vegyenek igénybe. A megoldás számos adatbiztonsági kérdést vet fel, de ezek megfelelő szabályozással, eljárásrenddel kezelhetők. Az üzleti világban a módszer általánosan elterjedt gyakorlattá vált, elsősorban költséghatékonysága miatt. ^[2]

Az árnyékinformatikát sokan a vállalati innováció fontos forrásának tekintik, hiszen az itt megjelenő rendszerek a későbbi engedélyezett IT-megoldások prototípusaivá is válhatnak. Más részről, az árnyékinformatikai megoldások ritkán felelnek meg a szervezet dokumentációval, informatikai biztonsággal, megbízhatósággal stb. szemben támasztott követelményeinek – bár ez sok esetben az engedélyezett informatikai megoldásokra is igaz.

Megfelelőségi problémák

Az árnyékinformatika kifejezés az üzleti folyamatok által felhasznált alkalmazásokra vagy adatátviteli folyamatokra utal, ami nincs a központosított információtechnológiai vagy információbiztonsági részleg ellenőrzése alatt. Nem az IT fejlesztette ki, vagy nincs tudomása a használatáról, ezért nem támogatja azt. Az árnyékinformatika megnöveli a valószínűségét a „nem hivatalos”, kontrollálatlan adatáramlásnak (-szivárgásnak), ezzel megnehezítve a megfelelést az USA-ban a Sarbanes-Oxley törvénynek és számos más megfelelőség-központú kezdeményezésnek, pl.:

Basel II (International Standards for Banking),
COBIT (Control Objectives for Information and related Technology),
FISMA (Federal Information Security Management Act of 2002),
GAAP (Generally Accepted Accounting Principles),
HIPAA (Health Insurance Portability and Accountability Act),
IFRS (International Financial Reporting Standards),
ITIL (Information Technology Infrastructure Library),
PCI DSS (Payment Card Industry Data Security Standard),
TQM (Total Quality Management) stb.

Példák

A kontrollálatlan adatáramlásra példa a pendrive-ok és más hordozható adattárolók használata, Skype, Facebook messenger és más azonnali üzenetküldő vagy VOIP szoftverek használata, Gmail és más online e-mail szolgáltatás használata, Google Docs vagy más online dokumentumszerkesztő és -megosztó alkalmazás használata; de ide tartoznak a saját célra kifejlesztett Access adatbázisok, Excel makrók stb. is. Biztonsági kockázattal jár, ha az adatok vagy alkalmazások kijutnak a védett rendszerek, hálózatok, fizikai telephelyek vagy biztonsági domének hatósugarából.

Egy 129 IT-vezetőt érintő 2012-es francia felmérés^[3] az árnyékinformatika következő példáira világított rá: Excel makrók 19% egyéb szoftverek 17% felhőalapú megoldások 16% ERP 12% BI rendszerek 9% Weboldalak 8% Hardver 6% VoIP 5% Shadow IT-támogatás 5% Shadow IT -projektek 3% BYoD 3%.

Egy másik tanulmány megállapítása szerint a greynetek, tartalomelőállító appok és segédprogramok a leggyakrabban használt árnyékrendszerek a cégeknél.^[4]

Megjelenésének okai

A hagyományos informatikai eszközöket kezelő IT részlegek nem egykönnyen tudnak data as a service-t (adat mint szolgáltatás) provizionálni.

A shadow IT elé emelt akadályok gyakran a szervezeti fejlesztést és költségcsökkentést akadáélyozzák meg. Egy 2007-es felmérés^[5] szerint a munkavállalók 35%-a érzi úgy, hogy egy biztonsági korlátozást vagy protokollt meg kell kerülnie, ha hatékonyan akarja végezni a munkáját. 63% e-mailben hazaküldi a dokumentumait, hogy otthonról dolgozhasson rajtuk, még akkor is, ha tisztában van vele, hogy ez valószínűleg tilos.

Következményei

Az esetleges előnyökön és a nyilvánvaló biztonsági kockázatokon kívül az árnyékinformatika létezése az alábbi következményekkel is járhat:^[6]

Elpocsékolt idő

Az árnyékinformatika rejtett költségekkel jár a szervezet számára, hiszen a nem informatikus dolgozók a pénzügyön, marketingen, HR-en stb. rengeteg időt eltöltenek azzal, hogy egyes adatok érvényességét újra és újra ellenőrzik, vagy IT tapasztalat nélkül telepítenek és üzemeltetnek rendszereket.

Inkonzisztens üzleti logika

Ha egy ‘Shadow IT’ számolótábla-alkalmazás saját definíciókat és számításokat tartalmaz, nagyon valószínű, hogy idővel inkozisztenciák fognak fellépni, ahogy az egyes felhasználók apró változtatásokat végeznek a táblázatban, majd továbbadják egymás között. Az is okozhat hibákat, ha a felhasználók nem értik teljesen a táblázat működési módját, a hibák pedig a szigorú tesztelés és verziókövetés hiánya miatt gyakran észrevétlenek maradnak.

Inkonzisztens megközelítés

Még ha a definíciók és a számítások helyesek is, maga az analízis metodikája eltorzulhat a számolótáblák kontrollálatlan áramlása során, vagy maga a folyamat is rossz lehet.

Elpocsékolt befektetések

Az árnyékinformatikai alkalmazások léte megakadályozza az őket kiváltani szándékozó professzionális megoldásoknál a teljes ROI (beruházás megtérülése) érvényesülését. Ez gyakran előfordul adattárházas (Data warehousing, DW) és üzleti informatikai (BI) projekteknél, ahol az árnyékprojektek miatt a DW és BI szélesebb körű és konzisztens használata nem tud igazán szárnyra kapni. Ennek oka lehet az is, hogy a vezetés képtelen előre kalkulálni a DW & BI megoldás telepítésének, licencelésének, üzemeltetésének költségeivel. Ha a vállalat belső elszámolási rendszere miatt az új DW & BI felhasználói költségokokból árnyékalternatívákra szorulnak, az szintén akadályozza a sikeres nagyvállalati bevezetést.

Csökkent hatékonyság

Az árnyékinformatika akadálya lehet a hatékonyabb munkafolyamatok bevezetésének. Minden, a vállalati rendszer fölött működő Shadow IT rendszer új egypontos hibalehetőségeket vagy szűk keresztmetszeteket vihet a rendszerbe.

Az adatvesztés vagy -szivárgás nagyobb veszélye

Az árnyékinformatika adatmentési műveletei gyakran nem létezőek, kipróbálatlanok vagy auditálatlanok, a Shadow IT műveletekben részt vevő személyzet vagy vállalkozók többnyire nem mennek keresztül a szokásos oktatási és egyéb folyamatokon. Amikor a Shadow IT rendszerek megalkotói elhagyják a céget, gyakran nem szabványos adatokat használó, komplikált rendszereket hagynak maguk mögött, amiket a többi munkavállaló nem képes menedzselni.

Nehezebb továbbfejleszthetőség

Az árnyékinformatika fékezheti az új technológiák bevezetését. Mivel az egyedi árnyékinformatikai megoldások kritikus szükségleteket elégítenek ki a vállalaton belül, de nem rendelkeznek megfelelő dokumentációval, nem szabványosak és nem kontrollált módon terjednek, csak nagy óvatossággal, nehézkesen lehet lecserélni azokat.

Szervezeti diszfunkcionalitás

Az árnyékinformatika rosszul működő szervezeti környezetet teremt, ahol ellenségeskedés van az informatikai és nem informatikai részlegek között. Az árnyékinformatikai megoldások mögötti nem megfelelő motivációk, pl. a kirúghatatlan státus elérése (pl. „csak Krisztiánnál vannak meg ezek az adatok” vagy „mit fogunk tenni, ha ő elmegy?”), az adatfelhalmozás, önreklámozás, szívesség-cserekereskedelem stb. mind jelentős menedzsmentproblémákhoz vezethetnek.

Hatása az IT részlegekre

A Gartner szerint 2015-re a legtöbb vállalat IT-költéseinek 35 százalékát nem az informatikáért felelős szervezeti egység költheti el.^[7]

Néha az árnyékinformatikai területek túlságosan nagyra nőnek, idővel megjelennek a csak hosszú távon jelentkező költségek: társrendszerekkel való integrációs nehézségek, szállítói kitettség, üzletoldali IT-tervezésből felhalmozódó technikai adósságok, nem megfelelően megtervezett incidens kezelési protokoll és egyéb IT governance témakörébe tartozó szempontok is, amik gyakran a jövőállóság fő pillérei. Amikor az üzleti területek számára ez már nehezen kezelhető problémákkal jár, gyakran az adott informatikai megoldást próbálják integrálni a belső IT infrastruktúrába, ezzel új, "jobb gazdát" keresve számára.^[8]

Jegyzetek

↑ Shadow IT - Should CIOs take umbrage?. CXO Unplugged. [2022. április 6-i dátummal az eredetiből archiválva]. (Hozzáférés: 2012. április 25.)
↑ Digitális Fogalomtár'. (Hozzáférés: 2022. szeptember 13.)
↑ RESULTATS DE L’ENQUETE SUR LE PHENOMENE DU « SHADOW IT » par Thomas Chejfec : http://chejfec.com/2012/12/18/resultats-complets-de-lenquete-shadow-it/ Archiválva 2013. szeptember 6-i dátummal a Wayback Machine-ben
↑ Silic, M., & Back, A. (2014). Shadow IT–A view from behind the curtain. Computers & Security, 45, 274-283.
↑ RSA, November 2007, The Confessions Survey: Office Workers Reveal Everyday Behavior That Places Sensitive Information at Risk, available from: http://www.rsa.com/company/news/releases/pdfs/RSA-insider-confessions.pdf Archiválva 2008. november 21-i dátummal a Wayback Machine-ben
↑ Raden, N., October 2005, Shadow IT: A Lesson for BI, BI Review Magazine, Data Management Review and SourceMedia, Inc.
↑ Predictions Show IT Budgets Are Moving Out of the Control of IT Departments. Gartner. (Hozzáférés: 2012. április 25.)
↑ Fábián Tamás - Shadow IT az új IT-menedzsment háromszögben

Fordítás

Ez a szócikk részben vagy egészben a Shadow IT című angol Wikipédia-szócikk ezen változatának fordításán alapul. Az eredeti cikk szerkesztőit annak laptörténete sorolja fel. Ez a jelzés csupán a megfogalmazás eredetét és a szerzői jogokat jelzi, nem szolgál a cikkben szereplő információk forrásmegjelöléseként.

További információk

ComputerWorld: Árnyékinformatika és a CIO
Irodai alkalmazások a felhőből – ki az árnyékból!^{[halott link]}
[1]^{[halott link]} Discussion on Tech Republic
[2] Industry's First Cloud Adoption and Risk Report
[3] Archiválva 2015. január 13-i dátummal a Wayback Machine-ben Line of business purchasing power moves out of the shadows

[1] Shadow IT - Should CIOs take umbrage?. CXO Unplugged. [2022. április 6-i dátummal az eredetiből archiválva]. (Hozzáférés: 2012. április 25.)

[2] Digitális Fogalomtár'. (Hozzáférés: 2022. szeptember 13.)

[3] RESULTATS DE L’ENQUETE SUR LE PHENOMENE DU « SHADOW IT » par Thomas Chejfec : http://chejfec.com/2012/12/18/resultats-complets-de-lenquete-shadow-it/ Archiválva 2013. szeptember 6-i dátummal a Wayback Machine-ben

[4] Silic, M., & Back, A. (2014). Shadow IT–A view from behind the curtain. Computers & Security, 45, 274-283.

[5] RSA, November 2007, The Confessions Survey: Office Workers Reveal Everyday Behavior That Places Sensitive Information at Risk, available from: http://www.rsa.com/company/news/releases/pdfs/RSA-insider-confessions.pdf Archiválva 2008. november 21-i dátummal a Wayback Machine-ben

[6] Raden, N., October 2005, Shadow IT: A Lesson for BI, BI Review Magazine, Data Management Review and SourceMedia, Inc.

[7] Predictions Show IT Budgets Are Moving Out of the Control of IT Departments. Gartner. (Hozzáférés: 2012. április 25.)

[8] Fábián Tamás - Shadow IT az új IT-menedzsment háromszögben

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]