Как взять теневую аналитику под контроль

Неавторизованные аналитические инструменты подвергают организацию риску. Опрошенные порталом InformationWeek эксперты рассказывают, как обнаружить и побороть теневую аналитику, не вредя производительности.

Аналитика данных — это мощный инструмент, который помогает пользователям принимать обоснованные решения, касающиеся тенденций, новых продуктов, предпочтений клиентов, продаж и почти бесконечного числа других тем. Однако серьезная проблема возникает, когда члены корпоративной команды начинают развертывать собственные, неавторизованные аналитические приложения.

По словам Джозефа Уильямса, глобального партнера по кибербезопасности компании Infosys Consulting, теневая аналитика похожа на самостоятельную прокладку электропроводки в доме. «Вы можете заставить ее работать, но рискуете „сжечь здание“ из-за неконтролируемой работы с данными, которая противоречит нормам конфиденциальности и подвержена рискам, которые могут привести к штрафам и подрыву репутации бренда», — говорит он.

Использование неавторизованных аналитических инструментов может привести к принятию неверных или даже фатальных для бизнеса решений. «Если вы не знаете, откуда взялись данные, или не можете достичь консенсуса с заинтересованными сторонами, то выгоды не получите, — предупреждает Питер Моттрам, управляющий директор практики технологического консалтинга компании Protiviti. — Более того, вы можете принять неверное решение, даже не подозревая об этом».

Наиболее вероятно, что к теневой аналитике обратятся подразделения, работающие с клиентами, в частности, отделы продаж и маркетинга. «Их KPI, такие как время выхода на рынок и получение прибыли, требуют оперативности, и они не верят, что ИТ-служба поможет им быстрее создавать аналитические решения», — говорит Суш Апшанкар, главный консультант компании ISG.

Устранение угрозы

Теневая аналитика по своей природе функционирует как своего рода «черный рынок», часто получая данные по неофициальным каналам, отмечает Стивен Каран, вице-президент и руководитель отдела аналитики и данных Capgemini Canada. «Это представляет опасность для организации, поскольку игнорируются корпоративные стандарты управления и администрирования мастер-данных, что приводит к преобразованию наборов данных неточным или неправильным образом, — поясняет он. — В результате руководителям предприятий для принятия решений предоставляется некачественная аналитика».

Теневая аналитика может также подвергать предприятия регуляторным рискам или наносить репутационный ущерб, возникающий в результате обхода стандартов данных, содержащих персональную информацию, а также GDPR, HIPPA, CCPA и других нормативных актов, регулирующих работу с данными. «В экстремальных сценариях теневая аналитика может привести к раскрытию данных о клиентах, сотрудниках или служебной информации недобросовестным субъектам, что нанесет значительный ущерб бренду и подвергнет бизнес незапланированной ответственности», — предупреждает Каран. В регулируемых отраслях штрафы и правоприменительные действия, связанные с теневой аналитикой, могут существенно повлиять на показатели бизнеса.

Еще одна проблема, которую создают теневые ИТ, — вероятность неоптимизированных аналитических рабочих нагрузок. «Если несколько подразделений не собирают и не преобразуют данные для аналитики одинаковым способом, что бывает часто, то многие затраты на оплату труда и человеческий капитал оказываются напрасными, — поясняет Моттрам. — Кроме того, культурный сдвиг в сторону превращения в компанию, ориентированную на аналитику, сильно страдает или становится невозможным».

Обнаружение теневой аналитики

Чтобы пресечь теневую аналитику в зародыше, предприятиям следует рассмотреть возможность развертывания средств мониторинга, способных эффективно обнаруживать и выявлять несанкционированный доступ к централизованным данным. «Обнаружить теневую аналитику на данных, которые не управляются ИТ-отделом, гораздо сложнее, — говорит Уильямс. — В таких случаях придется отслеживать ее путем анализа расходов».

Для предотвращения распространения теневых аналитических решений за пределы организации команды по управлению рисками и соблюдению нормативных требований могут использовать средства предотвращения утечек данных (DLP). «Внутри организации надежные и автоматизированные средства управления данными могут помочь выявить утечки данных или ложные срабатывания при обмене внутренней электронной почтой», — говорит Апшанкар.

Тактическое реагирование

Апшанкар считает, что лучшим способом борьбы с теневой аналитикой является укрепление доверия между ИТ- и бизнес-подразделениями. «Бизнес-подразделения должны воспринимать ИТ-службу как помощника, а не блокировщика, — говорит он. — ИТ-отдел также должен понимать важность требований бизнеса и не ставить технические KPI выше KPI, ориентированных на получение дохода».

Чтобы эффективно блокировать теневую аналитику, предприятиям следует устранить первопричину. «Существует один постоянный фактор, который позволяет распространяться теневым решениям — это отсутствие тесного партнерства между ИТ-отделами, отвечающими за данные, и бизнес-функциями», — говорит Каран. Как правило, руководители предприятий говорят о том, что ИТ-служба часто не может предоставить доступ к данным, необходимым для ведения деятельности или принятия решений. Кроме того, иногда возникает опасение, что данные не доступны с той скоростью или частотой, которая требуется бизнес-командам. «От ИТ-команд я слышу, что бизнес нечетко формулирует свои требования или не знает, чего хочет», — отмечает Каран и добавляет, что наилучшим способом сблизить обе стороны является крепкое, дружеское партнерство.

Не рубить

Несмотря на плохую репутацию, теневая аналитика никогда не должна быть полностью запрещена, считает Уильямс. «Ею следует управлять, заставляя ее соответствовать как требованиям управления и безопасности, так и ответственным требованиям FinOps», — советует он.