Antonio Vázquez看到了無(wú)處不在的潛在問(wèn)題。

Vázquez于2021年1月開(kāi)始擔(dān)任科技公司Bizagi的首位首席信息官，他提供了一份很長(zhǎng)的清單，列出了可能出現(xiàn)問(wèn)題的領(lǐng)域：安全、數(shù)據(jù)隱私、合規(guī)性、供應(yīng)商關(guān)系、成本管理、員工對(duì)系統(tǒng)的訪問(wèn)、人員配置和IT項(xiàng)目。

[[408036]]

他思考了員工是否能夠理解并遵守公司的網(wǎng)絡(luò)安全政策和標(biāo)準(zhǔn);他的供應(yīng)商是否會(huì)以滿足公司需求的速度實(shí)現(xiàn)現(xiàn)代化;供應(yīng)商成本是否會(huì)螺旋上升;以及轉(zhuǎn)型投資是否會(huì)帶來(lái)客戶想要的體驗(yàn)--抑或是危及與他們的關(guān)系。

“從你考慮項(xiàng)目、合同或新程序的那一刻起，你就必須考慮風(fēng)險(xiǎn)，”Vázquez說(shuō)，并指出過(guò)去的一年已經(jīng)向每個(gè)人表明了，新的、意想不到的風(fēng)險(xiǎn)隨時(shí)可能會(huì)出現(xiàn)。

他補(bǔ)充道：“形勢(shì)已經(jīng)發(fā)生了很大的變化，也許兩年前我們還覺(jué)得一切都在掌控之中。現(xiàn)在我們看到了，并不總是這樣。你本可以準(zhǔn)備好文件和標(biāo)準(zhǔn)，但突然之間發(fā)生了一些事情，一切都變了。”

對(duì)于企業(yè)領(lǐng)導(dǎo)者來(lái)說(shuō)，識(shí)別風(fēng)險(xiǎn)并了解他們對(duì)風(fēng)險(xiǎn)的偏好和容忍度并不是什么新鮮事。但是他們面臨的風(fēng)險(xiǎn)類型正在發(fā)生變化，并且這些變化的速度也在發(fā)生變化，這將迫使許多組織更頻繁地評(píng)估其可接受風(fēng)險(xiǎn)的閾值。

而首席信息官在這些討論中的角色也在不斷演變，因?yàn)閺某晒蜕娴慕嵌葋?lái)看，技術(shù)對(duì)企業(yè)變得越來(lái)越重要了--正如流行病和其他最近的事件所表明的那樣。這使得首席信息官們的任務(wù)是評(píng)估新的風(fēng)險(xiǎn)領(lǐng)域，以及重新設(shè)定他們的風(fēng)險(xiǎn)偏好、容忍度和閾值--所有的這些都在發(fā)生變化，因?yàn)樗麄兠媾R著一個(gè)疫情大流行后的擁有新挑戰(zhàn)和新商機(jī)的世界。

“這取決于你可以承擔(dān)多少風(fēng)險(xiǎn)，并且會(huì)因每個(gè)項(xiàng)目和流程而有所不同。而且對(duì)許多首席信息官來(lái)說(shuō)，情況已經(jīng)發(fā)生了變化;在疫情大流行之后，你會(huì)發(fā)現(xiàn)風(fēng)險(xiǎn)的參數(shù)已經(jīng)發(fā)生了變化，”Vázquez說(shuō)。

新時(shí)代的IT風(fēng)險(xiǎn)

盡管首席信息官所處理的風(fēng)險(xiǎn)比以往任何時(shí)候都多，但誤判這些風(fēng)險(xiǎn)的后果也越來(lái)越嚴(yán)重了。組織的所有功能都已經(jīng)完全依賴于健壯的系統(tǒng)，因此在緊要關(guān)頭重新回到紙筆上已經(jīng)不再是一種選擇了。

首席信息官們必須正確地進(jìn)行風(fēng)險(xiǎn)計(jì)算--而且他們需要考慮很多因素。

例如，安全風(fēng)險(xiǎn)是許多首席信息官最關(guān)注的問(wèn)題之一。今年春末所發(fā)生的一連串勒索軟件攻擊，包括2021年5月對(duì)油管的攻擊，該攻擊被歸咎于未受保護(hù)的VPN，這無(wú)疑突顯了首席信息官們?cè)谶@一領(lǐng)域所面臨的挑戰(zhàn)。

首席信息官也越來(lái)越關(guān)注于合規(guī)性風(fēng)險(xiǎn)，因?yàn)楦嗟姆ㄒ?guī)和法律(如被遺忘權(quán))要求他們必須準(zhǔn)確的了解數(shù)據(jù)存放在哪里。

“這是技術(shù)領(lǐng)域、架構(gòu)和你所在行業(yè)的應(yīng)用程序的功能，”Boston Consulting Group的董事總經(jīng)理兼高級(jí)合伙人本Benjamin Rehberg解釋說(shuō)。“你越是不清楚什么才是真正的單一真實(shí)來(lái)源，以及你的系統(tǒng)是否只訪問(wèn)了該單一真實(shí)來(lái)源，合規(guī)性風(fēng)險(xiǎn)就越大。”

與遺留系統(tǒng)相關(guān)的風(fēng)險(xiǎn)也是最讓人關(guān)心的問(wèn)題。這場(chǎng)流行病凸顯了與此相關(guān)的風(fēng)險(xiǎn)，因?yàn)橛迷平鉀Q方案取代了舊技術(shù)的組織比那些堅(jiān)持使用舊系統(tǒng)的組織更容易轉(zhuǎn)向遠(yuǎn)程工作和新的業(yè)務(wù)模式。

另一方面，現(xiàn)代化和轉(zhuǎn)型的努力--以及交付這些工作的預(yù)期快速步伐--也帶來(lái)了首席信息官必須考慮的風(fēng)險(xiǎn)。

“我們經(jīng)常被迫越來(lái)越快地進(jìn)行交付，而且我們也沒(méi)有花時(shí)間來(lái)及時(shí)獲得利益相關(guān)者的反饋，”Scrum.org首席運(yùn)營(yíng)官的Eric Naiburg說(shuō)。“這是一個(gè)風(fēng)險(xiǎn)，因?yàn)殡S著團(tuán)隊(duì)的不斷建設(shè)，改變變得更加困難了。這會(huì)導(dǎo)致延誤，因?yàn)槟銓⒉坏貌恢匦逻M(jìn)行設(shè)計(jì)。“

與供應(yīng)商相關(guān)的風(fēng)險(xiǎn)也是首席信息官面臨的主要問(wèn)題。像2020年SolarWinds違約這樣引人注目的失敗表明了技術(shù)供應(yīng)商的問(wèn)題是如何在企業(yè)IT商店以及整個(gè)組織中引入麻煩的。還有來(lái)自企業(yè)生態(tài)系統(tǒng)的風(fēng)險(xiǎn)需要考慮，例如由托管服務(wù)提供商和業(yè)務(wù)合作伙伴所引入的風(fēng)險(xiǎn)。例如，如果云提供商托管了一個(gè)關(guān)鍵系統(tǒng)，那么該提供商的系統(tǒng)中斷就可能會(huì)給首席信息官帶來(lái)很大的風(fēng)險(xiǎn)。

與數(shù)據(jù)完整性相關(guān)的風(fēng)險(xiǎn)也上升了。企業(yè)也越來(lái)越依賴于數(shù)據(jù)來(lái)驅(qū)動(dòng)決策、自動(dòng)化和智能系統(tǒng)了，F(xiàn)orrester分析師Alla Valente表示。結(jié)果，許多人發(fā)現(xiàn)他們對(duì)不完美數(shù)據(jù)的完整性的容忍度降低了。

此外，還有企業(yè)外部的系統(tǒng)性風(fēng)險(xiǎn)：颶風(fēng)、野火、衰退和流行病等。

根據(jù)分析師、執(zhí)行顧問(wèn)和就此主題接受采訪的首席信息官的說(shuō)法，各組織的首席信息官將會(huì)如何權(quán)衡所有的這些風(fēng)險(xiǎn)因公司而異。除了首席信息官們與他們的高管同事在一起規(guī)劃大流行后的戰(zhàn)略時(shí)會(huì)更頻繁地重新審視這個(gè)問(wèn)題之外，似乎還沒(méi)有一個(gè)總體的趨勢(shì)。

“他們正在從剛剛發(fā)生的事情中學(xué)習(xí)和適應(yīng)，并決定在哪里以及如何消除風(fēng)險(xiǎn)，”Naiburg說(shuō)。

制定風(fēng)險(xiǎn)策略的業(yè)務(wù)環(huán)境

俄勒岡州克拉克馬斯社區(qū)學(xué)院的首席信息官Saby Waraich在談到風(fēng)險(xiǎn)時(shí)則提供了一個(gè)類似的，無(wú)所不包的清單。和其他人一樣，他表示，由于各種原因，他對(duì)風(fēng)險(xiǎn)的容忍度也在發(fā)生變化。例如，在最近的一場(chǎng)野火第一次發(fā)生在學(xué)校的數(shù)據(jù)中心附近后，Waraich正在重新考慮該中心所面臨的風(fēng)險(xiǎn)。

考慮到他作為首席信息官所面臨的風(fēng)險(xiǎn)，Waraich認(rèn)為這些風(fēng)險(xiǎn)都是相互關(guān)聯(lián)的，并且與業(yè)務(wù)交織在一起的。“沒(méi)有IT風(fēng)險(xiǎn)。我們必須改變這種說(shuō)法，而是問(wèn)有什么業(yè)務(wù)風(fēng)險(xiǎn)?”他說(shuō)。

畢竟，如果數(shù)據(jù)中心著火，它不僅會(huì)阻礙IT，還會(huì)阻礙甚至可能暫時(shí)關(guān)閉整個(gè)組織。

Waraich補(bǔ)充道：“因此，如果IT以孤立的方式評(píng)估這些風(fēng)險(xiǎn)，它(在這項(xiàng)任務(wù)中)將很難成功。你可能會(huì)做出一個(gè)決定，但如果這不是企業(yè)所關(guān)心的，那就不是正確的決定。”

這場(chǎng)流行病強(qiáng)化了這種方法的價(jià)值，他補(bǔ)充說(shuō)。“兩年前，人們會(huì)更多地關(guān)注技術(shù)和技術(shù)風(fēng)險(xiǎn)。“這場(chǎng)疫情大流行給首席信息官敲響了警鐘，讓他們關(guān)注業(yè)務(wù)風(fēng)險(xiǎn)，這樣他們才能一直保持業(yè)務(wù)運(yùn)營(yíng)，”他說(shuō)。

Waraich在評(píng)估風(fēng)險(xiǎn)時(shí)就考慮到了這一點(diǎn)，考慮到問(wèn)題或失敗(無(wú)論是在數(shù)據(jù)中心還是轉(zhuǎn)型計(jì)劃的結(jié)果)將如何影響業(yè)務(wù)功能和整個(gè)業(yè)務(wù)。

然后，他會(huì)確定哪些風(fēng)險(xiǎn)可能會(huì)危及業(yè)務(wù)運(yùn)營(yíng)以及它的危害程度，他會(huì)使用該流程來(lái)對(duì)減輕風(fēng)險(xiǎn)的工作進(jìn)行優(yōu)先排序，并將這些轉(zhuǎn)化為最高的IT目標(biāo)。

例如，他認(rèn)為，鑒于有很多用戶在非常規(guī)時(shí)間也需要幫助，服務(wù)臺(tái)缺乏24小時(shí)的工作人員是一種不可接受的風(fēng)險(xiǎn);他正在實(shí)施聊天機(jī)器人來(lái)幫助降低這種風(fēng)險(xiǎn)。

與此同時(shí)，考慮到網(wǎng)絡(luò)攻擊的增加和網(wǎng)絡(luò)保險(xiǎn)費(fèi)的上漲，他正在與其他大學(xué)的領(lǐng)導(dǎo)一起評(píng)估安全協(xié)議和技術(shù)控制。

Forrester分析師也同意這種方法。“技術(shù)風(fēng)險(xiǎn)也是一種業(yè)務(wù)風(fēng)險(xiǎn)，”Forrester的基礎(chǔ)設(shè)施和運(yùn)營(yíng)高級(jí)分析師Naveen Chhabra說(shuō)。

根據(jù)Forrester的說(shuō)法，越來(lái)越多的組織建立了由首席信息官參與的風(fēng)險(xiǎn)委員會(huì)，以識(shí)別風(fēng)險(xiǎn)并建立風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)承受能力。這有助于指導(dǎo)首席信息官在IT領(lǐng)域內(nèi)需要做些什么，以便與這些參數(shù)保持一致。

Bryce Austin是一位經(jīng)驗(yàn)豐富的CIO和CISO，目前在擔(dān)任網(wǎng)絡(luò)安全咨詢公司TCE Strategy的首席執(zhí)行官，他同樣認(rèn)為CIO與其他高管在這方面的合作是有價(jià)值的。他指出，IT內(nèi)部的風(fēng)險(xiǎn)不僅會(huì)對(duì)現(xiàn)有的業(yè)務(wù)功能構(gòu)成風(fēng)險(xiǎn)，也會(huì)對(duì)未來(lái)的業(yè)務(wù)機(jī)會(huì)構(gòu)成風(fēng)險(xiǎn)。

這就是他建議首席信息官在考慮戰(zhàn)略規(guī)劃的同時(shí)考慮風(fēng)險(xiǎn)，并隨著環(huán)境的變化對(duì)二者進(jìn)行調(diào)整的原因之一。通過(guò)圍繞風(fēng)險(xiǎn)(如果發(fā)生的話)將如何損害戰(zhàn)略目標(biāo)展開(kāi)對(duì)話，首席信息官可以更好地確定他們對(duì)IT中每個(gè)風(fēng)險(xiǎn)的容忍度。

然而，另一方面，首席信息官也不能過(guò)于規(guī)避風(fēng)險(xiǎn)--尤其是現(xiàn)在，世界正在向前發(fā)展，并在為接下來(lái)的一切做好準(zhǔn)備，Rehberg說(shuō)。

“愿意采取非常大膽的行動(dòng)并愿意本著冒險(xiǎn)精神冒險(xiǎn)的首席信息官將長(zhǎng)期生存，”他說(shuō)。“技術(shù)現(xiàn)在是企業(yè)走向市場(chǎng)的一個(gè)戰(zhàn)略因素。這應(yīng)該有助于定義風(fēng)險(xiǎn)偏好以及幫助首席信息官確定應(yīng)該愿意做些什么。這是一個(gè)非常個(gè)性化的公司討論，一個(gè)業(yè)務(wù)和技術(shù)的聯(lián)合決策。"

Vázquez對(duì)此表示同意，并解釋說(shuō)他接受了他稱之為“風(fēng)險(xiǎn)設(shè)計(jì)”的概念--他會(huì)通過(guò)這種方法來(lái)確定風(fēng)險(xiǎn)領(lǐng)域，實(shí)施緩解措施，使這些風(fēng)險(xiǎn)達(dá)到可接受的水平，并在需要時(shí)進(jìn)行調(diào)整。這樣一來(lái)，他說(shuō)，業(yè)務(wù)得到了保護(hù)，IT也不會(huì)因?yàn)檫^(guò)于謹(jǐn)慎而浪費(fèi)資源。