CIO們應(yīng)該特別關(guān)注的五大IT風(fēng)險(xiǎn)
從技術(shù)債務(wù)的不斷增加到云端的財(cái)務(wù)擔(dān)憂,IT領(lǐng)導(dǎo)者必須識(shí)別、調(diào)查并制定計(jì)劃,以管理若不加以控制可能會(huì)削弱其業(yè)務(wù)的幾個(gè)關(guān)鍵運(yùn)營風(fēng)險(xiǎn)。
作為數(shù)字化轉(zhuǎn)型的領(lǐng)導(dǎo)者和前CIO,我對(duì)潛在風(fēng)險(xiǎn)有一種健康的警覺,可以稱之為生存本能:那些可能破壞企業(yè)保持其使命并完成其目標(biāo)的風(fēng)險(xiǎn)必須不斷被揭示、評(píng)估,并采取措施減輕或管理這些風(fēng)險(xiǎn)。
企業(yè)的轉(zhuǎn)型速度是否足夠快?利益相關(guān)者是否在苦苦掙扎或不滿?敏捷團(tuán)隊(duì)是否因太多優(yōu)先事項(xiàng)而過度緊張?作為數(shù)字化先驅(qū),我的許多擔(dān)憂涉及可能破壞轉(zhuǎn)型的問題,但真正讓我夜不能寐的是運(yùn)營和安全風(fēng)險(xiǎn)。
許多這些問題屬于外部威脅的范疇,CIO必須投資于安全最佳實(shí)踐,并建立監(jiān)控和響應(yīng)計(jì)劃,以應(yīng)對(duì)這些問題的出現(xiàn)。盡管安全風(fēng)險(xiǎn)令人望而生畏,治療師提醒我們避免在控制范圍之外的領(lǐng)域過度緊張。CIO必須盡最大努力保護(hù)企業(yè),推動(dòng)投資和實(shí)踐,以盡量減少安全風(fēng)險(xiǎn)。
但運(yùn)營風(fēng)險(xiǎn)是另一回事,對(duì)可能出錯(cuò)的事情保持健康的警覺是有幫助的。許多運(yùn)營風(fēng)險(xiǎn)看似無害,但它們可能會(huì)瞬間顯現(xiàn),使IT陷入救火模式。在許多情況下,提出足夠多的“假設(shè)”問題并計(jì)劃出一系列情景,可以幫助你區(qū)分低影響的風(fēng)險(xiǎn)和值得投入資源來最小化或解決的高影響運(yùn)營風(fēng)險(xiǎn)。
雖然以下許多內(nèi)容看起來像是低風(fēng)險(xiǎn)運(yùn)營問題,但隨著時(shí)間的推移、增長或其他變化,它們可能變得難以管理。CIO應(yīng)關(guān)注這五個(gè)風(fēng)險(xiǎn),并在它們成為影響性問題之前尋求解決方案。
1. 來自關(guān)鍵任務(wù)系統(tǒng)的技術(shù)債務(wù)不斷增加
CIO有充分的理由為不斷增加的技術(shù)債務(wù)以及支持過時(shí)系統(tǒng)的影響感到擔(dān)憂。
“永遠(yuǎn)不要浪費(fèi)一次危機(jī)”是CIO們?cè)诳吹狡渌髽I(yè)的困境上新聞時(shí)對(duì)同行的建議。例如,美國新聯(lián)邦學(xué)生資助申請(qǐng)(FAFSA)計(jì)劃的推出延遲了一年,給許多尋求聯(lián)邦學(xué)費(fèi)援助的大學(xué)生造成了混亂。盡管許多人將此歸咎于國會(huì),但在管理該計(jì)劃時(shí)確實(shí)存在一些根本性問題,其中一個(gè)主要原因是此次重設(shè)計(jì)需要徹底改造20多個(gè)系統(tǒng),其中一些系統(tǒng)近50年沒有更新過。
其中包括用Cobol開發(fā)的系統(tǒng),這些系統(tǒng)連接了來自“令人眼花繚亂的多個(gè)機(jī)構(gòu)”的私人信息——這就是為什么政府問責(zé)辦公室在2019年將其列為十大最需要現(xiàn)代化的系統(tǒng)之一。
“遺留硬件系統(tǒng)是一個(gè)日益嚴(yán)重的問題,需要及時(shí)采取行動(dòng),”LeanTaaS的安全與合規(guī)總監(jiān)Bill Murphy說,“隨著這些系統(tǒng)的老化,雇主在獲取替換硬件和招聘具備維護(hù)所需技能的人員方面面臨困難。如果不及時(shí)解決技術(shù)債務(wù),可能會(huì)導(dǎo)致災(zāi)難性后果?!?/p>
CIO今天需要考慮的一個(gè)問題是,軟件開發(fā)中的代碼生成AI是否在增加代碼級(jí)別的技術(shù)債務(wù),或者,有機(jī)會(huì)使用代碼助手或低代碼能力的GenAI來簡化和減少代碼。
“企業(yè)在創(chuàng)新和競爭中嚴(yán)重依賴軟件,這往往充斥著劣質(zhì)代碼,導(dǎo)致技術(shù)債務(wù)不斷增加,”Sonar的CIO Andrea Malagodi說,“AI有可能加劇這一問題,因?yàn)樗c人類輸出一樣,產(chǎn)生的代碼存在安全性、可靠性和可維護(hù)性問題?!?/p>
CIO們面對(duì)不斷增加的技術(shù)債務(wù)時(shí),必須將警覺轉(zhuǎn)化為行動(dòng)計(jì)劃,傳達(dá)當(dāng)前的問題和未來的風(fēng)險(xiǎn)。一種方法是與董事會(huì)和執(zhí)行委員會(huì)確定并達(dá)成一些不可協(xié)商的事項(xiàng),概述在何種情況下應(yīng)優(yōu)先升級(jí)遺留系統(tǒng),而非其他業(yè)務(wù)目標(biāo)。
2. 團(tuán)隊(duì)壓力和倦怠
壓力和倦怠是CIO們應(yīng)該關(guān)注的嚴(yán)重問題,包括他們自己、團(tuán)隊(duì)成員和同事。例如,在2024年的CISO倦怠報(bào)告中,80%的CISO認(rèn)為自己“壓力很大”,63%的人表示在管理職責(zé)時(shí)幾乎沒有得到支持,50%的人報(bào)告稱由于工作壓力失去了團(tuán)隊(duì)成員。
安全角色中的壓力和倦怠是已知問題,因?yàn)檫@些角色的工作時(shí)間和從安全問題中恢復(fù)時(shí)的巨大壓力,這些壓力都需要盡量減少對(duì)業(yè)務(wù)的影響,但當(dāng)團(tuán)隊(duì)感受到交付能力、解決缺陷和跟上最新技術(shù)的壓力時(shí),devsecops角色也同樣充滿壓力。
現(xiàn)在,再加上數(shù)據(jù)、機(jī)器學(xué)習(xí)和AI,這些領(lǐng)域增加了整個(gè)企業(yè)的壓力。在數(shù)據(jù)連接報(bào)告中,三分之二的IT員工表示因需要訪問完成工作所需的數(shù)據(jù)而感到不堪重負(fù),81%的員工認(rèn)為同樣的情況也適用于他們所在企業(yè)的其他員工。
CIO們應(yīng)成為變革的推動(dòng)者——這可能會(huì)帶來壓力——同時(shí)采取主動(dòng)和持續(xù)的步驟來減少他們所在企業(yè)和整個(gè)公司的壓力。由于更高的業(yè)務(wù)期望交付新技術(shù)能力、引領(lǐng)變更管理活動(dòng)以及確保系統(tǒng)正常運(yùn)行,倦怠的風(fēng)險(xiǎn)會(huì)增加。CIO們應(yīng)提倡斷開連接和減少壓力的方法,例如改善溝通、簡化操作和設(shè)定現(xiàn)實(shí)目標(biāo)。
3. 破壞IT文化的監(jiān)控實(shí)踐
關(guān)于IT運(yùn)營壓力,CIO們需要關(guān)注的一個(gè)明確領(lǐng)域是監(jiān)控服務(wù)、警報(bào)應(yīng)用性能問題以及實(shí)現(xiàn)服務(wù)級(jí)別目標(biāo)(SLO)。一方面,IT運(yùn)營應(yīng)對(duì)系統(tǒng)是否有足夠的監(jiān)控和自動(dòng)化感到警覺,以確保系統(tǒng)運(yùn)行良好,不會(huì)因終端用戶升級(jí)問題和高管利益相關(guān)者表達(dá)不滿而出現(xiàn)問題。另一方面,過多的監(jiān)控工具、成千上萬的警報(bào)和定義不清的SLO會(huì)導(dǎo)致普遍的IT事件救火文化。
“工程團(tuán)隊(duì)浪費(fèi)了寶貴的時(shí)間追蹤警報(bào),”Logz.io的聯(lián)合創(chuàng)始人兼CTO Asaf Yigal建議道,“CIO們需要設(shè)定目標(biāo),確保關(guān)注于對(duì)底線有直接影響的應(yīng)用和基礎(chǔ)設(shè)施錯(cuò)誤,并將這些警報(bào)作為首要任務(wù)以獲得立即關(guān)注?!?/p>
作為CIO,我擔(dān)心在執(zhí)行會(huì)議上被報(bào)告的IT中斷,而監(jiān)控工具未能捕獲并且自動(dòng)化未能修復(fù)。我還擔(dān)心IT花在運(yùn)營上的時(shí)間比例不斷增加,這會(huì)削弱創(chuàng)新和轉(zhuǎn)型的努力。
CIO們應(yīng)使用這些指標(biāo)來判斷運(yùn)營上的警覺何時(shí)需要采取行動(dòng):
員工報(bào)告許多系統(tǒng)性能問題,而這些問題本應(yīng)被監(jiān)控捕獲。
網(wǎng)絡(luò)運(yùn)營中心(NOC)和站點(diǎn)可靠性工程師(SRE)正在應(yīng)對(duì)越來越多的警報(bào),且這些問題的平均恢復(fù)時(shí)間(MTTR)在增加。
高管們不愿意投資創(chuàng)新或與IT部門合作,因?yàn)樗麄冋J(rèn)為IT系統(tǒng)的表現(xiàn)不佳或?qū)嶋H上表現(xiàn)不佳。
面對(duì)日益增長的監(jiān)控工具和警報(bào),CIO們可能希望調(diào)查AIops解決方案,這些解決方案有助于集中觀測數(shù)據(jù)并使用機(jī)器學(xué)習(xí)將大量系統(tǒng)警報(bào)關(guān)聯(lián)到少量可管理的事件中。
4. 第三方數(shù)據(jù)泄露
CIO推動(dòng)數(shù)據(jù)驅(qū)動(dòng)型企業(yè)的AI策略和目標(biāo)導(dǎo)致了許多第三方合作伙伴、解決方案和SaaS工具的增加。安全和數(shù)據(jù)治理是一項(xiàng)日益嚴(yán)峻的挑戰(zhàn),根據(jù)2024年第三方風(fēng)險(xiǎn)管理研究,61%的公司報(bào)告了第三方數(shù)據(jù)泄露或安全事件,比去年增加了49%。
“要對(duì)第三方數(shù)據(jù)泄露和安全事件保持警惕,”Prevalent的COO兼首席戰(zhàn)略官Brad Hibbert警告說,“為了減少第三方重大數(shù)據(jù)泄露的風(fēng)險(xiǎn),自動(dòng)化你的第三方風(fēng)險(xiǎn)管理流程,圍繞統(tǒng)一的內(nèi)部控制評(píng)估和持續(xù)的網(wǎng)絡(luò)監(jiān)控,修正發(fā)現(xiàn)的問題,并利用新的AI工具簡化工作流程和風(fēng)險(xiǎn)分析?!?/p>
鑒于托管企業(yè)數(shù)據(jù)的系統(tǒng)數(shù)量不斷增加,變化的速度加快,以及SaaS提供商頻繁更改服務(wù)條款,CIO們完全有理由保持警惕。根據(jù)AI at work脈動(dòng)調(diào)查,GenAI是一個(gè)新的催化劑,54%的員工表示他們依賴AI工具,而51%的員工稱他們的經(jīng)理鼓勵(lì)使用AI。在許多企業(yè)中,添加SaaS和GenAI工具的速度超過了IT、信息安全和數(shù)據(jù)治理的努力。同時(shí),根據(jù)第三方風(fēng)險(xiǎn)管理研究,企業(yè)只管理了三分之一的供應(yīng)商的風(fēng)險(xiǎn)。
“考慮到全球第三方企業(yè)數(shù)量的增加,一旦數(shù)據(jù)離開企業(yè),使用傳統(tǒng)安全方法保護(hù)邊界就變得無效,”Seclore的CEO兼聯(lián)合創(chuàng)始人Vishal Gupta說,“保護(hù)網(wǎng)絡(luò)邊界的方法已不再足夠,安全團(tuán)隊(duì)必須改為采用以數(shù)據(jù)為中心的主動(dòng)安全方法,通過圍繞數(shù)據(jù)本身進(jìn)行保護(hù)?!?/p>
在與業(yè)務(wù)領(lǐng)導(dǎo)討論影子IT和公民數(shù)據(jù)科學(xué)治理時(shí),我經(jīng)常引用超人諺語,“能力越大,責(zé)任越大?!痹S多人希望從分析和機(jī)器學(xué)習(xí)中獲得所有好處,但在采用主動(dòng)數(shù)據(jù)治理方面行動(dòng)緩慢。再加上對(duì)GenAI助手的追求,CIO們有更多的理由在今天的警惕變成明天的業(yè)務(wù)危機(jī)之前加強(qiáng)數(shù)據(jù)治理。
5. 不斷增加的云債務(wù)
在過去的十年里,CIO們將IT基礎(chǔ)設(shè)施從數(shù)據(jù)中心轉(zhuǎn)變?yōu)榛旌显坪投嘣?,同時(shí)使用devops自動(dòng)化來賦能敏捷開發(fā)和數(shù)據(jù)科學(xué)團(tuán)隊(duì)自助解決基礎(chǔ)設(shè)施需求。根據(jù)AAG2024年6月的云計(jì)算統(tǒng)計(jì)數(shù)據(jù),89%的企業(yè)報(bào)告使用多云解決方案,82%的企業(yè)報(bào)告管理云支出已成為首要任務(wù)。
SADA的首席FinOps財(cái)務(wù)分析師Robin Roacho說:“CIO們應(yīng)注意不斷增加的云成本是否有明確的理由?!辈⒔ㄗh:
在建立成本所有權(quán)時(shí),確保資源已被標(biāo)記和標(biāo)簽化。
確認(rèn)財(cái)務(wù)模型準(zhǔn)確解釋了預(yù)算與實(shí)際的差異。
培養(yǎng)審核現(xiàn)有工作負(fù)載以進(jìn)行優(yōu)化和現(xiàn)代化的方法。
當(dāng)出現(xiàn)意外支出時(shí),創(chuàng)建或調(diào)整警報(bào)系統(tǒng)。
AI工作負(fù)載會(huì)增加額外的消耗,特別是對(duì)于那些開發(fā)大型語言模型(LLM)能力的企業(yè)。例如,有一個(gè)基準(zhǔn)報(bào)告顯示,在AWS推薦的默認(rèn)實(shí)例上托管LLM Falcon 180B每月將至少花費(fèi)23000美元。
盡管公有云報(bào)告了短期的云計(jì)算成本,CIO可以部署FinOps最佳實(shí)踐來治理和管理云計(jì)算成本,但碳影響是另一個(gè)需要考慮的挑戰(zhàn)。
Fusion Fund的創(chuàng)始人兼管理合伙人Lu Zhang分享說,2022年AI技術(shù)消耗了大約460太瓦時(shí)的電力。Zhang說,“這些數(shù)字突顯了一個(gè)日益嚴(yán)重的問題,如果AI要成為可持續(xù)未來的一部分,這個(gè)問題必須得到解決。展望未來,不斷改進(jìn)AI算法和將可再生能源整合到數(shù)據(jù)中心是至關(guān)重要的。”
Mastek的CIO Mahesh Juttiyavar建議,“通過FinOps,我們防止了云成本的意外,同時(shí)堅(jiān)持ESG原則,以實(shí)現(xiàn)可持續(xù)和負(fù)責(zé)任的IT未來。這種整體策略確保了韌性和長期成功。”
當(dāng)我們考慮當(dāng)今CIO繼承的技術(shù)債務(wù)時(shí),它們是前任們理性商業(yè)決策的副產(chǎn)品,以及治理和管理其長期影響的斗爭。今天,圍繞壓力文化、數(shù)據(jù)泄露、IT運(yùn)營需求和云基礎(chǔ)設(shè)施消耗的短期思維可能成為新的危機(jī)前沿。CIO們應(yīng)該對(duì)這些不斷增加的風(fēng)險(xiǎn)保持警惕,平衡速度、敏捷性和創(chuàng)新與謹(jǐn)慎的風(fēng)險(xiǎn)管理實(shí)踐。