CIO們應(yīng)該特別關(guān)注的五大IT風(fēng)險
從技術(shù)債務(wù)的不斷增加到云端的財務(wù)擔(dān)憂,IT領(lǐng)導(dǎo)者必須識別、調(diào)查并制定計劃,以管理若不加以控制可能會削弱其業(yè)務(wù)的幾個關(guān)鍵運營風(fēng)險。
作為數(shù)字化轉(zhuǎn)型的領(lǐng)導(dǎo)者和前CIO,我對潛在風(fēng)險有一種健康的警覺,可以稱之為生存本能:那些可能破壞企業(yè)保持其使命并完成其目標(biāo)的風(fēng)險必須不斷被揭示、評估,并采取措施減輕或管理這些風(fēng)險。
企業(yè)的轉(zhuǎn)型速度是否足夠快?利益相關(guān)者是否在苦苦掙扎或不滿?敏捷團隊是否因太多優(yōu)先事項而過度緊張?作為數(shù)字化先驅(qū),我的許多擔(dān)憂涉及可能破壞轉(zhuǎn)型的問題,但真正讓我夜不能寐的是運營和安全風(fēng)險。
許多這些問題屬于外部威脅的范疇,CIO必須投資于安全最佳實踐,并建立監(jiān)控和響應(yīng)計劃,以應(yīng)對這些問題的出現(xiàn)。盡管安全風(fēng)險令人望而生畏,治療師提醒我們避免在控制范圍之外的領(lǐng)域過度緊張。CIO必須盡最大努力保護企業(yè),推動投資和實踐,以盡量減少安全風(fēng)險。
但運營風(fēng)險是另一回事,對可能出錯的事情保持健康的警覺是有幫助的。許多運營風(fēng)險看似無害,但它們可能會瞬間顯現(xiàn),使IT陷入救火模式。在許多情況下,提出足夠多的“假設(shè)”問題并計劃出一系列情景,可以幫助你區(qū)分低影響的風(fēng)險和值得投入資源來最小化或解決的高影響運營風(fēng)險。
雖然以下許多內(nèi)容看起來像是低風(fēng)險運營問題,但隨著時間的推移、增長或其他變化,它們可能變得難以管理。CIO應(yīng)關(guān)注這五個風(fēng)險,并在它們成為影響性問題之前尋求解決方案。
1. 來自關(guān)鍵任務(wù)系統(tǒng)的技術(shù)債務(wù)不斷增加
CIO有充分的理由為不斷增加的技術(shù)債務(wù)以及支持過時系統(tǒng)的影響感到擔(dān)憂。
“永遠不要浪費一次危機”是CIO們在看到其他企業(yè)的困境上新聞時對同行的建議。例如,美國新聯(lián)邦學(xué)生資助申請(FAFSA)計劃的推出延遲了一年,給許多尋求聯(lián)邦學(xué)費援助的大學(xué)生造成了混亂。盡管許多人將此歸咎于國會,但在管理該計劃時確實存在一些根本性問題,其中一個主要原因是此次重設(shè)計需要徹底改造20多個系統(tǒng),其中一些系統(tǒng)近50年沒有更新過。
其中包括用Cobol開發(fā)的系統(tǒng),這些系統(tǒng)連接了來自“令人眼花繚亂的多個機構(gòu)”的私人信息——這就是為什么政府問責(zé)辦公室在2019年將其列為十大最需要現(xiàn)代化的系統(tǒng)之一。
“遺留硬件系統(tǒng)是一個日益嚴(yán)重的問題,需要及時采取行動,”LeanTaaS的安全與合規(guī)總監(jiān)Bill Murphy說,“隨著這些系統(tǒng)的老化,雇主在獲取替換硬件和招聘具備維護所需技能的人員方面面臨困難。如果不及時解決技術(shù)債務(wù),可能會導(dǎo)致災(zāi)難性后果?!?/p>
CIO今天需要考慮的一個問題是,軟件開發(fā)中的代碼生成AI是否在增加代碼級別的技術(shù)債務(wù),或者,有機會使用代碼助手或低代碼能力的GenAI來簡化和減少代碼。
“企業(yè)在創(chuàng)新和競爭中嚴(yán)重依賴軟件,這往往充斥著劣質(zhì)代碼,導(dǎo)致技術(shù)債務(wù)不斷增加,”Sonar的CIO Andrea Malagodi說,“AI有可能加劇這一問題,因為它與人類輸出一樣,產(chǎn)生的代碼存在安全性、可靠性和可維護性問題。”
CIO們面對不斷增加的技術(shù)債務(wù)時,必須將警覺轉(zhuǎn)化為行動計劃,傳達當(dāng)前的問題和未來的風(fēng)險。一種方法是與董事會和執(zhí)行委員會確定并達成一些不可協(xié)商的事項,概述在何種情況下應(yīng)優(yōu)先升級遺留系統(tǒng),而非其他業(yè)務(wù)目標(biāo)。
2. 團隊壓力和倦怠
壓力和倦怠是CIO們應(yīng)該關(guān)注的嚴(yán)重問題,包括他們自己、團隊成員和同事。例如,在2024年的CISO倦怠報告中,80%的CISO認為自己“壓力很大”,63%的人表示在管理職責(zé)時幾乎沒有得到支持,50%的人報告稱由于工作壓力失去了團隊成員。
安全角色中的壓力和倦怠是已知問題,因為這些角色的工作時間和從安全問題中恢復(fù)時的巨大壓力,這些壓力都需要盡量減少對業(yè)務(wù)的影響,但當(dāng)團隊感受到交付能力、解決缺陷和跟上最新技術(shù)的壓力時,devsecops角色也同樣充滿壓力。
現(xiàn)在,再加上數(shù)據(jù)、機器學(xué)習(xí)和AI,這些領(lǐng)域增加了整個企業(yè)的壓力。在數(shù)據(jù)連接報告中,三分之二的IT員工表示因需要訪問完成工作所需的數(shù)據(jù)而感到不堪重負,81%的員工認為同樣的情況也適用于他們所在企業(yè)的其他員工。
CIO們應(yīng)成為變革的推動者——這可能會帶來壓力——同時采取主動和持續(xù)的步驟來減少他們所在企業(yè)和整個公司的壓力。由于更高的業(yè)務(wù)期望交付新技術(shù)能力、引領(lǐng)變更管理活動以及確保系統(tǒng)正常運行,倦怠的風(fēng)險會增加。CIO們應(yīng)提倡斷開連接和減少壓力的方法,例如改善溝通、簡化操作和設(shè)定現(xiàn)實目標(biāo)。
3. 破壞IT文化的監(jiān)控實踐
關(guān)于IT運營壓力,CIO們需要關(guān)注的一個明確領(lǐng)域是監(jiān)控服務(wù)、警報應(yīng)用性能問題以及實現(xiàn)服務(wù)級別目標(biāo)(SLO)。一方面,IT運營應(yīng)對系統(tǒng)是否有足夠的監(jiān)控和自動化感到警覺,以確保系統(tǒng)運行良好,不會因終端用戶升級問題和高管利益相關(guān)者表達不滿而出現(xiàn)問題。另一方面,過多的監(jiān)控工具、成千上萬的警報和定義不清的SLO會導(dǎo)致普遍的IT事件救火文化。
“工程團隊浪費了寶貴的時間追蹤警報,”Logz.io的聯(lián)合創(chuàng)始人兼CTO Asaf Yigal建議道,“CIO們需要設(shè)定目標(biāo),確保關(guān)注于對底線有直接影響的應(yīng)用和基礎(chǔ)設(shè)施錯誤,并將這些警報作為首要任務(wù)以獲得立即關(guān)注?!?/p>
作為CIO,我擔(dān)心在執(zhí)行會議上被報告的IT中斷,而監(jiān)控工具未能捕獲并且自動化未能修復(fù)。我還擔(dān)心IT花在運營上的時間比例不斷增加,這會削弱創(chuàng)新和轉(zhuǎn)型的努力。
CIO們應(yīng)使用這些指標(biāo)來判斷運營上的警覺何時需要采取行動:
員工報告許多系統(tǒng)性能問題,而這些問題本應(yīng)被監(jiān)控捕獲。
網(wǎng)絡(luò)運營中心(NOC)和站點可靠性工程師(SRE)正在應(yīng)對越來越多的警報,且這些問題的平均恢復(fù)時間(MTTR)在增加。
高管們不愿意投資創(chuàng)新或與IT部門合作,因為他們認為IT系統(tǒng)的表現(xiàn)不佳或?qū)嶋H上表現(xiàn)不佳。
面對日益增長的監(jiān)控工具和警報,CIO們可能希望調(diào)查AIops解決方案,這些解決方案有助于集中觀測數(shù)據(jù)并使用機器學(xué)習(xí)將大量系統(tǒng)警報關(guān)聯(lián)到少量可管理的事件中。
4. 第三方數(shù)據(jù)泄露
CIO推動數(shù)據(jù)驅(qū)動型企業(yè)的AI策略和目標(biāo)導(dǎo)致了許多第三方合作伙伴、解決方案和SaaS工具的增加。安全和數(shù)據(jù)治理是一項日益嚴(yán)峻的挑戰(zhàn),根據(jù)2024年第三方風(fēng)險管理研究,61%的公司報告了第三方數(shù)據(jù)泄露或安全事件,比去年增加了49%。
“要對第三方數(shù)據(jù)泄露和安全事件保持警惕,”Prevalent的COO兼首席戰(zhàn)略官Brad Hibbert警告說,“為了減少第三方重大數(shù)據(jù)泄露的風(fēng)險,自動化你的第三方風(fēng)險管理流程,圍繞統(tǒng)一的內(nèi)部控制評估和持續(xù)的網(wǎng)絡(luò)監(jiān)控,修正發(fā)現(xiàn)的問題,并利用新的AI工具簡化工作流程和風(fēng)險分析?!?/p>
鑒于托管企業(yè)數(shù)據(jù)的系統(tǒng)數(shù)量不斷增加,變化的速度加快,以及SaaS提供商頻繁更改服務(wù)條款,CIO們完全有理由保持警惕。根據(jù)AI at work脈動調(diào)查,GenAI是一個新的催化劑,54%的員工表示他們依賴AI工具,而51%的員工稱他們的經(jīng)理鼓勵使用AI。在許多企業(yè)中,添加SaaS和GenAI工具的速度超過了IT、信息安全和數(shù)據(jù)治理的努力。同時,根據(jù)第三方風(fēng)險管理研究,企業(yè)只管理了三分之一的供應(yīng)商的風(fēng)險。
“考慮到全球第三方企業(yè)數(shù)量的增加,一旦數(shù)據(jù)離開企業(yè),使用傳統(tǒng)安全方法保護邊界就變得無效,”Seclore的CEO兼聯(lián)合創(chuàng)始人Vishal Gupta說,“保護網(wǎng)絡(luò)邊界的方法已不再足夠,安全團隊必須改為采用以數(shù)據(jù)為中心的主動安全方法,通過圍繞數(shù)據(jù)本身進行保護?!?/p>
在與業(yè)務(wù)領(lǐng)導(dǎo)討論影子IT和公民數(shù)據(jù)科學(xué)治理時,我經(jīng)常引用超人諺語,“能力越大,責(zé)任越大?!痹S多人希望從分析和機器學(xué)習(xí)中獲得所有好處,但在采用主動數(shù)據(jù)治理方面行動緩慢。再加上對GenAI助手的追求,CIO們有更多的理由在今天的警惕變成明天的業(yè)務(wù)危機之前加強數(shù)據(jù)治理。
5. 不斷增加的云債務(wù)
在過去的十年里,CIO們將IT基礎(chǔ)設(shè)施從數(shù)據(jù)中心轉(zhuǎn)變?yōu)榛旌显坪投嘣?,同時使用devops自動化來賦能敏捷開發(fā)和數(shù)據(jù)科學(xué)團隊自助解決基礎(chǔ)設(shè)施需求。根據(jù)AAG2024年6月的云計算統(tǒng)計數(shù)據(jù),89%的企業(yè)報告使用多云解決方案,82%的企業(yè)報告管理云支出已成為首要任務(wù)。
SADA的首席FinOps財務(wù)分析師Robin Roacho說:“CIO們應(yīng)注意不斷增加的云成本是否有明確的理由?!辈⒔ㄗh:
在建立成本所有權(quán)時,確保資源已被標(biāo)記和標(biāo)簽化。
確認財務(wù)模型準(zhǔn)確解釋了預(yù)算與實際的差異。
培養(yǎng)審核現(xiàn)有工作負載以進行優(yōu)化和現(xiàn)代化的方法。
當(dāng)出現(xiàn)意外支出時,創(chuàng)建或調(diào)整警報系統(tǒng)。
AI工作負載會增加額外的消耗,特別是對于那些開發(fā)大型語言模型(LLM)能力的企業(yè)。例如,有一個基準(zhǔn)報告顯示,在AWS推薦的默認實例上托管LLM Falcon 180B每月將至少花費23000美元。
盡管公有云報告了短期的云計算成本,CIO可以部署FinOps最佳實踐來治理和管理云計算成本,但碳影響是另一個需要考慮的挑戰(zhàn)。
Fusion Fund的創(chuàng)始人兼管理合伙人Lu Zhang分享說,2022年AI技術(shù)消耗了大約460太瓦時的電力。Zhang說,“這些數(shù)字突顯了一個日益嚴(yán)重的問題,如果AI要成為可持續(xù)未來的一部分,這個問題必須得到解決。展望未來,不斷改進AI算法和將可再生能源整合到數(shù)據(jù)中心是至關(guān)重要的。”
Mastek的CIO Mahesh Juttiyavar建議,“通過FinOps,我們防止了云成本的意外,同時堅持ESG原則,以實現(xiàn)可持續(xù)和負責(zé)任的IT未來。這種整體策略確保了韌性和長期成功?!?/p>
當(dāng)我們考慮當(dāng)今CIO繼承的技術(shù)債務(wù)時,它們是前任們理性商業(yè)決策的副產(chǎn)品,以及治理和管理其長期影響的斗爭。今天,圍繞壓力文化、數(shù)據(jù)泄露、IT運營需求和云基礎(chǔ)設(shè)施消耗的短期思維可能成為新的危機前沿。CIO們應(yīng)該對這些不斷增加的風(fēng)險保持警惕,平衡速度、敏捷性和創(chuàng)新與謹(jǐn)慎的風(fēng)險管理實踐。