这是一个熟悉的投诉:来自企业部门的高管了解新的,通常往往的云的产品,他们想尝试一下。只有他们不能,因为它已使这个美妙的新产品造成太多风险。令人沮丧的商业执行致力于妨碍进步。正如一位商业主管所说,这是“梦想去死的地方”。
问题可能不在于技术专业人士对创新产品的顽固厌恶。cio和其他专家一致认为,问题在于大多数组织没有一个现实的、平衡的或成熟的系统来评估和决策技术风险。尤其是实施新东西时的风险。
“通常在一系列业务范围内,有一些他们想要使用的SaaS产品,他们为它提供了一个商业案例:'这是通过使用它可能导致的所有好东西。它会制作我的号码。我可以从任何地方访问它,“”Gartner的分析师Jay Heiser说。
此时,要求确定有问题的软件是否安全使用。“然后开始禁止有些尝试来防止发生困难的事情,”他说。确保在发生违规事件时对任何损失的完整赔偿可能意味着将条款插入供应商的标准合同。“这些都是饼干制品;公司拥有30,000名客户。他们不会谈判合同,”他说。
接下来的问题是关于云提供商的安全实践,但是,Heiser说,很难或者不可能构建一个调查表来完全决定提供商是否会保证数据的安全。实地访问可能是有帮助的,但庞大的客户数量将使提供商不可能欢迎大多数客户。即使你站在提供商的设备旁,直视着它的服务器,你也无法访问编写代码的人。
简而言之,没有办法保证安全,尤其是基于云计算的产品。因此,IT专业人士往往采取最简单的方式,拒绝给予他们的认可,这反过来又为他们赢得了“梦想杀手”的名声。这是一种让各方都感到沮丧的局面,也是一种需要调整的时机已经成熟的局面。
但是改变它需要认真地重新思考业务如何与it一起工作以做出技术决策。这并不容易,但这里有一些地方可以开始。
1.让CIO从热门座位上
与任何一位首席信息官谈论技术风险的时间足够长,很可能会提到一家公司的名字:塔吉特(Target)。去年12月和今年1月,这家零售商遭遇了一起被广泛报道的数据泄露事件,总计1.1亿张信用卡被盗。假设所有信用卡都属于不同的人,这个数字相当于超过三分之一的美国人口。随着尘埃落定、诉讼四起,塔吉特公司(Target)首席信息官贝斯·雅各布斯(Beth Jacobs)递交辞呈,没有人感到意外。
根据《CIO》杂志2014年的《CIO状况》调查,雅各布斯担任首席信息官约6年,是首席信息官的平均任期。这是一个值得注意的事实,因为在它背后隐藏着一个更黑暗的事实:大多数首席信息官认为,只要有一次重大的技术失败,他们就会丢掉饭碗。“我不知道她是否做得好,但她被解雇了,”海瑟说。“实际上,如果有什么东西坏了,他们就会去找替罪羊。”他补充说,由于首席信息官们面临着这样的现实,很容易理解为什么他们中的大多数人会做出“极端保守的决定”。
“我们已经加密了我们的系统,我们定期审核东西,”一张CIO界定。“我们已经完成了绝对最好的,以确保从来没有违规行为。仍然,就像目标CIO一样,如果我留在这里足够长,就会有一个我被指责的情况。”
2.停止询问错误的问题
“我从Gartner的客户那里得到了很多问题,他们想要一个关于某些云系统是否‘安全’的明确解读,”Heiser说。“这是错误的答案,错误的问题。”
首先,没有一个完美的安全系统。“不可避免地,有些东西会出错,因为你是一个守门员,有时候人们会得分,”Kirshenbaum Bond Senecal +合作伙伴Cio Matt Powell表示,该广告公司总部位于纽约。“我们所做的就是谈论相对风险。”鲍威尔说,他据说国家安全局的立场姿势是,其所有系统都受到了100%的损害。如果一个具有传奇技术能力的政府机构,他建议,其他人也应该也应该。一旦你采取这种心态,他说:“这是一个有多少风险,以及多长时间。”
不幸的是,海塞尔说,“没有办法对风险进行概念化。”尽管包括高德纳(Gartner)在内的许多机构都曾试图了解风险概况和情况,但他表示,“没有好的方法来量化这一点。”“如果你能告诉企业,在任何一年,你的竞争对手都有5%的机会通过这项有统计数据支持的服务获得你的数据,你就可以据此做出决定,但这仍将是一个情绪化的决定。”
3.开始权衡风险和回报
如果你看到的都是新系统导致数据泄露或故障时可能发生的坏事情,那么就没有合理的办法做出好的决定。明智的IT管理方法需要权衡增加的风险与采用新技术的业务利益,以及不采用新技术而失去机会或竞争优势的业务风险。
故事在下一页继续>
风险
让法律决定
在降低技术风险时,有时法律可以成为你最好的朋友。例如,对于医疗领域的CIO,例如,健康保险流通和问责法(HIPAA)可以作为什么是且不可接受的风险的指导;它还可以为采取强大的安全姿态提供明确的论据。
“HIPAA主导了我们所做的一切,”绿色诊所杰森·托马斯(Jason Thomas)说,绿色诊所,一个全医师所有的设施,一个有六个卫星地点,其中六个卫星地点,LA。“我们用它来看看所有决定:这是来自哪里?是否有患者受到保护?我们是否在向其他人发送之前加密数据?如果我们发送它,他们是否与我们有业务协议,他们是符合HIPAA的吗?“
决定什么符合或不符合“hipaa标准”并不像人们想象的那么简单。托马斯说:“HIPAA有很多要求,但非常模糊。“它写于大约10年前,没有人真正知道它写了什么。这导致很多人在涉及HIPAA时要么非常宽松,要么非常严格。有些人不担心加密或审计他们的访问——他们的解释是,这并不适用。”
他说,绿色诊所归结在频谱的严格结束时,并且偶尔造成了与想要购买产品的供应商和医生的摩擦。“那里有很多销售代表,他们坦率地说并不总是在我们身边,”他说。
例如,绿色诊所的IT团队坚持使用所有患者数据的加密。“我们有一个X射线的设施,我们有一个供应商告诉我们他们会设置他们的工作站,安装他们的软件,这就是它需要留下来,”托马斯说。从他的角度来看,在无法管理或加密的方式下拥有设备现场处理患者数据是不可接受的。“我不能只有一个工作站掉在我的门和一切都是笼子里,”他说。
使用HIPAA坚持更高的安全标准,为托马斯和他的团队致力于解决。“我有一些供应商,他们已经完成了20年的方式,龙头一下,我们想要这样做,”他说。
HIPAA仅适用于落在其域名内的行业的大棒。但几乎每个行业都有州或联邦监管机构,它必须回答,超越该协议制度。例如,任何接受信用卡付款的组织必须符合支付卡行业数据安全标准(PCI DSS)。
然后有商业伙伴和客户的合同。例如,在广告公司Kirshenbaum债券Senecal +合伙人,首席信息官马特·鲍威尔可以参考客户合同的时候,他需要员工的积极性为基于云的新产品,以遏制。当创意团队最近寻求开始使用与Adobe Photoshop集成的基于云的成像系统时,Powell表示否,因为新软件将为提供者提供对客户端数据的访问。“如果它移出我们的生态系统,它会创造一个合同问题,”他说。更糟糕的是,一些云提供商有服务条款,使其提供重用任何上传数据的权利,这清楚地超出了属于客户的任何界限。
在这种情况下,鲍威尔可以通过例如从代理客户端获取合同的书面例外来找到解决方案。但这只有一些时间。“如果组织或技术提供者没有以提供适当的法律和技术保护的方式构建产品,则难以与该产品合作,”他说。
当发生这种情况时,内部对话可能很困难,但鲍威尔说这很容易达到他的观点:“我的回复是”,你喜欢你的薪水吗?它来自客户写信的客户,如果客户触发我们的客户违约,支付艰难。“
Minda Zetlin.
CIO如何,没有组织的大幅度视图及其战略,使这样的判断?他们最好得到这个大型景观,建议弗兰克·彼得斯马克,CIO倡导者在Marminton Hills,Mich,Mich。和前Cio,Amerisure保险,一个102岁的物业和伤亡公司,拥有更多6亿美元的直接保费,也位于Farmington Hills。“你必须将技术风险纳入业务术语,”他说。“如果有数据违约和客户的信息,他们会对它的感受如何?它将如何影响销售或盈利能力?”
这是新CIO角色的一部分。他表示:“首席信息官是从首席信息官1.0演变而来的,在灯光闪烁、我们不知道他们在干什么的房间里,就像一个技术人员。”“我认为,现在我们达到了CIO 6.0的水平,朝着与高管同事建立全面业务合作伙伴的目标迈进。您应该了解组织的业务领域以及在该领域工作的人员。原因很明显。现在,技术是促成者或阻碍者,这就是他们想要的那种IT领导者。”
4.建立一份技术风险档案
你的企业领袖,与贵公司的财务顾问工作,无疑确定了它们的“风险偏好”,也就是当它涉及到的投资 - 他们多少损失都愿意追求经济利益的风险。他们可能对他们的个人投资做了相同的事情。
现在是时候通过同一个镜头看技术了。Petersmark表明它可以去C套件并说:“我们已经思考了它,如果我们对风险有点开放,我们就可以在市场上做出更大的泼溅。我们希望你,先生。或首席执行官女士,帮助我们思考它,并在市场影响和业务收益之间向我们提供一系列的业务损失。“
他说,一个聪明的组织将采取这种方法,“而不是只是将它带到CIO,就像凯撒一样与角斗士,总是指向竖起大拇指或拇指向下。”
5.学会生活细节
“如果你想拥抱云计算,你就必须接受模棱两可,”但这需要一个成熟的组织,Heiser说。“如果做决定的人真正理解这是一个微妙的决定,在可接受的风险水平上运行是完全正确的,他们就可以做出好的决定。组织需要有一个健康的文化,能够处理模棱两可的决定。你不能让首席信息官认为,‘如果它坏了,那就是我的错。’”
如果出现问题,您还应该对可能发生的错误事件进行细注的观点,他会增加。目标的经验并非所有违规行为都是平等的。“大多数安全失败都没有注意到,生活越来越开心,”他说。
尽管如此,一些IT领导者,请小心保护其公司的网络和自己的工作,尽量靠近“安全”。“一些技术人员认为”可接受风险“的概念成为矛盾的人。他们是完美主义者,”他的首论是。在频谱的另一端是他所谓的“无花果叶片” - 认为提供的标准安全性可能已经足够好。
他说:“成功的组织能够处理好这种冲突。”“答案就在这两个极端之间。”
6.开始分享信贷和责任
经常管理技术风险的方式一个深刻的问题是良好的结果和不良结果的信誉并不相当分配。如果它批准了一个商业部门想要的新云服务,并且服务会增加销售或其他效益的底线,那么使用它的业务部门也可能会获得荣誉和财务奖励。另一方面,如果新系统导致安全失败或其他故障,它将得到所有责任。