成功的 CIO 所擁有的關鍵技能是將決策者的專注力導向正確的目標。針對資訊安全性與資訊科技(IT)兩者之間競爭資源的現象,本文提出幾種解決方案。
文/Bob Lewis‧譯/陳薇真
身為 CIO 的你想要長治久安嗎?你需要設定正確的優先順序。對於大多數 CIO 來說,此時此刻,平均的 5 大優先事項答案是:
- 安全性。
- 安全性。
- 安全性。
- 安全性。
- 不用說,就是安全性。
有沒有注意到這裡缺少了什麼?如果你的答案是「缺了很多東西」,恭喜你,答對了。
對於今日的 CIO 來說,安全性是一把雙面刃。刀鋒的一面是安全性投資不足。過去,在安全性方面投資太少意味著有更高的風險,可能導致嚴重的財務損失。
勒索軟體改變了遊戲規則。現在,對安全性投資不足意味著更有可能使企業關門大吉。
IT 領導人真正的風險
提醒一下,將 Digital 視為名詞(Digital-as-a-noun)是一件極為重要的事,這代表著利用 IT 來增加收入和競爭優勢。若 IT 投資不足,隨著時間的進展,更具侵略性的競爭對手將吃掉你的市佔率。
也就是說,你沒有選擇的餘地 ─ 冒著被一拳被打垮的風險,或者冒著失去客戶、市佔率和品牌影響力的風險,過程緩慢但帶來同樣致命的後果。
更具挑戰的是,有如這句風險管理格言所說的 ─「成功的風險管理以及沒壞事發生,兩者看起來沒兩樣」。這代表沒有人會鼓勵你和你的團隊做得很好,也不會有人詢問你需要什麼資源才能繼續保護公司的安全。
更慘的是,你的資訊安全計畫每成功一年,IT 預算審閱者就會覺得是你誇大了風險。
如果你不相信……想想千禧蟲危機。
你準備好聽聽最糟糕的嗎?
先不要絕望,你其實有其他選擇。有些還滿吸引人的,總比沮喪來得好。
一、誰是最大受益者
第一招,為「沒這回事」(NoSuch maneuver),這是一個簡稱,代表沒有 IT 計畫這回事。無論是否面臨資訊安全性挑戰,這都是很棒的概念。
這背後的理念是,所謂的「IT 計畫」實際上是「試圖讓企業的某些部門以不同的方式更順暢地運行」。在這種情況下,這些不再是 IT 計畫的資金不應該出自於 IT 預算,而應該由從中受益的部門提供預算。這樣一來,受益部門的預算就不會與 IT 資訊安全工作所需的預算衝突。
二、扣款方式的陷阱
第二招,扣款(Chargebacks)。如果貴公司的管理人用傳統的方式來處理 IT/業務關係,你可以透過歷史悠久的扣款機制,來避免資訊安全與業務價值競爭資源,這會將 IT 應用程式的服務成本轉移至業務部門,因為業務部門將使用他們要求 IT 開發和實施的項目。
「沒這回事」與「扣款策略」之間的區別很微妙,但很重要。當「沒有 IT 計畫這回事」時,IT 參與業務變革的角色是 ─ 身為尋找和支持商機的領導者,以及作為全面和平等的合作者,與業務部門一起實現願景。然而,當 IT 對其服務收費時,它就放棄了這樣的領導角色。相反,它將 IT 降級為單純的接單者。
三、另一種策略
這裡提供另一種選擇。建議將資訊安全責任重新分配給不需向你報告的小組。最好的受害者候選人是「企業風險管理」(ERM)和負責「業務連續性」計畫的人。
這個第三招名為 SEP 策略(SEP gambit,Someone Else’s Problem,以外行人的話來說,代表「這是別人的問題」)。它可能對整個企業沒有任何幫助,但從你自私的角度來看,將責任交給別人有很多好處,值得推薦。
它確實有助於一些商業利益。重新分配資訊安全的責任使其新任負責人能夠關注額外資金的需求,從而避免了人們對 IT 的刻板印象 ─ 人們通常認為 IT 是一個錢坑。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
這三種招式(「沒這回事」操作、扣款和 SEP 策略)有相同的目標。這可以避免資訊安全性和 IT 的投資兩者互相傾軋,試圖爭奪決策者的時間和注意力,同時,這也對決策者的資金決策有直接影響。
這是一項技能 ─ 能夠將決策者的專注力引導到正確的目標,而這是 CIO 成功的核心。
(本文授權非營利轉載,請註明出處:CIO Taiwan)