由於對企業的成功和存活,科技扮演著愈來愈重要的角色,因此IT主管也在企業業務的挑戰和機會上,擔負起更重要也更具策略性的角色。
文/Mary K. Pratt‧譯/潘得龍
面對不同的問題,Antonio Vázquez 總是能看出其中的機會。
自 2021 年 1 月開始,Vázquez擔任商用軟體開發公司 Bizagi 的首任資訊長。他列出了一串長長的可能問題清單,像是:資訊安全、資料隱私權、法規遵從、供應商關係、成本管控、員工能否存取系統的權限、員工管理,以及IT專案管理等。
Vázquez思索著,要如何才能讓員工理解以及遵守公司的網路安全政策和規定;另外不論是外部合作的製造商或供應商,都必須要能將他們的系統現代化水準,拉高到符合Bizagi公司的要求。雖然這麼做可能會讓供應商的成本提升,亦或是考量系統轉型的投資是否符合客戶使用體驗;但如果未能達到目標,就可能損害Bizagi與客戶之間的關係。
Vázquez表示:「當我們開始思考專案、合約或是新流程的時候,也同時必須考量到風險高低。過去一年來的經歷告訴我們,各式各樣的風險,都可能隨時隨地出現。」
[ 推薦閱讀: 降低數位轉型的隱藏風險 ]
Vázquez進一步指出:「企業的前景已經產生了許多改變。在兩年以前,我們還覺得每樣事情都在控制之中。現在我們看到情況已經不是如此,即使已經訂定了最好的文件以及標準都沒用;忽然之間,每樣事情都改變了。」
對於企業主管們鑑定風險與對風險的容忍程度,其實並沒有什麼新鮮內容可談。但是企業所面對風險的類型卻改變了 ─ 改變的是風險強度。這強迫了許多企組織必須更頻繁地評估風險,以及重新評估他們能接受承受風險的臨界值為何。
在這些重大議題的討論中,資訊長的角色正不斷進化。由於疫情和最近其他一些突發性事件,科技對於企業的成敗變得愈來愈為重要。這讓資訊長們的任務清單中,包含了評估新的風險範圍以及重新設定風險因應方式、對於風險的容忍程度以及臨界值;因為這些改變都是用來因應疫情之後的世界,其所帶來的新挑戰和新商機。
Vázquez說:「這得看你能承受多大的風險,而且會因個別計畫與處理流程會有所不同。對資訊長們而言,眾多事物都已產生了變化。在疫情之後,也會發現許多與風險有關的參數,都改變了。」
面對IT風險的全新紀元
由於資訊長必須面對比之前高出更多的風險,因此後續如不慎做出錯誤判斷,也將可能帶來更高的風險。現在的企業組織已經成為完全依賴強大的電腦系統來執行業務相關功能,所以如果被迫回到紙筆的人工處理方式,會是企業無法接受的選擇。
資訊長必須要能正確地評估風險,這當中必然牽涉到許多考量因素。
資訊安全的風險,會是資訊長處理清單中的首要選項。在 2020 年春季之後的勒索軟體攻擊潮,以及 2021 年 5 月針對美國燃油業者 Colonial Pipeline 未被保護的 VPN 進行攻擊,都提高了資訊長們在資訊安全風險領域的挑戰。
資訊長們也更加專注於企業的風險管理。隨著更多政府規範與法規遵從的要求,像是「被遺忘權」(Right to be forgotten,要求刪除個資)等,都會要求企業必須精確地知道資料的存放位置所在。
[ 推薦閱讀: 資安長2021年新職責 從風險減緩到業務促進 ]
波士頓諮詢公司 (Boston Consulting Group) 行政總監暨資深合夥人 Benjamin Rehberg 解釋:「這些關於企業的科技願景、架構,以及企業裡的所有應用程式,在無法確認其中是否來自真正可信任的來源,或是貴公司系統是否存取來自單一可信任資料來源的情形下,所面臨的風險也會愈高。」
與舊系統有關的風險,通常會被放在最優先的處理對象。由於疫情讓相關風險更加顯著,隨著企業組織有遠端系統存取的需求,因此採用雲端解決方案來取代舊技術;而新的商業模式,通常就可能被卡在這些舊系統上無法實現。
另一方面,對於系統現代化和轉型的投入,是因應企業所要達成的目標,而加快了投資腳步,但也因此產生了資訊長必須仔細考量的可能風險。
Scrum.org 營運長 Eric Naiburg 表示:「我們通常會把推動的速度愈加愈快,但沒有花時間即時取得來自相關人士的回饋 ─ 這將會是一個風險。由於團隊向前持續推進,想要回頭修改系統時會變得更不容易。因為如果與利益關係人的目標不同,就需要重新修改架構,這會產生極大的延誤。」
[ 加入 CIO Taiwan 官方 LINE 與 FB ,與全球CIO同步獲取精華見解 ]
與廠商相關的風險,也是資訊長要注意的問題,像是發生在 2020 年引人注目的 SolarWinds 供應鏈攻擊事件,就顯示了IT技術供應商可能對企業的採購,甚或是整體組織產生多大的問題。另外也要考量來自企業生態系統的風險,像是由服務管理供應商以及企業夥伴所提供的內容。例如,雲端供應商無法提供足夠的系統服務水準,而那個供應商又是負責重要的系統時,就會對資訊長產生重大的風險。
根據Forrester的分析師 Alla Valente 的看法,與資料完整性有關的風險,也爬升到管控清單排行前幾名。企業組織愈來愈依賴資料進行決策的制定、自動化以及商業智慧系統等。如此一來,已經看到企業對本來就沒要求完美的資料完整性,還得容忍再降低要求等級的情況。
接著是企業外部系統性的風險,像是颱風、火災、經濟衰退與疫情爆發等。
根據對分析師、執行顧問,與相關主題的資訊長訪談中顯示,資訊長如何面對這些風險,每個企業組織的反應都有不同之處。主要是資訊長必須與同事合作制定疫情之後的戰略,同時更加頻繁地檢視相關的問題,並沒有一個制式的答案作為標準。
Naiburg 說:「大家必須從目前發生的事情中學習,然後適應,以及決定如何避免風險。」
考量企業策略風險時所應遵循的商業脈絡
Saby Waraich 是美國俄勒岡州Clackmas社區學院的資訊長,當提到有關風險問題的時候,他提供了一個類似表列所有風險的盤點清單。跟許多人意見類似的地方是,他指出企業對於風險的容忍度,會根據不同的因素而有所變化。像是Clackmas學院最近發生的一次火災,讓Waraich開始重新考慮學院資料中心可能面對的風險。
從資訊長的角色進行考量之後,Waraich看到各項與IT部門有關的因素,而這些因素都交互影響著企業組織的運作。他說:「現在已沒有所謂的單純IT風險。我們必須改變傳統的觀念,重新修改問題,問自己『什麼才是企業組織會面對的風險?』」
畢竟,如果資料中心失火了,就不只是IT部門受到影響;IT系統如果停擺,可能會讓整個企業組織癱瘓好一陣子。
Waraich補充說:「所以如果IT部門仍採取以自我為中心的態度來評估這些風險,那麼對企業組織整體的貢獻就不會太高。如從過於自我的角度出發,資訊長仍然能做出一些決定,但是這些決定可能無法完全符合組織的需求,因此也不能稱得上是正確的決定。」
疫情強化了需要整體思考的力道,Waraich說:「僅僅兩年以前,企業還會把較多的關注放在科技,以及與科技有關的風險評估上。但疫情讓資訊長們清醒過來,得以將焦點放在企業組織的整體風險上,以推動企業組織能夠整體順利運作為優先考量。」
Waraich從企業整體角度出發來評估風險,思考相關的問題,以及錯誤發生的原因。不論錯誤產生的原因,是源自於資料中心,亦或是在某項新改革措施上,都有可能會影響企業組織功能,以及組織的整體運作。
接著Waraich找出了那些風險可能危害企業組織的運作、危害的程度,以及使用什麼流程可優先應用在工作上;進而克服這類風險,再將這些流程內容轉移到IT部門的優先應對目標上。像是Waraich看到在服務中心缺乏足夠的人力,無法全天輪值,他認為這是無法接受的風險。因為還是會有許多的企業內外使用者,需要IT部門在非上班時間為使用者提供服務,因此Waraich建置了聊天機器人,協助處理這樣的風險。
同時,Waraich與其他的主管同仁一起評估,在網路攻擊以及網路安全優先性升高的情況下,相關的安全協定以及技術控制。Forrester基礎架構與企業營運資深分析師 Naveen Chhabra 同意這樣的作法,並指出科技風險也是企業組織風險的一種。根據 Forrester 的資料顯示,愈來愈多企業組織組成了風險管理委員會,其中有資訊長參與,其主要角色是協助鑑別風險,以及建立風險的評估和容忍能力。這樣的架構,可以協助提供資訊長方向,有那些與IT有關的問題需要處理,以及有那些需要與其他因素一同考量。
Bryce Austin 是一位資深的企業資訊長與資安長,目前任職於 TCE Strategy 網路安全顧問公司。在風險控管議題上,他也看出了資訊長與其他企業主管共同合作的價值。Austin表示,在關注IT部門可能形成的危機時,不能只著重在已存在的企業組織功能,同時也要呈現出未來企業組織可能會產生的風險。
這也是Austin建議資訊長應當配合企業策略,仔細思考有關風險問題的原因之一。根據這樣的思考原則,因應環境的變化來調和兩者。透過對話來勾勒出可能風險,如果大家共同同意,某些風險會危害到策略目標,資訊長比較能夠確認在IT部門的容忍程度。然而Rehberg表示,在另一方面,資訊長無法對風險完全抱持著負面態度 ─ 特別是目前,當全世界持續往前準備迎接接下來可能發生各式各樣的事情。
Rehberg表示:「願意大膽向前並承擔風險的CIO終究能夠在業界有更長遠的發揮。目前的科技,是一種如何讓業務進入到市場的策略因素,有助於定義風險的趨勢,以及資訊長能夠執行的內容。不過這是根據不同的公司的討論結果而有很大差異,結合了業務與科技所做的決定。」
Vázquez同意,並且解釋擁抱其稱之為「設計風險」的概念 ─ 藉由識別風險的範圍,然後建置緩解措施,這個方法將風險控制在可接受的程度,並且隨時根據需求進行調整。Vázquez說,這樣一方面讓企業組織可以受到保護;另一方面,也不會由於過度謹慎而浪費IT資源。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
