要安全獲得轉型技術的好處,必須具備跨領域的新風險管理技術。
文/Bob Violino 譯/林麗冠
企業適應新的工作、員工管理和服務客戶方式時,會尋求盡可能獲得任何技術驅動的優勢。他們正邁出更大的步伐,朝著雲端、電子商務、數位供應鏈、人工智慧(AI)和機器學習(ML)、資料分析以及其他可以提供效率和創新的領域前進。
同時,企業開始嘗試管理風險──創造新機會的數位計畫也可能導致安全漏洞、法規遵循問題和其他挫敗等風險。結果造成創新的需求與降低風險的需求之間存在持續性的衝突。
[CIO都在讀: 運用技術路線圖做好管理數位轉型的計畫 ]
「關於管理風險和參與數位轉型工作,總是會有某種程度的緊張關係,」醫療保健供應商 Intermountain Healthcare 的資訊長 Ryan Smith 表示。
「隨著組織轉而提升對消費者和員工提供關於個人和企業導向資訊的數位存取層級,此舉也創造了有別於傳統營運方式、必須加以減輕的全新形式風險,」Smith表示。「這些透過數位轉型實現的新參與模式,需要不同的風險管理方法。」
在四個關鍵領域中,數位轉型行動可能會帶來風險,以下說明這四個關鍵領域,以及組織可以如何處理。
一、多雲或混合雲基礎架構
愈來愈多組織開始轉向由多雲端服務(通常來自多個供應商)支援的IT環境,這可能包括軟體即服務(SaaS)、平台即服務(PaaS)或基礎架構即服務(IaaS)產品。
無論採用哪種類型的雲端,在組織的自身防禦範圍外代管重要資料和應用程式,會帶來相當大的風險,尤其是如果涉及多個位置、服務或供應商。除了資料遺失或失竊之外,企業還可能遇到資料隱私規範方面的問題,更不用說由於雲端管理做法不當而導致的成本超支風險。
「我們這裡看到的最常見風險涉及雲端環境的管理:哪個雲端供應商?哪種協定?開發環境的建立、利用和規模等門檻值,以供充分使用,」技術研究與諮詢公司ISG的合夥人 Ola Chowning 表示,並且補充說,在一開始就處理這類治理問題,要比事後實施容易得多。
[CIO都在讀: 企業雲端戰略七大趨勢 ]
全球管理顧問公司Kearney旗下的商業分析諮詢公司Cervello的主管 Emal Ehsan 說,多雲策略「往往會帶來更複雜和更不連貫的管理和自動化工具」。這種複雜性可能會引發營運中斷的風險。
此外,IT服務以往是從公司所擁有和營運的資料中心取得,IT負責監督取得的過程。Intermountain資訊長Smith指出,如今,商業使用者可以在沒有架構或安全性審查之下,輕鬆購買和部署PaaS等雲端服務。IT和企業領導人需要減輕這種情況,做法是控制哪些服務必須開啟並提供給使用者。
「最佳做法是確保:針對所有請求的雲端服務,服務獲准於企業中使用之前,都需要在任何IaaS、PaaS或SaaS供應商平台上進行適當的架構和安全性審查,」Smith說。「必須先建立指引和護欄,然後才能對組織提供任何公共雲供應商工具,包括對所有使用情況進行持續監控。」
Smith表示,IT、網路安全和法律全都必須相互配合,持續跑在企業使用者採購和消費新雲端服務的所有行動之前。
二、數位供應鏈和銷售通路
企業愈來愈依賴各種技術來加強和管理其供應鏈,包括端對端數位連接、雲端服務、區塊鏈、機器人技術、自動駕駛汽車和進階分析工具等。
這種供應鏈的數位轉型可以提高效率和能見度、減少錯誤和成本、增強與業務夥伴的協作並改善流程,但也可能帶來風險,包括資料遺失。
Smith指出,參與企業對企業(B2B)數位服務的各方可以採用多種降低風險的技術,其中包括與合作夥伴制定可處理各種風險和責任的廣泛業務協議。企業也可以建立網路安全和資料隱私控制,以確保資料傳輸和儲存的安全性。
[CIO都在讀: 打造彈性組織 迎接未來挑戰 ]
「企業通常會要求對這些B2B連結進行監視,以確保人們遵循政策和程序,」Smith說。「此外,最佳做法建議,對第三方進行頻繁的風險評估,以確保數位供應鏈中的所有參與者都有遵循產業安全和隱私規定及標準。」
企業也愈來愈依賴數位銷售通路,例如電子商務、電子郵件、簡訊、行動應用程式和線上活動,以接觸客戶或潛在客戶。
「我們在此經常看到的風險是,某項多重通路策略缺乏明確性,或是如果完全轉向數位,另一方面卻缺乏促使合作夥伴、客戶、消費者轉變的策略,」Chowning說。「沒有充分概述該策略並推動優先事項和投資,組織就會發現自己處於優先事項不斷改變的情況,在這種情況中,實際上沒有通路會取得進展。」
Chowning指出,有些建立多個數位通路的努力行動甚至已經演變成某種內訌。「使多個通路由一個領導團隊負責和承擔責任,通常是非常重要的緩解策略」,有助於避免內訌情況。
三、物聯網(IoT)
從事製造業、醫療保健、零售和其他產業的公司已開始大規模部署物聯網技術,以追蹤資產的位置、監視設備效能、收集有關產品使用情況的資料等。
潛在的好處令人注目,包括更有效率的供應鏈和工廠、改善的設備和產品維護、強化的客戶經驗,以及避免遺失貨物從而降低成本。但是風險也很高。例如,分散式阻斷服務攻擊已經被歸咎於連線的設備,以及物聯網策略引入許多讓駭客入侵的入口點,包括連線的設備本身。
[ 下載 2020-21 CIO大調查報告,掌握最新企業IT導入趨勢 ]
企業內的連線設備可能包括任何裝置,從暖通空調(HVAC)系統、伺服器和其他IT設備,再到車輛、照明系統、恆溫器、電器等。Smith表示,組織需要尋找方法來確保連線設備的安全並降低風險,將這些設備必須與其他設備連線的數目設定限制,在某些情況下,可將這些設備置於不同的網路中。
「此外,也需要特別花工夫與設備製造商密切協調,以協助確保這類設備會針對作業系統修補隨時更新,並且有適當的控制措施來確保其安全,」Smith說。
其他最佳做法包括:透過合約要求設備製造商提供使設備保持最新和安全的方法;以及掃描公司網路以偵測物聯網設備是否有可疑活動的跡象。
四、自動化與分析
企業在尋求加快作業、減少錯誤和削減成本之際,也爭相將耗時且勞力密集的手動流程自動化。
人工智慧和機器人流程自動化(RPA)等技術可以幫助將資料輸入之類的任務自動化,從而大幅強化商業流程獲得處理的方式,但是它們也可能帶來風險。
Smith說,在分析、人工智慧和機器學習的風險成分中,主要的風險成分是資料科學家用來訓練模型以及產生那些模型的平台的資料集。
Smith指出,減輕風險的範圍涵蓋了擁有妥善擬定的合約來管理大數據合作夥伴關係、將資料集裡使用的資料限制為最基本的必要資料,以及在可能的情況下使用匿名資料。
[CIO都在讀: 什麼是「自動化長」?你需要一個嗎? ]
自動化的一些風險可能來自無法快速擴充或無法達成期望。
「目前,自動化生態系統正在經歷重大改變,」Cervello主管Ehsan說。「回顧以往,它是從流程外包開始,然後是流程最佳化──精實、六標準差──再到機器人流程自動化。我們現在看到的是機器人流程自動化和人工智慧的融合,可以解決複雜的業務問題。」
Ehsan表示,這種人工智慧和機器人流程自動化的融合,開啟了以往不可能出現的新可能性和使用案例,例如具有1,750億機器學習參數能力的智慧型文件處理,或是使用神經網絡和深度學習來偵測交易異常。
Ehsan指出,組織應該盡早設定對自動化的期望,並讓業務和IT部門的利害關係人參與,以使他們認識到自動化的潛在好處、功能和用途。然後,組織應該推出聚焦於效益的快速、小型和短期試驗。
「透過僱用員工或聘請顧問,盡早利用高技術資源來實施治理、架構、變更管理和溝通、範本、業務參與、業務案例形成以及ROI(投資回報率)計算,」Ehsan說。
採取行動減輕數位風險
藉著任何數位轉型計畫,組織應該透過IT、安全、風險管理、法律和其他有關單位之間的協作,徹底評估風險──包括那些與組織將會採用的技術平台相關的風險。透過確定最大的風險為何,IT和安全領導人可以運用這個觀點來處理轉型計畫。
製造系統供應商 Park Industries 有幾項數位轉型行動正在進行,包括商業流程自動化、企業系統整合、雲端移轉,以及與物聯網相關的資料分析。
[ 加入 CIO Taiwan 官方 LINE 與 FB ,與全球CIO同步獲取精華見解 ]
「在處理這些轉型計畫時,資訊安全和資料品質是最大風險之中的兩項,」 Park Industries 公司的IT主管 David Lloyd 說。「擁有整體的資料策略,包括安全性、以角色為基礎的權限以及識別單一訊息來源,有助於減輕這些風險。」
Smith指出,大多數組織都認識到,利用雲端、人工智慧、物聯網和其他技術可以提供諸如提高企業敏捷性、增強服務可擴充性和降低成本等實質優點。「但是,組織必須實施全新的風險管理技術來支援這些轉型能力,」他表示。
(本文授權非營利轉載,請註明出處:CIO Taiwan)