Vázquez于2021年1月開始擔任科技公司Bizagi的首位首席信息官,他提供了一份很長的清單,列出了可能出現問題的領域:安全、數據隱私、合規性、供應商關系、成本管理、員工對系統的訪問、人員配置和IT項目。
他思考了員工是否能夠理解并遵守公司的網絡安全政策和標準;他的供應商是否會以滿足公司需求的速度實現現代化;供應商成本是否會螺旋上升;以及轉型投資是否會帶來客戶想要的體驗--抑或是危及與他們的關系。
“從你考慮項目、合同或新程序的那一刻起,你就必須考慮風險,”Vázquez說,并指出過去的一年已經向每個人表明了,新的、意想不到的風險隨時可能會出現。
他補充道:“形勢已經發生了很大的變化,也許兩年前我們還覺得一切都在掌控之中。現在我們看到了,并不總是這樣。你本可以準備好文件和標準,但突然之間發生了一些事情,一切都變了。”
對于企業領導者來說,識別風險并了解他們對風險的偏好和容忍度并不是什么新鮮事。但是他們面臨的風險類型正在發生變化,并且這些變化的速度也在發生變化,這將迫使許多組織更頻繁地評估其可接受風險的閾值。
而首席信息官在這些討論中的角色也在不斷演變,因為從成功和生存的角度來看,技術對企業變得越來越重要了--正如流行病和其他最近的事件所表明的那樣。這使得首席信息官們的任務是評估新的風險領域,以及重新設定他們的風險偏好、容忍度和閾值--所有的這些都在發生變化,因為他們面臨著一個疫情大流行后的擁有新挑戰和新商機的世界。
“這取決于你可以承擔多少風險,并且會因每個項目和流程而有所不同。而且對許多首席信息官來說,情況已經發生了變化;在疫情大流行之后,你會發現風險的參數已經發生了變化,”Vázquez說。
新時代的IT風險
盡管首席信息官所處理的風險比以往任何時候都多,但誤判這些風險的后果也越來越嚴重了。組織的所有功能都已經完全依賴于健壯的系統,因此在緊要關頭重新回到紙筆上已經不再是一種選擇了。
首席信息官們必須正確地進行風險計算--而且他們需要考慮很多因素。
例如,安全風險是許多首席信息官最關注的問題之一。今年春末所發生的一連串勒索軟件攻擊,包括2021年5月對油管的攻擊,該攻擊被歸咎于未受保護的VPN,這無疑突顯了首席信息官們在這一領域所面臨的挑戰。
首席信息官也越來越關注于合規性風險,因為更多的法規和法律(如被遺忘權)要求他們必須準確的了解數據存放在哪里。
“這是技術領域、架構和你所在行業的應用程序的功能,”Boston Consulting Group的董事總經理兼高級合伙人本Benjamin Rehberg解釋說。“你越是不清楚什么才是真正的單一真實來源,以及你的系統是否只訪問了該單一真實來源,合規性風險就越大。”
與遺留系統相關的風險也是最讓人關心的問題。這場流行病凸顯了與此相關的風險,因為用云解決方案取代了舊技術的組織比那些堅持使用舊系統的組織更容易轉向遠程工作和新的業務模式。
另一方面,現代化和轉型的努力--以及交付這些工作的預期快速步伐--也帶來了首席信息官必須考慮的風險。
“我們經常被迫越來越快地進行交付,而且我們也沒有花時間來及時獲得利益相關者的反饋,”Scrum.org首席運營官的Eric Naiburg說。“這是一個風險,因為隨著團隊的不斷建設,改變變得更加困難了。這會導致延誤,因為你將不得不重新進行設計。“
與供應商相關的風險也是首席信息官面臨的主要問題。像2020年SolarWinds違約這樣引人注目的失敗表明了技術供應商的問題是如何在企業IT商店以及整個組織中引入麻煩的。還有來自企業生態系統的風險需要考慮,例如由托管服務提供商和業務合作伙伴所引入的風險。例如,如果云提供商托管了一個關鍵系統,那么該提供商的系統中斷就可能會給首席信息官帶來很大的風險。
與數據完整性相關的風險也上升了。企業也越來越依賴于數據來驅動決策、自動化和智能系統了,Forrester分析師Alla Valente表示。結果,許多人發現他們對不完美數據的完整性的容忍度降低了。
此外,還有企業外部的系統性風險:颶風、野火、衰退和流行病等。
根據分析師、執行顧問和就此主題接受采訪的首席信息官的說法,各組織的首席信息官將會如何權衡所有的這些風險因公司而異。除了首席信息官們與他們的高管同事在一起規劃大流行后的戰略時會更頻繁地重新審視這個問題之外,似乎還沒有一個總體的趨勢。
“他們正在從剛剛發生的事情中學習和適應,并決定在哪里以及如何消除風險,”Naiburg說。
制定風險策略的業務環境
俄勒岡州克拉克馬斯社區學院的首席信息官Saby Waraich在談到風險時則提供了一個類似的,無所不包的清單。和其他人一樣,他表示,由于各種原因,他對風險的容忍度也在發生變化。例如,在最近的一場野火第一次發生在學校的數據中心附近后,Waraich正在重新考慮該中心所面臨的風險。
考慮到他作為首席信息官所面臨的風險,Waraich認為這些風險都是相互關聯的,并且與業務交織在一起的。“沒有IT風險。我們必須改變這種說法,而是問有什么業務風險?”他說。
畢竟,如果數據中心著火,它不僅會阻礙IT,還會阻礙甚至可能暫時關閉整個組織。
Waraich補充道:“因此,如果IT以孤立的方式評估這些風險,它(在這項任務中)將很難成功。你可能會做出一個決定,但如果這不是企業所關心的,那就不是正確的決定。”
這場流行病強化了這種方法的價值,他補充說。“兩年前,人們會更多地關注技術和技術風險。“這場疫情大流行給首席信息官敲響了警鐘,讓他們關注業務風險,這樣他們才能一直保持業務運營,”他說。
Waraich在評估風險時就考慮到了這一點,考慮到問題或失敗(無論是在數據中心還是轉型計劃的結果)將如何影響業務功能和整個業務。
然后,他會確定哪些風險可能會危及業務運營以及它的危害程度,他會使用該流程來對減輕風險的工作進行優先排序,并將這些轉化為最高的IT目標。
例如,他認為,鑒于有很多用戶在非常規時間也需要幫助,服務臺缺乏24小時的工作人員是一種不可接受的風險;他正在實施聊天機器人來幫助降低這種風險。
與此同時,考慮到網絡攻擊的增加和網絡保險費的上漲,他正在與其他大學的領導一起評估安全協議和技術控制。
Forrester分析師也同意這種方法。“技術風險也是一種業務風險,”Forrester的基礎設施和運營高級分析師Naveen Chhabra說。
根據Forrester的說法,越來越多的組織建立了由首席信息官參與的風險委員會,以識別風險并建立風險偏好和風險承受能力。這有助于指導首席信息官在IT領域內需要做些什么,以便與這些參數保持一致。
Bryce Austin是一位經驗豐富的CIO和CISO,目前在擔任網絡安全咨詢公司TCE Strategy的首席執行官,他同樣認為CIO與其他高管在這方面的合作是有價值的。他指出,IT內部的風險不僅會對現有的業務功能構成風險,也會對未來的業務機會構成風險。
這就是他建議首席信息官在考慮戰略規劃的同時考慮風險,并隨著環境的變化對二者進行調整的原因之一。通過圍繞風險(如果發生的話)將如何損害戰略目標展開對話,首席信息官可以更好地確定他們對IT中每個風險的容忍度。
然而,另一方面,首席信息官也不能過于規避風險--尤其是現在,世界正在向前發展,并在為接下來的一切做好準備,Rehberg說。
“愿意采取非常大膽的行動并愿意本著冒險精神冒險的首席信息官將長期生存,”他說。“技術現在是企業走向市場的一個戰略因素。這應該有助于定義風險偏好以及幫助首席信息官確定應該愿意做些什么。這是一個非常個性化的公司討論,一個業務和技術的聯合決策。"
Vázquez對此表示同意,并解釋說他接受了他稱之為“風險設計”的概念--他會通過這種方法來確定風險領域,實施緩解措施,使這些風險達到可接受的水平,并在需要時進行調整。這樣一來,他說,業務得到了保護,IT也不會因為過于謹慎而浪費資源。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號