當前位置：CIO → 技術探討 → 正文

CIO們應該特別關注的五大IT風險

責任編輯：cres 作者：Isaac Sacolick |來源：企業網D1Net 2024-07-24 14:30:13 原創文章企業網D1Net

從技術債務的不斷增加到云端的財務擔憂，IT領導者必須識別、調查并制定計劃，以管理若不加以控制可能會削弱其業務的幾個關鍵運營風險。

作為數字化轉型的領導者和前CIO，我對潛在風險有一種健康的警覺，可以稱之為生存本能：那些可能破壞企業保持其使命并完成其目標的風險必須不斷被揭示、評估，并采取措施減輕或管理這些風險。

企業的轉型速度是否足夠快？利益相關者是否在苦苦掙扎或不滿？敏捷團隊是否因太多優先事項而過度緊張？作為數字化先驅，我的許多擔憂涉及可能破壞轉型的問題，但真正讓我夜不能寐的是運營和安全風險。

許多這些問題屬于外部威脅的范疇，CIO必須投資于安全最佳實踐，并建立監控和響應計劃，以應對這些問題的出現。盡管安全風險令人望而生畏，治療師提醒我們避免在控制范圍之外的領域過度緊張。CIO必須盡最大努力保護企業，推動投資和實踐，以盡量減少安全風險。

但運營風險是另一回事，對可能出錯的事情保持健康的警覺是有幫助的。許多運營風險看似無害，但它們可能會瞬間顯現，使IT陷入救火模式。在許多情況下，提出足夠多的“假設”問題并計劃出一系列情景，可以幫助你區分低影響的風險和值得投入資源來最小化或解決的高影響運營風險。

雖然以下許多內容看起來像是低風險運營問題，但隨著時間的推移、增長或其他變化，它們可能變得難以管理。CIO應關注這五個風險，并在它們成為影響性問題之前尋求解決方案。

1. 來自關鍵任務系統的技術債務不斷增加

CIO有充分的理由為不斷增加的技術債務以及支持過時系統的影響感到擔憂。

“永遠不要浪費一次危機”是CIO們在看到其他企業的困境上新聞時對同行的建議。例如，美國新聯邦學生資助申請（FAFSA）計劃的推出延遲了一年，給許多尋求聯邦學費援助的大學生造成了混亂。盡管許多人將此歸咎于國會，但在管理該計劃時確實存在一些根本性問題，其中一個主要原因是此次重設計需要徹底改造20多個系統，其中一些系統近50年沒有更新過。

其中包括用Cobol開發的系統，這些系統連接了來自“令人眼花繚亂的多個機構”的私人信息——這就是為什么政府問責辦公室在2019年將其列為十大最需要現代化的系統之一。

“遺留硬件系統是一個日益嚴重的問題，需要及時采取行動，”LeanTaaS的安全與合規總監Bill Murphy說，“隨著這些系統的老化，雇主在獲取替換硬件和招聘具備維護所需技能的人員方面面臨困難。如果不及時解決技術債務，可能會導致災難性后果。”

CIO今天需要考慮的一個問題是，軟件開發中的代碼生成AI是否在增加代碼級別的技術債務，或者，有機會使用代碼助手或低代碼能力的GenAI來簡化和減少代碼。

“企業在創新和競爭中嚴重依賴軟件，這往往充斥著劣質代碼，導致技術債務不斷增加，”Sonar的CIO Andrea Malagodi說，“AI有可能加劇這一問題，因為它與人類輸出一樣，產生的代碼存在安全性、可靠性和可維護性問題。”

CIO們面對不斷增加的技術債務時，必須將警覺轉化為行動計劃，傳達當前的問題和未來的風險。一種方法是與董事會和執行委員會確定并達成一些不可協商的事項，概述在何種情況下應優先升級遺留系統，而非其他業務目標。

2. 團隊壓力和倦怠

壓力和倦怠是CIO們應該關注的嚴重問題，包括他們自己、團隊成員和同事。例如，在2024年的CISO倦怠報告中，80%的CISO認為自己“壓力很大”，63%的人表示在管理職責時幾乎沒有得到支持，50%的人報告稱由于工作壓力失去了團隊成員。

安全角色中的壓力和倦怠是已知問題，因為這些角色的工作時間和從安全問題中恢復時的巨大壓力，這些壓力都需要盡量減少對業務的影響，但當團隊感受到交付能力、解決缺陷和跟上最新技術的壓力時，devsecops角色也同樣充滿壓力。

現在，再加上數據、機器學習和AI，這些領域增加了整個企業的壓力。在數據連接報告中，三分之二的IT員工表示因需要訪問完成工作所需的數據而感到不堪重負，81%的員工認為同樣的情況也適用于他們所在企業的其他員工。

CIO們應成為變革的推動者——這可能會帶來壓力——同時采取主動和持續的步驟來減少他們所在企業和整個公司的壓力。由于更高的業務期望交付新技術能力、引領變更管理活動以及確保系統正常運行，倦怠的風險會增加。CIO們應提倡斷開連接和減少壓力的方法，例如改善溝通、簡化操作和設定現實目標。

3. 破壞IT文化的監控實踐

關于IT運營壓力，CIO們需要關注的一個明確領域是監控服務、警報應用性能問題以及實現服務級別目標（SLO）。一方面，IT運營應對系統是否有足夠的監控和自動化感到警覺，以確保系統運行良好，不會因終端用戶升級問題和高管利益相關者表達不滿而出現問題。另一方面，過多的監控工具、成千上萬的警報和定義不清的SLO會導致普遍的IT事件救火文化。

“工程團隊浪費了寶貴的時間追蹤警報，”Logz.io的聯合創始人兼CTO Asaf Yigal建議道，“CIO們需要設定目標，確保關注于對底線有直接影響的應用和基礎設施錯誤，并將這些警報作為首要任務以獲得立即關注。”

作為CIO，我擔心在執行會議上被報告的IT中斷，而監控工具未能捕獲并且自動化未能修復。我還擔心IT花在運營上的時間比例不斷增加，這會削弱創新和轉型的努力。

CIO們應使用這些指標來判斷運營上的警覺何時需要采取行動：

員工報告許多系統性能問題，而這些問題本應被監控捕獲。

網絡運營中心（NOC）和站點可靠性工程師（SRE）正在應對越來越多的警報，且這些問題的平均恢復時間（MTTR）在增加。

高管們不愿意投資創新或與IT部門合作，因為他們認為IT系統的表現不佳或實際上表現不佳。

面對日益增長的監控工具和警報，CIO們可能希望調查AIops解決方案，這些解決方案有助于集中觀測數據并使用機器學習將大量系統警報關聯到少量可管理的事件中。

4. 第三方數據泄露

CIO推動數據驅動型企業的AI策略和目標導致了許多第三方合作伙伴、解決方案和SaaS工具的增加。安全和數據治理是一項日益嚴峻的挑戰，根據2024年第三方風險管理研究，61%的公司報告了第三方數據泄露或安全事件，比去年增加了49%。

“要對第三方數據泄露和安全事件保持警惕，”Prevalent的COO兼首席戰略官Brad Hibbert警告說，“為了減少第三方重大數據泄露的風險，自動化你的第三方風險管理流程，圍繞統一的內部控制評估和持續的網絡監控，修正發現的問題，并利用新的AI工具簡化工作流程和風險分析。”

鑒于托管企業數據的系統數量不斷增加，變化的速度加快，以及SaaS提供商頻繁更改服務條款，CIO們完全有理由保持警惕。根據AI at work脈動調查，GenAI是一個新的催化劑，54%的員工表示他們依賴AI工具，而51%的員工稱他們的經理鼓勵使用AI。在許多企業中，添加SaaS和GenAI工具的速度超過了IT、信息安全和數據治理的努力。同時，根據第三方風險管理研究，企業只管理了三分之一的供應商的風險。

“考慮到全球第三方企業數量的增加，一旦數據離開企業，使用傳統安全方法保護邊界就變得無效，”Seclore的CEO兼聯合創始人Vishal Gupta說，“保護網絡邊界的方法已不再足夠，安全團隊必須改為采用以數據為中心的主動安全方法，通過圍繞數據本身進行保護。”

在與業務領導討論影子IT和公民數據科學治理時，我經常引用超人諺語，“能力越大，責任越大。”許多人希望從分析和機器學習中獲得所有好處，但在采用主動數據治理方面行動緩慢。再加上對GenAI助手的追求，CIO們有更多的理由在今天的警惕變成明天的業務危機之前加強數據治理。

5. 不斷增加的云債務

在過去的十年里，CIO們將IT基礎設施從數據中心轉變為混合云和多云，同時使用devops自動化來賦能敏捷開發和數據科學團隊自助解決基礎設施需求。根據AAG2024年6月的云計算統計數據，89%的企業報告使用多云解決方案，82%的企業報告管理云支出已成為首要任務。

SADA的首席FinOps財務分析師Robin Roacho說：“CIO們應注意不斷增加的云成本是否有明確的理由。”并建議：

在建立成本所有權時，確保資源已被標記和標簽化。

確認財務模型準確解釋了預算與實際的差異。

培養審核現有工作負載以進行優化和現代化的方法。

當出現意外支出時，創建或調整警報系統。

AI工作負載會增加額外的消耗，特別是對于那些開發大型語言模型（LLM）能力的企業。例如，有一個基準報告顯示，在AWS推薦的默認實例上托管LLM Falcon 180B每月將至少花費23000美元。

盡管公有云報告了短期的云計算成本，CIO可以部署FinOps最佳實踐來治理和管理云計算成本，但碳影響是另一個需要考慮的挑戰。

Fusion Fund的創始人兼管理合伙人Lu Zhang分享說，2022年AI技術消耗了大約460太瓦時的電力。Zhang說，“這些數字突顯了一個日益嚴重的問題，如果AI要成為可持續未來的一部分，這個問題必須得到解決。展望未來，不斷改進AI算法和將可再生能源整合到數據中心是至關重要的。”