CIO面臨的最棘手的12大問題

Paul Heltzel Charles

從保護物聯網到重新培訓IT人才，直至尋找新的收入來源，首席信息官們面對太多的問題，以至于日夜憂心忡忡。

當首席信息官們從鋪天蓋地的數據中稍有喘息時，他們就在想誰來保護數據。他們面臨著降低成本的壓力，同時還要非常敏捷地應對與承包商打交道時遇到的困難，以及把數據和服務遷移到云中時所面對的挑戰。一直以來，隨著新威脅的出現，我們也要有隨之跟進的應對措施。

從尋找合格的IT專業人員到防止他們跳槽，一系列棘手的技術和人員問題讓IT專家們冷汗直流。

面對2018年一系列的新問題，以及未能解決的老問題，首席信息官們首先應關注什么？我們收集了來自專家、高管、新人以及老員工們的深度分析結果，以確定目前最重要的問題，以及怎樣應對這些問題。

物聯網安全

Forrester最近的安全研究發現，82%的企業都在努力識別并保護聯網的設備。然而糟糕的是，很多企業并不清楚由誰負責管理設備。

該研究報告稱：“調查結果顯示，超過一半的受訪者（54%）表示，他們因物聯網安全問題而感到焦慮。”

Balabit的安全拓展專員Csaba Krasznay說，除了傳統的薄弱環節（用戶），首席信息官還需要考慮新出現的威脅。

Krasznay說：“2018年，安全措施應該更貼近IT用戶，更符合他們的身份。行為監測通過識別與基本行為的偏離——甚至是根據打字速度和常見拼寫錯誤等細微的生物特征，能夠檢測出隱藏在授權憑證背后最狡詐的網絡犯罪活動。”

再培訓

據CompTIA最近的一項調查，大約40%的IT員工表示他們沒有得到有效開展工作所需的培訓。

保加利亞DataArt公司的Viktor Andonov說：“很多公司認為，跟上技術的發展是員工個人的事。上個世紀80年代和90年代可能是這樣，但在21世紀，平臺越來越復雜了。當員工從事項目，需要交付成果時，很難參加工作培訓，學習怎樣使用新框架開展工作。”

CompTIA總裁兼首席執行官Todd Thibodeaux說，很多企業都在努力尋找合格的技術人員。在上班時間培訓員工同樣非常困難。

Thibodeaux說：“對企業方來說好消息是，大多數IT專業人員都喜歡他們正在從事的工作。工作讓他們得到了個人成就感。他們的技能和才能得到了充分發揮。他們看到了其職業生涯成長和發展的機會——他們對自己的薪酬和福利普遍感到滿意。”

Thibodeaux說，雖然IT員工樂于工作，但通過再培訓使他們保持工作狀態仍然還有很長的路要走。

他說：“IT專業人員希望有更多的培訓和發展資源，以及更多的職業道路指導和職業發展機會。他們也有興趣去使用更多的工具，掌握更多的技術和應用。他們還希望有機會參與新的技術活動。”

Thibodeaux說，對于2017年，這不是一個新問題，而是持續不斷的問題。“畢竟，為員工培訓留出的時間是占用了計酬工時或者‘實際工作時間。還有一個老生常談的問題，‘如果我培訓了某名員工，獲得了認證，然后他離職了怎么辦？在技術方面，對于那些付出心血去實現技術的員工們，他們會問，‘如果不培訓員工，但他留下來了怎么辦？”

太多的數據

聯合數據技術公司首席信息安全官Mike Sanchez表示，目前用于分析數據的方法往往無法對業務產生實際影響。

Sanchez說：“高管和董事會成員應該能決定怎樣最好地分配資源，并將資金投入到能夠減少運營開支和降低公司風險的治理策略上。有太多的數據，員工們不知道他們應該遵循什么來加強網絡安全整體態勢。應該采用簡單的儀表板格式來顯示關鍵績效指標。”

技能差距

好消息是空缺的IT職位在不斷增加。壞消息？沒有足夠的技能符合要求的員工來填補這些職位，特別是安全職位。

CompTIA的Thibodeaux表示：“我們最近對各種來源的就業數據進行的分析表明，2017年第三季度，美國用人單位發布了近60.4萬個IT工作崗位。對于網絡安全的工作崗位，過去一年中我們在填補崗位空缺方面取得了一些進展，有一些進步，但還遠未達到能滿足需求的程度。”

Thibodeaux說，企業將不得不做出一些艱難的決定——怎樣在企業內部填補人才需求，需要做哪些工作。

Thibodeaux說：“哪些功能適合外包給技術解決方案提供商？很多企業發現，與技術合作伙伴簽合同去完成一些常規的、正在進行的任務，有助于內部技術團隊騰出時間，把精力集中在更先進、更有戰略意義的業務上。”

網絡安全公司Forcepoint的首席信息官Meerah Rajavel說，技能差距不會很快消失。

Rajavel說：“我們看到有太多的企業還沒有準備好應對勒索軟件和工業間諜活動等新的網絡安全威脅。任何過程的調整都需要包括從基層開始的適當的人才培養，以及更廣泛的員工安全培訓，這些培訓應該及時、實用，而不是僅僅按部就班的照著去做。”

創新與數字化轉型

據Gartner數據，大約三分之二的業務領導認為他們的公司應加快其數字化轉型，否則就會敗給競爭對手。

云咨詢公司Candid Partners的管理合伙人Merrick Olives說，大多數公司將繼續沿著同樣的道路向前發展，直到他們被迫做出改變。

Olives說：“重要的是，把IT支出與戰略業務能力掛鉤，并回答問題‘這能否使我們更具競爭力？與基于項目的投資相比，基于價值流的投資模式越來越有效地把董事會的目標與預算影響結合起來。傳統系統與敏捷數字系統在成本結構和流程效率上有很大差別——敏捷系統成本更低，效率更高。”

緊縮預算

據2017年11月Forester的報告，隨著來自高層的質疑，近一半的IT和業務部門的受訪者表示，預算是加強物聯網安全的障礙所在。

CompTIA的Thibodeaux說，風險不僅體現在安全威脅上。

Thibodeaux表示：“這歸結于企業是想要成長壯大，還是被競爭對手甩在后面的問題。隨著企業越來越數字化，技術從后臺走向前臺，成為實現長期目標的主要推動力。技術熟練、受過培訓和認證的IT專業人員對于技術投資的回報至關重要。他們的專業知識有助于在IT架構基礎上實現企業目標，在選擇設備、應用程序和運營模型時，他們還能夠為決策層權衡利弊提供幫助。”

尋找新的收入來源

電信費用管理軟件公司Tangoe的副總裁Ian Murray說，雖然商業環境在不斷發展，但盈利的基本前提都是一樣的。

Murray說：“尋找和利用營收機會的過程并沒有從根本上改變——找到我們可以解決的普遍問題，而且人們也愿意出錢去解決這些問題。”

混合IT基礎設施供應商Peak 10 + ViaWest的首席產品官Mike Fuhrman表示，有所改變的是首席信息官們更加重視直接創收。

Fuhrman說：“也許我有些老了，但我認為首席信息官不應該擔心直接創收。我看到同行中這種現象越來越普遍了。首席信息官們為彰顯自己的地位，很多正在努力工作以證明自己。雖然這樣想有好處，但我認為這也不利于業務部門與董事會溝通。對于創收機會，首席信息官所在的部門應把工作重點放在項目上，在自動化平臺上對業務進行大規模的數字化。我們應該從產品面市的角度看問題，集中精力降低業務成本。這才是首席信息官們應關注收入的原因。”

升級老系統

人力資源公司Robert Half去年夏天編制了一份報告，發現近四分之一的首席信息官最關心的是升級老系統以提高效率。

聯合數據技術公司的Sanchez表示：“這是一個很大的問題，特別是在一些行業中，大量過時的或者接近壽命終了的系統仍然被用來保存關鍵任務的數據和應用程序。這些系統的制造商不再為其提供支持，因此不能使用最新版本的更新來給這些系統打補丁，使得這些系統很容易受到攻擊。這些平臺可以與其他網絡互連，這會讓漏洞向外擴散，與之互連的系統也會遭受攻擊。”

缺乏敏捷性

旨在采用敏捷方法的企業有時最終會陷入一種混合模式，這種模式包含了敏捷方法，但也有更多的線性“瀑布”方法。簡言之，都不好。

Tangoe的Murray給出了這樣的解釋：“開發者按照具體的規范進行編程，但卻沒有從概念上理解某一按鈕和功能是否符合用戶總體體驗。需要一種嚴謹的方法來解決這個問題，解決方案能夠針對具體版本解決具體問題。然后根據一組敏捷迭代來調整每一版本，形成全面的解決方案，每一版本的解決方案都增加到UX中，不只是簡單地把所要求的功能匯集在一起，而這些功能不一定相互支持。”

Murray提到了最近的蘋果iOS更新，它修復了一些缺陷，但引入了其他缺陷。Murray說：“這個問題會影響各種規模的公司”，更新雖然解決了安全漏洞問題，包括了新功能，但也會給用戶帶來不小的麻煩。

外包風險

技能差距將導致很多企業尋求外部幫助。但這些有時候非常需要的解決方案可能會帶來可靠性和安全性相關的問題。

Sanchez說：“我們的主要目標是兌現我們對每位客戶的承諾。你的聲譽和業務都取決于這些關鍵承諾。把工作外包出去，交付的產品質量完全取決于所外包的公司。考慮到我們管理的項目的敏感性，如果項目需要我們考慮外包部分或者全部所需的任務，我們會進行嚴格的第三方供應商評估，評估合作伙伴。”

除了質量問題，外包也帶來了眾所周知的安全威脅。MetricStream的首席拓展專員、前白宮網絡安全顧問French Caldwell說：“首席信息官最應關注的威脅來自內部人員和承包商。除非我們不再使用密碼進行認證，否則人類仍然是最大的威脅。”

遷移到云的陷阱

VMware和戴爾首席信息官Bask Iyer指出，隨著越來越多的數據和服務遷移到云中，潛在的風險是把云視為單一的公共實體。

Iyer說：“當IT評估什么最有利于業務時，還應考慮私有云以及多云解決方案。這保證了您能夠有所選擇，不會鎖定在一家供應商。IT還需要確定哪些應用程序應該遷移到哪個云中。隨著物聯網的興起，邊緣需要更多的能力，因此，IT應擴展云的可選范圍。”

Sanchez說，首席信息官不能把保護數據和應用程序的責任轉交給托管公司。“必須定義安全控制措施來保護云中的數據，其方式與保護網站的方式基本相同。很多企業沒有應用這些標準，想當然地認為托管公司提供了他們需要的所有保障措施。”

多重安全漏洞

據惠普Aruba子公司副總裁Larry Lunetta，今年的安全形勢依然不容樂觀，最令人擔憂的東西往往就隱藏在眼前。

Lunetta說：“未來能上頭條新聞的攻擊會選擇合法的憑證作為攻擊的起點，潛伏幾天、幾周甚至幾個月的時間才發起攻擊，最終造成破壞。內部的攻擊則有可能始于用戶點擊錯誤的電子郵件附件、心懷不滿的員工進行惡意攻擊，或者是弱密碼，或者同事之間共享信任憑據，等等。”

Lunetta說，“2018年需要基于行為的檢測新技術來應對這些威脅。

越來越多的企業正在使用基于人工智能的機器學習用戶和實體行為分析系統，來發現用戶和聯網設備行為的細微變化，這其中往往隱藏著攻擊。”