緩解數字化轉型的隱藏風險

Bob Violino

許多企業在適應新的工作、員工管理和客戶服務方式，希望能夠獲得所需的所有技術型優勢。它們正在向云計算、電子商務、數字供應鏈、人工智能及機器學習、數據分析以及能夠帶來效率和創新的其他領域邁出更大的步伐。

與此同時，企業在竭力避免管理風險——帶來新機遇的數字化項目也可能會帶來種種風險，比如安全泄密、法規遵守未到位以及其他問題。結果是，進行創新的需求與緩解風險的需求長期存在沖突。

醫療保健提供商Intermountain Healthcare的首席信息官Ryan Smith說：“管理風險與參與數字化轉型工作之間始終會存在一定程度的緊張局勢。”

Intermountain Healthcare 首席信息官Ryan Smith

Smith說：“隨著企業組織轉而讓消費者和員工更容易通過數字化手段訪問個人和業務信息，這帶來了全新的風險，與開展業務的傳統方式相比，必須緩解這些風險。這些新的參與模式因數字化轉型而成為實現，需要不同的風險管理方法。”

下面介紹數字化轉型工作可能帶來風險的四大方面以及企業應對這些風險的方法。

多云或混合云基礎架構

更多的企業組織在轉向由多個云服務支持的IT環境，這些云服務常常來自多家提供商。這可能包括軟件即服務（SaaS）、平臺即服務（PaaS）或基礎架構即服務（IaaS）等產品。

不管使用哪種類型的云，將重要數據和應用程序托管在本組織自身防御邊界之外都會帶來相當大的風險，牽涉多個位置、服務或供應商時更是如此。除了數據丟失或被盜外，企業還可能遇到數據隱私法規方面的問題，更不用說糟糕的云管理實踐導致成本超支這一風險了。

技術研究和咨詢公司ISG的合伙人Ola Chowning說：“我們在這里看到的最常見的風險涉及云環境的治理：哪家云提供商？哪種協議？創建、利用率和規模等方面設定的閾值，以便開發環境優化使用情況。”她補充道，一開始就處理諸如此類的治理問題比實施后再處理要容易得多。

Emal Ehsan是全球管理咨詢公司科爾尼旗下商業分析咨詢公司Cervello的主管，他表示，多云戰略“往往帶來更高的復雜性以及脫節的管理和自動化工具。”這種復雜性可能會帶來業務中斷的風險。

此外，IT服務歷來是從企業自建和運營的數據中心采購的，而IT部門負責監督采購過程。而現在，Intermountain的Smith表示，PaaS之類的云服務未經過架構或安全審查就很容易被業務用戶采購和部署。IT和業務部門負責人需要了解通過控制開啟哪些服務，供用戶使用來緩解這一風險。

Cervello 主管Emal Ehsan

Smith說：“最佳實踐是確保對于所有請求的云服務而言，這些服務在任何IaaS、PaaS或SaaS供應商平臺上都經過了適當的架構和安全審查，之后才可以獲準用于企業中。向企業組織提供任何關于公共云供應商的工具之前，必須建立指導和防護機制，包括針對所有使用情況的日常監控。”

Smith表示，IT、網絡安全和法務部門都須齊心協力，面對業務用戶采購和使用新型云服務的所有舉措做到搶先一步。

數字化供應鏈和銷售渠道

許多企業日益依賴眾多技術來增強和管理供應鏈，包括端到端數字化連接、云服務、區塊鏈、機器人、自動駕駛汽車和高級分析工具等。

供應鏈的這種數字化轉型不僅可以提高效率和可見性，減少錯誤及降低成本，加強與業務伙伴的合作以及改進流程，還會帶來風險，包括數據丟失。

Smith表示，參與企業對企業（B2B）數字化服務的有關方可以采用多種風險緩解方法，包括與合作伙伴制訂全面的業務協議，以兼顧種種風險和責任。企業還可以建立網絡安全和數據隱私控制機制，以確保數據的傳輸和存儲很安全。

Smith說：“企業通常要求監控這些B2B連接，以確保政策和程序得到遵守。此外，最佳實踐建議企業經常進行第三方風險評估，以確保數字化供應鏈的所有參與者都遵守行業安全和隱私方面的要求和標準。”

企業也更加依賴數字化銷售渠道，比如電子商務、電子郵件、文本、移動應用程序和線上活動，以覆蓋客戶或準客戶。

ISG合伙人Ola Chowning說：“我們在這里經常看到的風險是，多渠道戰略方面缺乏明確性，或者如果完全轉向數字化，缺少幫助另一端的合作伙伴、客戶和消費者實現轉變的戰略。如果沒有全面概述的戰略來推動優先事項和投入，企業組織可能會發現處于優先事項不斷調整的境地，實際上沒有任何一個渠道取得進展。”

Chowning表示，建立多條數字化渠道的一些工作甚至演變成了一種內訌。“讓多個渠道交由同一個領導團隊負責常常是非常重要的緩解策略，有助于避免內訌現象。”

物聯網

制造、醫療保健、零售及其他行業的企業已開始了大規模部署物聯網技術，以跟蹤資產位置、監控設備性能以及收集產品使用數據等。

潛在的好處引人注目，包括提高供應鏈和工廠的效率、改善設備和產品的維護、增強客戶體驗，以及通過避免貨物丟失來降低成本。但是風險也很高。比如說，分布式拒絕服務攻擊已經被歸咎于聯網設備，物聯網戰略引入了眾多的攻擊入口點，包括聯網設備本身。

企業內部的聯網設備可能包括各種設備，從暖通空調系統、服務器及其他IT設備，到車輛、照明系統、恒溫器和電器，不一而足。Smith表示，企業組織需要想方設法保護聯網設備并緩解風險，以限制這些設備與其他設備之間的連接，在一些情況下要將它們放在單獨的網絡中。

Smith說：“此外，還需要格外用心地與設備制造商密切協調，以幫助確保這些類型的設備版本最新，做好給操作系統打補丁的工作，要有適當的控制措施來確保安全。”

ISG 合伙人Ola Chowning

其他最佳實踐包括簽署合同，要求設備制造商提供保持設備版本最新和安全可靠的方法，以及掃描公司網絡，檢測物聯網設備是否有可疑活動的跡象。

自動化和分析

由于許多企業竭力加快運營速度、減少錯誤和降低成本，正競相使耗費時間且勞動密集型的手動流程實現自動化。

人工智能和機器人流程自動化（RPA）等技術有助于自動處理數據輸入之類的任務，從而顯著改進處理業務流程的方式，但它們也會帶來風險。

Smith表示，分析、人工智能和機器學習方面的主要風險因素是數據科學家用來訓練模型的數據集和生成這些模型所用的平臺。

Smith表示，風險緩解措施多種多樣，從精心設計的合同以管理大數據合作伙伴關系，將數據集所使用的數據限制在必要的最低限度，到盡可能使用匿名化數據，不一而足。

自動化的一些風險可能來自無法足夠快速地擴展或無法達到預期目標。

Cervello的Ehsan說：“眼下自動化生態系統正在經歷重大變化。回顧過去，它始于流程外包，然后是流程優化、精益方法、六西格瑪，再到RPA。我們現在看到的是RPA和人工智能融合，以解決復雜的業務問題。”

Ehsan表示，人工智能和RPA的這種融合正帶來新的可能性和使用場景，而這些在過去是不可能的，比如借助1750億個機器學習參數智能化處理文檔，或者使用神經網絡和深度學習來檢測交易或事務中的異常。

Ehsan表示，企業組織應及早設定自動化方面的預期目標，讓業務和IT部門的利益相關者參與進來，以了解自動化的潛在好處、功能和用途。然后，它們應該引入側重于這些好處的短平快試點項目。

Ehsan說：“雇用員工或聘請顧問，盡早利用技能嫻熟的人員，以落實治理、框架、變更管理及傳達、模板、業務部門參與、業務方案制訂和投資回報率計算等方面的工作。”

實際的數字化風險緩解

對于任何數字化轉型項目，企業組織都應該通過IT、安全、風險管理、法務和其他相關部門的合作，全面評估風險，包括與他們要使用的技術平臺相關的風險。通過確定哪些是最大的風險，IT和安全負責人就能從這個角度來著手開展轉型項目。

制造系統提供商Park Industries在開展幾個數字化轉型項目，包括業務流程自動化、企業系統集成、云遷移以及與物聯網相關的數據分析。

Park Industries的IT主管David Lloyd說：“處理這些轉型項目時，信息安全和數據質量是兩個最大的風險。擁有一項全面的數據戰略（包括安全、基于角色的權限以及確定單一數據來源），則有助于緩解這些風險。”

Smith表示，大多數組織已經認識到，充分利用云計算、人工智能、物聯網及其他技術可以帶來很大的好處，比如提高業務靈活性、增強服務的可擴展性以及降低成本。他說：“然而必須實施全新的風險管理方法，以支持這些變革性能力。”

作者簡介：Bob Violino是《Insider Pro》、《Computerworld》、《CIO》、《CSO》、《InfoWorld》和《Network World》的特約撰稿人，常駐紐約。

原文網址

https：//www.cio.com/article/3609831/mitigating-the-hidden-risks-of-digital-transformation.html