Antonio Vázquez看到了无处不在的潜在问题。
Vázquez于2021年1月开始担任科技公司Bizagi的首位首席信息官,他提供了一份很长的清单,列出了可能出现问题的领域:安全、数据隐私、合规性、供应商关系、成本管理、员工对系统的访问、人员配置和IT项目。
他思考了员工是否能够理解并遵守公司的网络安全政策和标准;他的供应商是否会以满足公司需求的速度实现现代化;供应商成本是否会螺旋上升;以及转型投资是否会带来客户想要的体验--抑或是危及与他们的关系。
“从你考虑项目、合同或新程序的那一刻起,你就必须考虑风险,”Vázquez说,并指出过去的一年已经向每个人表明了,新的、意想不到的风险随时可能会出现。
他补充道:“形势已经发生了很大的变化,也许两年前我们还觉得一切都在掌控之中。现在我们看到了,并不总是这样。你本可以准备好文件和标准,但突然之间发生了一些事情,一切都变了。”
对于企业领导者来说,识别风险并了解他们对风险的偏好和容忍度并不是什么新鲜事。但是他们面临的风险类型正在发生变化,并且这些变化的速度也在发生变化,这将迫使许多组织更频繁地评估其可接受风险的阈值。
而首席信息官在这些讨论中的角色也在不断演变,因为从成功和生存的角度来看,技术对企业变得越来越重要了--正如流行病和其他最近的事件所表明的那样。这使得首席信息官们的任务是评估新的风险领域,以及重新设定他们的风险偏好、容忍度和阈值--所有的这些都在发生变化,因为他们面临着一个疫情大流行后的拥有新挑战和新商机的世界。
“这取决于你可以承担多少风险,并且会因每个项目和流程而有所不同。而且对许多首席信息官来说,情况已经发生了变化;在疫情大流行之后,你会发现风险的参数已经发生了变化,”Vázquez说。
新时代的IT风险
尽管首席信息官所处理的风险比以往任何时候都多,但误判这些风险的后果也越来越严重了。组织的所有功能都已经完全依赖于健壮的系统,因此在紧要关头重新回到纸笔上已经不再是一种选择了。
首席信息官们必须正确地进行风险计算--而且他们需要考虑很多因素。
例如,安全风险是许多首席信息官最关注的问题之一。今年春末所发生的一连串勒索软件攻击,包括2021年5月对油管的攻击,该攻击被归咎于未受保护的VPN,这无疑突显了首席信息官们在这一领域所面临的挑战。
首席信息官也越来越关注于合规性风险,因为更多的法规和法律(如被遗忘权)要求他们必须准确的了解数据存放在哪里。
“这是技术领域、架构和你所在行业的应用程序的功能,”Boston Consulting Group的董事总经理兼高级合伙人本Benjamin Rehberg解释说。“你越是不清楚什么才是真正的单一真实来源,以及你的系统是否只访问了该单一真实来源,合规性风险就越大。”
与遗留系统相关的风险也是最让人关心的问题。这场流行病凸显了与此相关的风险,因为用云解决方案取代了旧技术的组织比那些坚持使用旧系统的组织更容易转向远程工作和新的业务模式。
另一方面,现代化和转型的努力--以及交付这些工作的预期快速步伐--也带来了首席信息官必须考虑的风险。
“我们经常被迫越来越快地进行交付,而且我们也没有花时间来及时获得利益相关者的反馈,”Scrum.org首席运营官的Eric Naiburg说。“这是一个风险,因为随着团队的不断建设,改变变得更加困难了。这会导致延误,因为你将不得不重新进行设计。“
与供应商相关的风险也是首席信息官面临的主要问题。像2020年SolarWinds违约这样引人注目的失败表明了技术供应商的问题是如何在企业IT商店以及整个组织中引入麻烦的。还有来自企业生态系统的风险需要考虑,例如由托管服务提供商和业务合作伙伴所引入的风险。例如,如果云提供商托管了一个关键系统,那么该提供商的系统中断就可能会给首席信息官带来很大的风险。
与数据完整性相关的风险也上升了。企业也越来越依赖于数据来驱动决策、自动化和智能系统了,Forrester分析师Alla Valente表示。结果,许多人发现他们对不完美数据的完整性的容忍度降低了。
此外,还有企业外部的系统性风险:飓风、野火、衰退和流行病等。
根据分析师、执行顾问和就此主题接受采访的首席信息官的说法,各组织的首席信息官将会如何权衡所有的这些风险因公司而异。除了首席信息官们与他们的高管同事在一起规划大流行后的战略时会更频繁地重新审视这个问题之外,似乎还没有一个总体的趋势。
“他们正在从刚刚发生的事情中学习和适应,并决定在哪里以及如何消除风险,”Naiburg说。
制定风险策略的业务环境
俄勒冈州克拉克马斯社区学院的首席信息官Saby Waraich在谈到风险时则提供了一个类似的,无所不包的清单。和其他人一样,他表示,由于各种原因,他对风险的容忍度也在发生变化。例如,在最近的一场野火第一次发生在学校的数据中心附近后,Waraich正在重新考虑该中心所面临的风险。
考虑到他作为首席信息官所面临的风险,Waraich认为这些风险都是相互关联的,并且与业务交织在一起的。“没有IT风险。我们必须改变这种说法,而是问有什么业务风险?”他说。
毕竟,如果数据中心着火,它不仅会阻碍IT,还会阻碍甚至可能暂时关闭整个组织。
Waraich补充道:“因此,如果IT以孤立的方式评估这些风险,它(在这项任务中)将很难成功。你可能会做出一个决定,但如果这不是企业所关心的,那就不是正确的决定。”
这场流行病强化了这种方法的价值,他补充说。“两年前,人们会更多地关注技术和技术风险。“这场疫情大流行给首席信息官敲响了警钟,让他们关注业务风险,这样他们才能一直保持业务运营,”他说。
Waraich在评估风险时就考虑到了这一点,考虑到问题或失败(无论是在数据中心还是转型计划的结果)将如何影响业务功能和整个业务。
然后,他会确定哪些风险可能会危及业务运营以及它的危害程度,他会使用该流程来对减轻风险的工作进行优先排序,并将这些转化为最高的IT目标。
例如,他认为,鉴于有很多用户在非常规时间也需要帮助,服务台缺乏24小时的工作人员是一种不可接受的风险;他正在实施聊天机器人来帮助降低这种风险。
与此同时,考虑到网络攻击的增加和网络保险费的上涨,他正在与其他大学的领导一起评估安全协议和技术控制。
Forrester分析师也同意这种方法。“技术风险也是一种业务风险,”Forrester的基础设施和运营高级分析师Naveen Chhabra说。
根据Forrester的说法,越来越多的组织建立了由首席信息官参与的风险委员会,以识别风险并建立风险偏好和风险承受能力。这有助于指导首席信息官在IT领域内需要做些什么,以便与这些参数保持一致。
Bryce Austin是一位经验丰富的CIO和CISO,目前在担任网络安全咨询公司TCE Strategy的首席执行官,他同样认为CIO与其他高管在这方面的合作是有价值的。他指出,IT内部的风险不仅会对现有的业务功能构成风险,也会对未来的业务机会构成风险。
这就是他建议首席信息官在考虑战略规划的同时考虑风险,并随着环境的变化对二者进行调整的原因之一。通过围绕风险(如果发生的话)将如何损害战略目标展开对话,首席信息官可以更好地确定他们对IT中每个风险的容忍度。
然而,另一方面,首席信息官也不能过于规避风险--尤其是现在,世界正在向前发展,并在为接下来的一切做好准备,Rehberg说。
“愿意采取非常大胆的行动并愿意本着冒险精神冒险的首席信息官将长期生存,”他说。“技术现在是企业走向市场的一个战略因素。这应该有助于定义风险偏好以及帮助首席信息官确定应该愿意做些什么。这是一个非常个性化的公司讨论,一个业务和技术的联合决策。"
Vázquez对此表示同意,并解释说他接受了他称之为“风险设计”的概念--他会通过这种方法来确定风险领域,实施缓解措施,使这些风险达到可接受的水平,并在需要时进行调整。这样一来,他说,业务得到了保护,IT也不会因为过于谨慎而浪费资源。