在每个IT领导者的职业生涯中,都会有一个必须做出关键决定的时刻:是遵循既定规则,还是在必要时打破先例,走上一条替代性的道路。
全球技术研究和咨询公司ISG的合伙人Ola Chowning表示,管理规则通常是为了实现完美决策、为一致运营奠定基础并提供风险保护的。她指出:“在CIO权衡取消还是保留授权的风险之后,往往会做出违反规则的举动,这两种选择都代表着一定程度的财务、监管或绩效上的风险。”
Chowning说,规则可以是广泛的,也可以是精确的,可以应用于人员、流程、企业行为、技术要求和风险,所有这些都是为了帮助组织满足合规要求并实现基本目标的。
尽管如此,在某些情况下,遵循长期制定的规则是根本没有意义的。在某些情况下只要有一定的防护措施,以下这六种IT策略或协议就是可以忽略的,以完成需要完成的工作。
1、代码变更管理流程
Chowning说,有时可能会被打破而不产生外部影响的规则是,在没有先遵循所需的变更管理流程的情况下就把新代码或新功能投入生产。
变更管理的目的是确保监督水平的一致性,确保已经完成规定级别的测试,让运营部门准备好接受变更,并且有足够的后备计划,以防变更导致客户或业务中断。然而,在需要快速部署特定变更的情况下,可以跳过变更管理流程或稍后重新启动。
绕过变更管理流程的IT领导者面临的最大风险,是可能对业务和/或内部运营带来重大的负面影响。Chowning说:“这种违反规则的一个重要方面是,通过在后续操作尽快降低风险,如果最初遵循变更管理规则的话这些操作原本是可以解决问题的。”
清晰且简洁地权衡相关因素是很有必要的,可以证明跳过变革管理流程的决定是合理的。Chowning说,领导者如果能够制定与财务或时间相关的福利来降低违反规则的风险,就可以表明,他们已经深思熟虑了决策可能带来的影响,并对风险与价值之间的平衡有着客观的看法。
2、更改冻结期规则
有时候变更冻结期的规则是可以放弃的,在此期间,在指定的时间内(通常是在关键业务周期或假期前后)是不允许实施新系统或更新的。
产品策略顾问Michael Hyzy表示,在某些情况下可能需要打破这条规则,例如关键安全补丁或根据紧急业务需求立即更改系统。“在这种情况下,事实变更的直接好处,要大于规则强制要求的结构化谨慎。”
需要考虑的潜在风险包括系统停机、工作流程中断、甚至是如果没有管理好取消操作可能出现的安全漏洞。“因此,在继续之前进行严格的影响分析并制定回滚计划是至关重要的,”Hyzy建议。
证明决策的合理性,是需要与IT团队成员和管理领导者进行开放沟通的。Hyzy表示:“首先要列出各种情况、不做出改变存在的风险、以及为减轻潜在影响而采取的准备性措施,我们的目标是让每个人达成共识并做出明智的集体决定。”
Hyzy表示,虽然规则对于维持秩序和可预测性是至关重要的,但特殊情况下是需要特殊行动的。“过于严格有时候会让组织面临比故意违反规则更大的风险,前提是你的做法是透明的、明智的、并且为任何突发事件做好了充分的准备。”
3、关于自动化优先的承诺
自动化,特别是在结合了AI的时候,可以带来很多好处,包括提高生产力、效率和节省成本,这应该并且通常是IT的首要任务——除非某个组织正在处理一项复杂的或者新的任务,需要细致入微的人性化,初创公司创始人、加州大学洛杉矶分校和斯坦福大学的兼职教授Hamza Farooq这样表示。
当任务涉及创造性解决问题、道德考虑、或者是AI对特定活动或流程的理解可能较为有限的情况下,打破对自动化优先级的承诺是合理的做法,“例如,需要同理心和情商微妙地处理客户投诉,这个场景可能就更适合人际互动一些,”他说。
虽然在某些情况下,放弃自动化可能会带来更道德的结果并提高客户满意度,但也存在阻碍关键组织流程的风险。Farooq警告说:“过度依赖人工干预可能会影响日常任务的可扩展性和效率。”他指出,建立明确的指导方针来说明可能需要绕过自动化流程的情况,这一点非常重要。Farooq建议:“这个决定应该透明地传达给客户和内部团队。”
4、禁止外部网络连接
当谈到关键基础设施时,一项普遍的IT规则是永远不要将生产系统直接连接到外部网络。然而,食品行业网络安全咨询公司AnzenSage的首席执行官Kristin Demoranville对此并不认同。她说:“虽然制定这条规则的初衷是为了保护敏感的系统免受外部威胁,但在某些情况下,例外可能是有必要的。”
她说,有时实时数据共享是势在必行的,“例如,如果需要立即与外部实验室进行质量控制检查,或者与全球供应商展开合作以实现可追溯性,”这种情况下,直接连接外部网络可以加快流程,确保食品立即满足安全和质量标准。
她表示,虽然IT规则和协议是很重要的,但应该服务于使命,而不是阻碍使命。“当我们做出这些决定的时候,我们必须始终优先考虑安全、质量和透明度。”
5、资产管理监管
自定义表单开发商FormAssembly的安全与合规总监David Scovetta表示,只要库存数据出现技术问题,或者最终用户被阻止访问企业系统,打破这一规则就是有意义的。此外,每当部署不符合现有库存标准的新系统时,资产管理法规就可能需要暂时搁置。
Scovetta警告说,在违反这条规则之前,请确保你考虑到了各种风险。“应对这些场景通常需要IT和安全领导者之间展开合作,但只要安全措施到位,即使你没有对设备进行严格的核算,打破规则也是有意义的。”
6、紧急情况下的任何IT规则或策略
当危机情况突然出现的时候,可能会更改或者忽视既定的规则。Snow Software公司首席架构师Jesse Stockall表示:“在某些情况下,请求宽恕而不是请求许可,是有意义的做法。”
例如,安全事件通常需要快速做出决策,如果高层决策者无法参与其中,那么立即确定响应措施可能就是十分重要的。然而,Stockall指出,重要决策仍然应该是基于资历和信任的。“初级员工不应该随意操作。”
尽管如此,IT本质上还是一个创新的领域,这意味着按章办事并不总能产生预期的结果。具有经验和良好判断力的人,可能是可以根据需要改变规则的,而且通常这类员工会受到更大的约束。
Stockall表示,策略的存在仍然是有原因的,违反规则决不应该成为IT惯例。“随意的员工会带来风险,破坏工作场所的灵活性,随时推翻某个IT政策并不是好的做法。”
他认为,IT正在进入一个有更多规则和策略的时代,“这些护栏的存在是有原因的,包括网络安全攻击的增加、知识产权风险以及生成式AI带来的各种未知数。”