从技术债务的不断增加到云端的财务担忧,IT领导者必须识别、调查并制定计划,以管理若不加以控制可能会削弱其业务的几个关键运营风险。
作为数字化转型的领导者和前CIO,我对潜在风险有一种健康的警觉,可以称之为生存本能:那些可能破坏企业保持其使命并完成其目标的风险必须不断被揭示、评估,并采取措施减轻或管理这些风险。
企业的转型速度是否足够快?利益相关者是否在苦苦挣扎或不满?敏捷团队是否因太多优先事项而过度紧张?作为数字化先驱,我的许多担忧涉及可能破坏转型的问题,但真正让我夜不能寐的是运营和安全风险。
许多这些问题属于外部威胁的范畴,CIO必须投资于安全最佳实践,并建立监控和响应计划,以应对这些问题的出现。尽管安全风险令人望而生畏,治疗师提醒我们避免在控制范围之外的领域过度紧张。CIO必须尽最大努力保护企业,推动投资和实践,以尽量减少安全风险。
但运营风险是另一回事,对可能出错的事情保持健康的警觉是有帮助的。许多运营风险看似无害,但它们可能会瞬间显现,使IT陷入救火模式。在许多情况下,提出足够多的“假设”问题并计划出一系列情景,可以帮助你区分低影响的风险和值得投入资源来最小化或解决的高影响运营风险。
虽然以下许多内容看起来像是低风险运营问题,但随着时间的推移、增长或其他变化,它们可能变得难以管理。CIO应关注这五个风险,并在它们成为影响性问题之前寻求解决方案。
1. 来自关键任务系统的技术债务不断增加
CIO有充分的理由为不断增加的技术债务以及支持过时系统的影响感到担忧。
“永远不要浪费一次危机”是CIO们在看到其他企业的困境上新闻时对同行的建议。例如,美国新联邦学生资助申请(FAFSA)计划的推出延迟了一年,给许多寻求联邦学费援助的大学生造成了混乱。尽管许多人将此归咎于国会,但在管理该计划时确实存在一些根本性问题,其中一个主要原因是此次重设计需要彻底改造20多个系统,其中一些系统近50年没有更新过。
其中包括用Cobol开发的系统,这些系统连接了来自“令人眼花缭乱的多个机构”的私人信息——这就是为什么政府问责办公室在2019年将其列为十大最需要现代化的系统之一。
“遗留硬件系统是一个日益严重的问题,需要及时采取行动,”LeanTaaS的安全与合规总监Bill Murphy说,“随着这些系统的老化,雇主在获取替换硬件和招聘具备维护所需技能的人员方面面临困难。如果不及时解决技术债务,可能会导致灾难性后果。”
CIO今天需要考虑的一个问题是,软件开发中的代码生成AI是否在增加代码级别的技术债务,或者,有机会使用代码助手或低代码能力的GenAI来简化和减少代码。
“企业在创新和竞争中严重依赖软件,这往往充斥着劣质代码,导致技术债务不断增加,”Sonar的CIO Andrea Malagodi说,“AI有可能加剧这一问题,因为它与人类输出一样,产生的代码存在安全性、可靠性和可维护性问题。”
CIO们面对不断增加的技术债务时,必须将警觉转化为行动计划,传达当前的问题和未来的风险。一种方法是与董事会和执行委员会确定并达成一些不可协商的事项,概述在何种情况下应优先升级遗留系统,而非其他业务目标。
2. 团队压力和倦怠
压力和倦怠是CIO们应该关注的严重问题,包括他们自己、团队成员和同事。例如,在2024年的CISO倦怠报告中,80%的CISO认为自己“压力很大”,63%的人表示在管理职责时几乎没有得到支持,50%的人报告称由于工作压力失去了团队成员。
安全角色中的压力和倦怠是已知问题,因为这些角色的工作时间和从安全问题中恢复时的巨大压力,这些压力都需要尽量减少对业务的影响,但当团队感受到交付能力、解决缺陷和跟上最新技术的压力时,devsecops角色也同样充满压力。
现在,再加上数据、机器学习和AI,这些领域增加了整个企业的压力。在数据连接报告中,三分之二的IT员工表示因需要访问完成工作所需的数据而感到不堪重负,81%的员工认为同样的情况也适用于他们所在企业的其他员工。
CIO们应成为变革的推动者——这可能会带来压力——同时采取主动和持续的步骤来减少他们所在企业和整个公司的压力。由于更高的业务期望交付新技术能力、引领变更管理活动以及确保系统正常运行,倦怠的风险会增加。CIO们应提倡断开连接和减少压力的方法,例如改善沟通、简化操作和设定现实目标。
3. 破坏IT文化的监控实践
关于IT运营压力,CIO们需要关注的一个明确领域是监控服务、警报应用性能问题以及实现服务级别目标(SLO)。一方面,IT运营应对系统是否有足够的监控和自动化感到警觉,以确保系统运行良好,不会因终端用户升级问题和高管利益相关者表达不满而出现问题。另一方面,过多的监控工具、成千上万的警报和定义不清的SLO会导致普遍的IT事件救火文化。
“工程团队浪费了宝贵的时间追踪警报,”Logz.io的联合创始人兼CTO Asaf Yigal建议道,“CIO们需要设定目标,确保关注于对底线有直接影响的应用和基础设施错误,并将这些警报作为首要任务以获得立即关注。”
作为CIO,我担心在执行会议上被报告的IT中断,而监控工具未能捕获并且自动化未能修复。我还担心IT花在运营上的时间比例不断增加,这会削弱创新和转型的努力。
CIO们应使用这些指标来判断运营上的警觉何时需要采取行动:
员工报告许多系统性能问题,而这些问题本应被监控捕获。
网络运营中心(NOC)和站点可靠性工程师(SRE)正在应对越来越多的警报,且这些问题的平均恢复时间(MTTR)在增加。
高管们不愿意投资创新或与IT部门合作,因为他们认为IT系统的表现不佳或实际上表现不佳。
面对日益增长的监控工具和警报,CIO们可能希望调查AIops解决方案,这些解决方案有助于集中观测数据并使用机器学习将大量系统警报关联到少量可管理的事件中。
4. 第三方数据泄露
CIO推动数据驱动型企业的AI策略和目标导致了许多第三方合作伙伴、解决方案和SaaS工具的增加。安全和数据治理是一项日益严峻的挑战,根据2024年第三方风险管理研究,61%的公司报告了第三方数据泄露或安全事件,比去年增加了49%。
“要对第三方数据泄露和安全事件保持警惕,”Prevalent的COO兼首席战略官Brad Hibbert警告说,“为了减少第三方重大数据泄露的风险,自动化你的第三方风险管理流程,围绕统一的内部控制评估和持续的网络监控,修正发现的问题,并利用新的AI工具简化工作流程和风险分析。”
鉴于托管企业数据的系统数量不断增加,变化的速度加快,以及SaaS提供商频繁更改服务条款,CIO们完全有理由保持警惕。根据AI at work脉动调查,GenAI是一个新的催化剂,54%的员工表示他们依赖AI工具,而51%的员工称他们的经理鼓励使用AI。在许多企业中,添加SaaS和GenAI工具的速度超过了IT、信息安全和数据治理的努力。同时,根据第三方风险管理研究,企业只管理了三分之一的供应商的风险。
“考虑到全球第三方企业数量的增加,一旦数据离开企业,使用传统安全方法保护边界就变得无效,”Seclore的CEO兼联合创始人Vishal Gupta说,“保护网络边界的方法已不再足够,安全团队必须改为采用以数据为中心的主动安全方法,通过围绕数据本身进行保护。”
在与业务领导讨论影子IT和公民数据科学治理时,我经常引用超人谚语,“能力越大,责任越大。”许多人希望从分析和机器学习中获得所有好处,但在采用主动数据治理方面行动缓慢。再加上对GenAI助手的追求,CIO们有更多的理由在今天的警惕变成明天的业务危机之前加强数据治理。
5. 不断增加的云债务
在过去的十年里,CIO们将IT基础设施从数据中心转变为混合云和多云,同时使用devops自动化来赋能敏捷开发和数据科学团队自助解决基础设施需求。根据AAG2024年6月的云计算统计数据,89%的企业报告使用多云解决方案,82%的企业报告管理云支出已成为首要任务。
SADA的首席FinOps财务分析师Robin Roacho说:“CIO们应注意不断增加的云成本是否有明确的理由。”并建议:
在建立成本所有权时,确保资源已被标记和标签化。
确认财务模型准确解释了预算与实际的差异。
培养审核现有工作负载以进行优化和现代化的方法。
当出现意外支出时,创建或调整警报系统。
AI工作负载会增加额外的消耗,特别是对于那些开发大型语言模型(LLM)能力的企业。例如,有一个基准报告显示,在AWS推荐的默认实例上托管LLM Falcon 180B每月将至少花费23000美元。
尽管公有云报告了短期的云计算成本,CIO可以部署FinOps最佳实践来治理和管理云计算成本,但碳影响是另一个需要考虑的挑战。
Fusion Fund的创始人兼管理合伙人Lu Zhang分享说,2022年AI技术消耗了大约460太瓦时的电力。Zhang说,“这些数字突显了一个日益严重的问题,如果AI要成为可持续未来的一部分,这个问题必须得到解决。展望未来,不断改进AI算法和将可再生能源整合到数据中心是至关重要的。”
Mastek的CIO Mahesh Juttiyavar建议,“通过FinOps,我们防止了云成本的意外,同时坚持ESG原则,以实现可持续和负责任的IT未来。这种整体策略确保了韧性和长期成功。”
当我们考虑当今CIO继承的技术债务时,它们是前任们理性商业决策的副产品,以及治理和管理其长期影响的斗争。今天,围绕压力文化、数据泄露、IT运营需求和云基础设施消耗的短期思维可能成为新的危机前沿。CIO们应该对这些不断增加的风险保持警惕,平衡速度、敏捷性和创新与谨慎的风险管理实践。
