这是一个常见的抱怨:从业务部门的管理人员了解一个新的,往往基于云计算的产品,他们想尝试一下。只有他们不能,因为它已颁布法令,这个奇妙的新产品产生太大的风险。沮丧的企业高管抱怨,这是在我们前进的道路站着。正如一位企业负责人说,它是“哪里的梦想去死。”
这个问题可能不是由专业技术人员对创新的新产品在一些顽固不喜欢撒谎。这个问题,CIO和其他专家的认同,是大多数企业不具备评估和有关技术风险决策一个现实,平衡或成熟的系统。特别是总是有新的执行某些东西的风险。
“有人,通常在业务线,有他们要使用一些SaaS的产品,他们为它提供一个商业案例:“这是所有的好东西,可能导致因使用此它会让我的号码。我可以从任何地方访问它,” Gartner的分析师杰伊·海舍尔表示。
在这一点上,有人问,以确定有问题的软件是否是安全的使用。“然后开始一个可笑的尝试,以防止发生坏事,”海泽说。保证工程的违约金可能手段将规定到供应商的标准合同的情况下遭受的任何损失完全赔偿。“这些都是千篇一律的产品;公司拥有30,000个客户,他们不打算进行合同谈判,”他说。
接下来是对云提供商的安全实践的问题,但在这里再次,海泽说,这是很难或不可能构建一个问卷调查,将完全确定供应商将确保数据安全。现场考察可能是有益的,但客户的绝对数量将使它不可能为供应商,欢迎其中的大多数。甚至当你在一个供应商的工厂站在它的服务器直看,不给你访问谁写代码的人。
总之,有没有办法保证安全性,尤其是基于云计算的产品的是,海泽说。因此,IT专业人员往往采取最简单的路径,并拒绝给予他们的认可,进而赢得他们的声誉作为梦想的杀手。它是保证在各方面的挫折的设置,另一个是为调整超过成熟。
但是改变it需要认真地重新思考企业如何与it合作来做出技术决策。这并不容易,但这里有一些地方可以开始。
1.让CIO们关如坐针毡
与任何一个CIO长时间谈论技术风险,一个公司的名字很可能会出现:Target。去年12月和今年1月,这家零售商遭遇了被广泛报道的数据泄露事件,导致1.1亿张信用卡被盗。假设所有信用卡都属于不同的人,这个数字相当于美国人口的三分之一以上。随着尘埃落定、诉讼提起,当目标公司的首席信息官贝斯•雅各布斯(Beth Jacobs)提出辞职时,没有人感到惊讶。
雅各布曾在大约六年的工作,把她的右手在平均CIO任期根据CIO杂志的CIO调查2014年国家。这是一个事实值得注意,因为它后面躺着一个黑暗的真相:大多数CIO认为他们总是一个大失败科技离失去工作。“我不知道她是否做了很好的工作或没有,但她被解雇了,”海泽说。“实际上,如果东西坏了,他们会去寻找一个替罪羊。”因为CIO们面对现实,他补充说,很容易看出为什么他们最有动力,使“极端保守的决定。”
“我们定期加密我们的系统,我们审计的东西,”一位CIO倾诉。“我们已经尽了我们绝对是最好的,以确保从未有一个缺口。不过,就像目标CIO,如果我在这里呆足够长的时间,就会出现一种情况,我得到指责。”
2.停止问错了问题
“我得到了很多来自Gartner的客户谁想要一个明确的,读出一些云系统是否‘安全’与否的问题,”海泽说。“这是错误的答案和错误的问题。”
首先,有没有这样的事,作为一个完全安全的系统开始。“不可避免的,因为你是一个守门员,有时人们将比分事情会出问题,”马特·鲍威尔,CIO在Kirshenbaum债券Senecal +合作伙伴,总部设在纽约的广告代理商说。“我们所做的,而不是什么是谈论的相对风险。”鲍威尔说,他已经读了美国国家安全局的站立姿势是,它的所有的系统都被入侵时间的100%。如果与传说中的技术熟练程度,政府机构做这样的假设,他认为,每个人都应该这么做。一旦你采取这种心态,他说,“这多少是有风险的事,多长时间。”
不幸的是,海泽说:“有没有办法概念化的风险。”虽然许多组织,包括Gartner的数据,试图把手指放在风险状况和情景,“有没有什么好的办法来量化,”他说。“如果你能告诉企业有在任何一年有5%的机会,你的竞争对手可能会通过此服务访问您的数据和进行统计学备份,你可以基地周围的决定,但它仍然会是一个情绪化的决定“。
3.开始称重,风险与回报
有没有合理的方式作出正确的决定,如果你正在寻找的是不好的事情,如果一个新的系统,导致数据破坏或故障可能发生。一个明智的做法,以IT管理需要权衡采用一项新技术,以及不采用它,失去的机会或竞争优势的业务风险的商业利益风险增大。
下页>继续
IT风险
让法决定
当谈到降低技术风险,有时法律可以成为你最好的朋友。对于在医疗保健领域的CIO,例如健康保险流通与责任法案(HIPAA)可以作为一个指南是什么,是不能接受的风险;它也可以采取一个强大的安全姿态提供一个明确的说法。
“HIPAA主宰我们所做的一切,”贾森·托马斯,CIO的说,在绿色诊疗,拥有6个卫星位置的所有医师独资工厂,总部设在拉斯顿,拉“我们用它来看看所有的决定:如果是这样来的?保护患者数据?我们对数据进行加密之前,我们把它发送给其他人吗?如果我们把它,他们有与我们签订了业务协议,它们是否符合HIPAA标准?”
决定是什么,并没有资格作为“符合HIPAA标准”并不像人们想象的简单。“HIPAA有很多的要求,但他们是非常模糊的,”托马斯说。“这是近10年前写的,没有人真正知道它说的导致很多人是要么非常不严或非常严格,其中HIPAA而言有些不担心加密或审核他们的访问 - 。他们的解释是,它不适用“。
绿色诊所归结于频谱,他说,严格的结束,以及偶尔的摩擦造成与供应商和谁想要购买他们的产品医生。“现在有很多销售的销售代表那里,他们坦言并不总是站在我们这一边,”他说。
例如,绿色诊所的IT团队坚持使用加密所有的病人数据。“我们有一个工厂,做X射线,和我们有供应商告诉我们,他们将建立自己的工作站,安装他们的软件,这就是它如何需要留下来,”托马斯说。从他的角度来看,有现场的他无法管理或加密是不能接受的方式处理患者数据的装置。“我不能只是有一个工作站降到我的门,一切没说的,”他说。
使用HIPAA坚持更高的安全标准,已经制定了托马斯和他的团队。“我已经有一些厂商谁已经做了他们的方式了20年昏倒并做到这一点,我们想要的方式,”他说。
HIPAA工程作为大棒只对那些属于其领域内的行业。但是,几乎每个行业都有州或联邦监管机构必须回答,除此之外,合同协议的制度。例如,直接采用信用卡付款必须遵守支付卡行业数据安全标准(PCI DSS)的组织。
再就是与业务合作伙伴和客户的合同。例如,在广告公司Kirshenbaum债券Senecal +合伙人,首席信息官马特·鲍威尔可以参考客户合同的时候,他需要员工的积极性为基于云的新产品,以遏制。当创作团队最近试图开始使用基于云的成像系统,它与Adobe Photoshop集成,鲍威尔没有说,因为新的软件会给客户数据提供者的访问。“如果我们的移动生态系统的出,它创建了一个合同问题,”他说。更糟的是,有些云供应商有给他们重用任何上传的数据的权利,这东西显然出界属于客户的任何服务条款。
在这种情况下,鲍威尔会努力找到一个解决方案,例如,获得书面例外,从机构客户的合同。但是,这只能在某些时候。“如果组织或技术供应商还没有构建自己的产品中,提供了适当的法律和技术保护的方式,难以与该产品的工作,”他说。
当发生这种情况时,内部的对话是很困难的,但鲍威尔说,这很容易使自己的观点:“我的回答是,“你喜欢你的薪水将其写入我们检查来自客户,如果客户火灾我们在为违反合同的,它变得更难工资。'”
敏达Zetlin
如何CIO来说,没有组织和它的战略,作出判断像这样的大画面的看法?他们最好把大图片浏览,建议弗兰克Petersmark,在管理咨询X CIO主张通过2法明顿希尔斯,密歇根州和前任CIO在Amerisure保险,一个102岁的财产和伤亡公司,拥有超过6亿$的直接保费,也位于法明顿希尔斯。“你必须把技术风险为业务方面,”他说。“如果有一个数据破坏和客户的信息就在那里,他们会如何感觉?它将如何影响销售或盈利能力?”
这是新的CIO角色的一部分。“CIO必须从CIO 1.0进化,技术人员的人在那里的灯光闪烁,我们不知道他们做了什么房间,”他说。“现在我们提出来,我认为,CIO 6.0,对与行政的同事们一个完整的贸易伙伴移动。你应该知道你的组织的业务领域,以及任何人谁在那里工作。其原因是显而易见的。科技就是这样一个推动者或功能停止了,这就是他们想要的那种IT领导者“。
4.建立技术风险概况
你的企业领袖,与贵公司的财务顾问工作,无疑确定了它们的“风险偏好”,也就是当它涉及到的投资 - 他们多少损失都愿意追求经济利益的风险。他们可能已经做了同样的为他们的个人投资。
现在是时候来看看技术,通过相同的镜头。Petersmark表明,它可以去到C套件和说,“我们已经进行了一些思考一下,我们可以做出更大的飞溅在市场上,如果我们多一点开放的风险。我们希望你,先生。或CEO女士,帮我们想想,给我们的市场影响力和商业收益业务损失的风险之间的连续性的地方“。
一个聪明的组织会采取这种做法,他说,“而不是仅仅把它留给CIO要像恺撒与角斗士,总是指着竖起大拇指或大拇指朝下。”
5.学会生活与Nuance
“如果你想要拥抱云计算,你不得不忍受模糊性”,但它需要一个成熟的组织做的是,海泽说。“如果人们做出决定的真正理解,这是一个微妙的决定,这是完全运行在可接受的风险水平没事,他们能做出正确的决定。该组织需要有一个健康的文化,可以处理不明确的决定。你可以“T有CIO的思维“,如果它打破,这将是我的错。”
你也应该有,如果出现错误,可能会发生不良事件的细致入微的观点,海泽补充道。Target的经验尽管是相等的创建并不是所有的漏洞。“大多数安全故障是没有注意到,生活在继续,”他说。
不过,一些IT领导,精心维护两个他们公司的网络和自己的工作,试图得到尽可能接近‘安全’,因为他们可能可以。“有些技术专家认为的‘可接受的风险’的概念,是一个矛盾的说法。他们是完美主义者,”海泽笔记。在光谱的另一端是他所称的“无花果leafers” - 人谁人物,所提供的标准安全很可能是不够好。
“成功的组织管理冲突,”他说。“答案是这两个极端之间的某个地方。”
6.开始共享信贷和惹的祸
同程技术风险往往是管理的一个深刻的问题是,信贷的良好成果和坏的结果不公平分配。如果它批准一个新的云服务,业务部门希望和服务增加销售或以其他方式受益的底线,那么这就是使用它可能会得到的荣誉,也许财务回报,以及营业部。在另一方面,如果新系统导致安全故障或其他故障,它会得到所有的指责。