Paul Heltzel Charles

從保護(hù)物聯(lián)網(wǎng)到重新培訓(xùn)IT人才，直至尋找新的收入來(lái)源，首席信息官們面對(duì)太多的問(wèn)題，以至于日夜憂心忡忡。

當(dāng)首席信息官們從鋪天蓋地的數(shù)據(jù)中稍有喘息時(shí)，他們就在想誰(shuí)來(lái)保護(hù)數(shù)據(jù)。他們面臨著降低成本的壓力，同時(shí)還要非常敏捷地應(yīng)對(duì)與承包商打交道時(shí)遇到的困難，以及把數(shù)據(jù)和服務(wù)遷移到云中時(shí)所面對(duì)的挑戰(zhàn)。一直以來(lái)，隨著新威脅的出現(xiàn)，我們也要有隨之跟進(jìn)的應(yīng)對(duì)措施。

從尋找合格的IT專業(yè)人員到防止他們跳槽，一系列棘手的技術(shù)和人員問(wèn)題讓IT專家們冷汗直流。

面對(duì)2018年一系列的新問(wèn)題，以及未能解決的老問(wèn)題，首席信息官們首先應(yīng)關(guān)注什么？我們收集了來(lái)自專家、高管、新人以及老員工們的深度分析結(jié)果，以確定目前最重要的問(wèn)題，以及怎樣應(yīng)對(duì)這些問(wèn)題。

物聯(lián)網(wǎng)安全

Forrester最近的安全研究發(fā)現(xiàn)，82%的企業(yè)都在努力識(shí)別并保護(hù)聯(lián)網(wǎng)的設(shè)備。然而糟糕的是，很多企業(yè)并不清楚由誰(shuí)負(fù)責(zé)管理設(shè)備。

該研究報(bào)告稱：“調(diào)查結(jié)果顯示，超過(guò)一半的受訪者（54%）表示，他們因物聯(lián)網(wǎng)安全問(wèn)題而感到焦慮?！?/p>

Balabit的安全拓展專員Csaba Krasznay說(shuō)，除了傳統(tǒng)的薄弱環(huán)節(jié)（用戶），首席信息官還需要考慮新出現(xiàn)的威脅。

Krasznay說(shuō)：“2018年，安全措施應(yīng)該更貼近IT用戶，更符合他們的身份。行為監(jiān)測(cè)通過(guò)識(shí)別與基本行為的偏離——甚至是根據(jù)打字速度和常見(jiàn)拼寫錯(cuò)誤等細(xì)微的生物特征，能夠檢測(cè)出隱藏在授權(quán)憑證背后最狡詐的網(wǎng)絡(luò)犯罪活動(dòng)?！?/p>

再培訓(xùn)

據(jù)CompTIA最近的一項(xiàng)調(diào)查，大約40%的IT員工表示他們沒(méi)有得到有效開(kāi)展工作所需的培訓(xùn)。

保加利亞DataArt公司的Viktor Andonov說(shuō)：“很多公司認(rèn)為，跟上技術(shù)的發(fā)展是員工個(gè)人的事。上個(gè)世紀(jì)80年代和90年代可能是這樣，但在21世紀(jì)，平臺(tái)越來(lái)越復(fù)雜了。當(dāng)員工從事項(xiàng)目，需要交付成果時(shí)，很難參加工作培訓(xùn)，學(xué)習(xí)怎樣使用新框架開(kāi)展工作?！?/p>

CompTIA總裁兼首席執(zhí)行官Todd Thibodeaux說(shuō)，很多企業(yè)都在努力尋找合格的技術(shù)人員。在上班時(shí)間培訓(xùn)員工同樣非常困難。

Thibodeaux說(shuō)：“對(duì)企業(yè)方來(lái)說(shuō)好消息是，大多數(shù)IT專業(yè)人員都喜歡他們正在從事的工作。工作讓他們得到了個(gè)人成就感。他們的技能和才能得到了充分發(fā)揮。他們看到了其職業(yè)生涯成長(zhǎng)和發(fā)展的機(jī)會(huì)——他們對(duì)自己的薪酬和福利普遍感到滿意?！?/p>

Thibodeaux說(shuō)，雖然IT員工樂(lè)于工作，但通過(guò)再培訓(xùn)使他們保持工作狀態(tài)仍然還有很長(zhǎng)的路要走。

他說(shuō)：“IT專業(yè)人員希望有更多的培訓(xùn)和發(fā)展資源，以及更多的職業(yè)道路指導(dǎo)和職業(yè)發(fā)展機(jī)會(huì)。他們也有興趣去使用更多的工具，掌握更多的技術(shù)和應(yīng)用。他們還希望有機(jī)會(huì)參與新的技術(shù)活動(dòng)?！?/p>

Thibodeaux說(shuō)，對(duì)于2017年，這不是一個(gè)新問(wèn)題，而是持續(xù)不斷的問(wèn)題?！爱吘?，為員工培訓(xùn)留出的時(shí)間是占用了計(jì)酬工時(shí)或者‘實(shí)際工作時(shí)間。還有一個(gè)老生常談的問(wèn)題，‘如果我培訓(xùn)了某名員工，獲得了認(rèn)證，然后他離職了怎么辦？在技術(shù)方面，對(duì)于那些付出心血去實(shí)現(xiàn)技術(shù)的員工們，他們會(huì)問(wèn)，‘如果不培訓(xùn)員工，但他留下來(lái)了怎么辦？”

太多的數(shù)據(jù)

聯(lián)合數(shù)據(jù)技術(shù)公司首席信息安全官M(fèi)ike Sanchez表示，目前用于分析數(shù)據(jù)的方法往往無(wú)法對(duì)業(yè)務(wù)產(chǎn)生實(shí)際影響。

Sanchez說(shuō)：“高管和董事會(huì)成員應(yīng)該能決定怎樣最好地分配資源，并將資金投入到能夠減少運(yùn)營(yíng)開(kāi)支和降低公司風(fēng)險(xiǎn)的治理策略上。有太多的數(shù)據(jù)，員工們不知道他們應(yīng)該遵循什么來(lái)加強(qiáng)網(wǎng)絡(luò)安全整體態(tài)勢(shì)。應(yīng)該采用簡(jiǎn)單的儀表板格式來(lái)顯示關(guān)鍵績(jī)效指標(biāo)?！?/p>

技能差距

好消息是空缺的IT職位在不斷增加。壞消息？沒(méi)有足夠的技能符合要求的員工來(lái)填補(bǔ)這些職位，特別是安全職位。

CompTIA的Thibodeaux表示：“我們最近對(duì)各種來(lái)源的就業(yè)數(shù)據(jù)進(jìn)行的分析表明，2017年第三季度，美國(guó)用人單位發(fā)布了近60.4萬(wàn)個(gè)IT工作崗位。對(duì)于網(wǎng)絡(luò)安全的工作崗位，過(guò)去一年中我們?cè)谔钛a(bǔ)崗位空缺方面取得了一些進(jìn)展，有一些進(jìn)步，但還遠(yuǎn)未達(dá)到能滿足需求的程度。”

Thibodeaux說(shuō)，企業(yè)將不得不做出一些艱難的決定——怎樣在企業(yè)內(nèi)部填補(bǔ)人才需求，需要做哪些工作。

Thibodeaux說(shuō)：“哪些功能適合外包給技術(shù)解決方案提供商？很多企業(yè)發(fā)現(xiàn)，與技術(shù)合作伙伴簽合同去完成一些常規(guī)的、正在進(jìn)行的任務(wù)，有助于內(nèi)部技術(shù)團(tuán)隊(duì)騰出時(shí)間，把精力集中在更先進(jìn)、更有戰(zhàn)略意義的業(yè)務(wù)上?！?/p>

網(wǎng)絡(luò)安全公司Forcepoint的首席信息官M(fèi)eerah Rajavel說(shuō)，技能差距不會(huì)很快消失。

Rajavel說(shuō)：“我們看到有太多的企業(yè)還沒(méi)有準(zhǔn)備好應(yīng)對(duì)勒索軟件和工業(yè)間諜活動(dòng)等新的網(wǎng)絡(luò)安全威脅。任何過(guò)程的調(diào)整都需要包括從基層開(kāi)始的適當(dāng)?shù)娜瞬排囵B(yǎng)，以及更廣泛的員工安全培訓(xùn)，這些培訓(xùn)應(yīng)該及時(shí)、實(shí)用，而不是僅僅按部就班的照著去做。”

創(chuàng)新與數(shù)字化轉(zhuǎn)型

據(jù)Gartner數(shù)據(jù)，大約三分之二的業(yè)務(wù)領(lǐng)導(dǎo)認(rèn)為他們的公司應(yīng)加快其數(shù)字化轉(zhuǎn)型，否則就會(huì)敗給競(jìng)爭(zhēng)對(duì)手。

云咨詢公司Candid Partners的管理合伙人Merrick Olives說(shuō)，大多數(shù)公司將繼續(xù)沿著同樣的道路向前發(fā)展，直到他們被迫做出改變。

Olives說(shuō)：“重要的是，把IT支出與戰(zhàn)略業(yè)務(wù)能力掛鉤，并回答問(wèn)題‘這能否使我們更具競(jìng)爭(zhēng)力？與基于項(xiàng)目的投資相比，基于價(jià)值流的投資模式越來(lái)越有效地把董事會(huì)的目標(biāo)與預(yù)算影響結(jié)合起來(lái)。傳統(tǒng)系統(tǒng)與敏捷數(shù)字系統(tǒng)在成本結(jié)構(gòu)和流程效率上有很大差別——敏捷系統(tǒng)成本更低，效率更高。”

緊縮預(yù)算

據(jù)2017年11月Forester的報(bào)告，隨著來(lái)自高層的質(zhì)疑，近一半的IT和業(yè)務(wù)部門的受訪者表示，預(yù)算是加強(qiáng)物聯(lián)網(wǎng)安全的障礙所在。

CompTIA的Thibodeaux說(shuō)，風(fēng)險(xiǎn)不僅體現(xiàn)在安全威脅上。

Thibodeaux表示：“這歸結(jié)于企業(yè)是想要成長(zhǎng)壯大，還是被競(jìng)爭(zhēng)對(duì)手甩在后面的問(wèn)題。隨著企業(yè)越來(lái)越數(shù)字化，技術(shù)從后臺(tái)走向前臺(tái)，成為實(shí)現(xiàn)長(zhǎng)期目標(biāo)的主要推動(dòng)力。技術(shù)熟練、受過(guò)培訓(xùn)和認(rèn)證的IT專業(yè)人員對(duì)于技術(shù)投資的回報(bào)至關(guān)重要。他們的專業(yè)知識(shí)有助于在IT架構(gòu)基礎(chǔ)上實(shí)現(xiàn)企業(yè)目標(biāo)，在選擇設(shè)備、應(yīng)用程序和運(yùn)營(yíng)模型時(shí)，他們還能夠?yàn)闆Q策層權(quán)衡利弊提供幫助?！?/p>

尋找新的收入來(lái)源

電信費(fèi)用管理軟件公司Tangoe的副總裁Ian Murray說(shuō)，雖然商業(yè)環(huán)境在不斷發(fā)展，但盈利的基本前提都是一樣的。

Murray說(shuō)：“尋找和利用營(yíng)收機(jī)會(huì)的過(guò)程并沒(méi)有從根本上改變——找到我們可以解決的普遍問(wèn)題，而且人們也愿意出錢去解決這些問(wèn)題?！?/p>

混合IT基礎(chǔ)設(shè)施供應(yīng)商Peak 10 + ViaWest的首席產(chǎn)品官M(fèi)ike Fuhrman表示，有所改變的是首席信息官們更加重視直接創(chuàng)收。

Fuhrman說(shuō)：“也許我有些老了，但我認(rèn)為首席信息官不應(yīng)該擔(dān)心直接創(chuàng)收。我看到同行中這種現(xiàn)象越來(lái)越普遍了。首席信息官們?yōu)檎蔑@自己的地位，很多正在努力工作以證明自己。雖然這樣想有好處，但我認(rèn)為這也不利于業(yè)務(wù)部門與董事會(huì)溝通。對(duì)于創(chuàng)收機(jī)會(huì)，首席信息官所在的部門應(yīng)把工作重點(diǎn)放在項(xiàng)目上，在自動(dòng)化平臺(tái)上對(duì)業(yè)務(wù)進(jìn)行大規(guī)模的數(shù)字化。我們應(yīng)該從產(chǎn)品面市的角度看問(wèn)題，集中精力降低業(yè)務(wù)成本。這才是首席信息官們應(yīng)關(guān)注收入的原因?！?/p>

升級(jí)老系統(tǒng)

人力資源公司Robert Half去年夏天編制了一份報(bào)告，發(fā)現(xiàn)近四分之一的首席信息官最關(guān)心的是升級(jí)老系統(tǒng)以提高效率。

聯(lián)合數(shù)據(jù)技術(shù)公司的Sanchez表示：“這是一個(gè)很大的問(wèn)題，特別是在一些行業(yè)中，大量過(guò)時(shí)的或者接近壽命終了的系統(tǒng)仍然被用來(lái)保存關(guān)鍵任務(wù)的數(shù)據(jù)和應(yīng)用程序。這些系統(tǒng)的制造商不再為其提供支持，因此不能使用最新版本的更新來(lái)給這些系統(tǒng)打補(bǔ)丁，使得這些系統(tǒng)很容易受到攻擊。這些平臺(tái)可以與其他網(wǎng)絡(luò)互連，這會(huì)讓漏洞向外擴(kuò)散，與之互連的系統(tǒng)也會(huì)遭受攻擊。”

缺乏敏捷性

旨在采用敏捷方法的企業(yè)有時(shí)最終會(huì)陷入一種混合模式，這種模式包含了敏捷方法，但也有更多的線性“瀑布”方法。簡(jiǎn)言之，都不好。

Tangoe的Murray給出了這樣的解釋：“開(kāi)發(fā)者按照具體的規(guī)范進(jìn)行編程，但卻沒(méi)有從概念上理解某一按鈕和功能是否符合用戶總體體驗(yàn)。需要一種嚴(yán)謹(jǐn)?shù)姆椒▉?lái)解決這個(gè)問(wèn)題，解決方案能夠針對(duì)具體版本解決具體問(wèn)題。然后根據(jù)一組敏捷迭代來(lái)調(diào)整每一版本，形成全面的解決方案，每一版本的解決方案都增加到UX中，不只是簡(jiǎn)單地把所要求的功能匯集在一起，而這些功能不一定相互支持。”

Murray提到了最近的蘋果iOS更新，它修復(fù)了一些缺陷，但引入了其他缺陷。Murray說(shuō)：“這個(gè)問(wèn)題會(huì)影響各種規(guī)模的公司”，更新雖然解決了安全漏洞問(wèn)題，包括了新功能，但也會(huì)給用戶帶來(lái)不小的麻煩。

外包風(fēng)險(xiǎn)

技能差距將導(dǎo)致很多企業(yè)尋求外部幫助。但這些有時(shí)候非常需要的解決方案可能會(huì)帶來(lái)可靠性和安全性相關(guān)的問(wèn)題。

Sanchez說(shuō)：“我們的主要目標(biāo)是兌現(xiàn)我們對(duì)每位客戶的承諾。你的聲譽(yù)和業(yè)務(wù)都取決于這些關(guān)鍵承諾。把工作外包出去，交付的產(chǎn)品質(zhì)量完全取決于所外包的公司。考慮到我們管理的項(xiàng)目的敏感性，如果項(xiàng)目需要我們考慮外包部分或者全部所需的任務(wù)，我們會(huì)進(jìn)行嚴(yán)格的第三方供應(yīng)商評(píng)估，評(píng)估合作伙伴?！?/p>

除了質(zhì)量問(wèn)題，外包也帶來(lái)了眾所周知的安全威脅。MetricStream的首席拓展專員、前白宮網(wǎng)絡(luò)安全顧問(wèn)French Caldwell說(shuō)：“首席信息官最應(yīng)關(guān)注的威脅來(lái)自內(nèi)部人員和承包商。除非我們不再使用密碼進(jìn)行認(rèn)證，否則人類仍然是最大的威脅?！?/p>

遷移到云的陷阱

VMware和戴爾首席信息官Bask Iyer指出，隨著越來(lái)越多的數(shù)據(jù)和服務(wù)遷移到云中，潛在的風(fēng)險(xiǎn)是把云視為單一的公共實(shí)體。

Iyer說(shuō)：“當(dāng)IT評(píng)估什么最有利于業(yè)務(wù)時(shí)，還應(yīng)考慮私有云以及多云解決方案。這保證了您能夠有所選擇，不會(huì)鎖定在一家供應(yīng)商。IT還需要確定哪些應(yīng)用程序應(yīng)該遷移到哪個(gè)云中。隨著物聯(lián)網(wǎng)的興起，邊緣需要更多的能力，因此，IT應(yīng)擴(kuò)展云的可選范圍?！?/p>

Sanchez說(shuō)，首席信息官不能把保護(hù)數(shù)據(jù)和應(yīng)用程序的責(zé)任轉(zhuǎn)交給托管公司。“必須定義安全控制措施來(lái)保護(hù)云中的數(shù)據(jù)，其方式與保護(hù)網(wǎng)站的方式基本相同。很多企業(yè)沒(méi)有應(yīng)用這些標(biāo)準(zhǔn)，想當(dāng)然地認(rèn)為托管公司提供了他們需要的所有保障措施。”

多重安全漏洞

據(jù)惠普Aruba子公司副總裁Larry Lunetta，今年的安全形勢(shì)依然不容樂(lè)觀，最令人擔(dān)憂的東西往往就隱藏在眼前。

Lunetta說(shuō)：“未來(lái)能上頭條新聞的攻擊會(huì)選擇合法的憑證作為攻擊的起點(diǎn)，潛伏幾天、幾周甚至幾個(gè)月的時(shí)間才發(fā)起攻擊，最終造成破壞。內(nèi)部的攻擊則有可能始于用戶點(diǎn)擊錯(cuò)誤的電子郵件附件、心懷不滿的員工進(jìn)行惡意攻擊，或者是弱密碼，或者同事之間共享信任憑據(jù)，等等。”

Lunetta說(shuō)，“2018年需要基于行為的檢測(cè)新技術(shù)來(lái)應(yīng)對(duì)這些威脅。

越來(lái)越多的企業(yè)正在使用基于人工智能的機(jī)器學(xué)習(xí)用戶和實(shí)體行為分析系統(tǒng)，來(lái)發(fā)現(xiàn)用戶和聯(lián)網(wǎng)設(shè)備行為的細(xì)微變化，這其中往往隱藏著攻擊?！?/p>