CIO面临的最棘手的12大问题

　　从保护物联网到重新培训IT人才，直至寻找新的收入来源，首席信息官们面对太多的问题，以至于日夜忧心忡忡。

　　当首席信息官们从铺天盖地的数据中稍有喘息时，他们就在想谁来保护数据。他们面临着降低成本的压力，同时还要非常敏捷地应对与承包商打交道时遇到的困难，以及把数据和服务迁移到云中时所面对的挑战。一直以来，随着新威胁的出现，我们也要有随之跟进的应对措施。

　　从寻找合格的IT专业人员到防止他们跳槽，一系列棘手的技术和人员问题让IT专家们冷汗直流。

　　面对2018年一系列的新问题，以及未能解决的老问题，首席信息官们首先应关注什么？我们收集了来自专家、高管、新人以及老员工们的深度分析结果，以确定目前最重要的问题，以及怎样应对这些问题。

　　物联网安全

　　Forrester最近的安全研究发现，82%的企业都在努力识别并保护联网的设备。然而糟糕的是，很多企业并不清楚由谁负责管理设备。

　　该研究报告称：“调查结果显示，超过一半的受访者（54%）表示，他们因物联网安全问题而感到焦虑。”

　　Balabit的安全拓展专员Csaba Krasznay说，除了传统的薄弱环节（用户），首席信息官还需要考虑新出现的威胁。

　　Krasznay说：“2018年，安全措施应该更贴近IT用户，更符合他们的身份。行为监测通过识别与基本行为的偏离——甚至是根据打字速度和常见拼写错误等细微的生物特征，能够检测出隐藏在授权凭证背后最狡诈的网络犯罪活动。”

　　再培训

　　据CompTIA最近的一项调查，大约40％的IT员工表示他们没有得到有效开展工作所需的培训。

　　保加利亚DataArt公司的Viktor Andonov说：“很多公司认为，跟上技术的发展是员工个人的事。上个世纪80年代和90年代可能是这样，但在21世纪，平台越来越复杂了。当员工从事项目，需要交付成果时，很难参加工作培训，学习怎样使用新框架开展工作。”

　　CompTIA总裁兼首席执行官Todd Thibodeaux说，很多企业都在努力寻找合格的技术人员。在上班时间培训员工同样非常困难。

　　Thibodeaux说：“对企业方来说好消息是，大多数IT专业人员都喜欢他们正在从事的工作。工作让他们得到了个人成就感。他们的技能和才能得到了充分发挥。他们看到了其职业生涯成长和发展的机会——他们对自己的薪酬和福利普遍感到满意。”

　　Thibodeaux说，虽然IT员工乐于工作，但通过再培训使他们保持工作状态仍然还有很长的路要走。

　　他说：“IT专业人员希望有更多的培训和发展资源，以及更多的职业道路指导和职业发展机会。他们也有兴趣去使用更多的工具，掌握更多的技术和应用。他们还希望有机会参与新的技术活动。”

　　Thibodeaux说，对于2017年，这不是一个新问题，而是持续不断的问题。“毕竟，为员工培训留出的时间是占用了计酬工时或者‘实际工作’时间。还有一个老生常谈的问题，‘如果我培训了某名员工，获得了认证，然后他离职了怎么办？’在技术方面，对于那些付出心血去实现技术的员工们，他们会问，‘如果不培训员工，但他留下来了怎么办？’”

　　太多的数据

　　联合数据技术公司首席信息安全官Mike Sanchez表示，目前用于分析数据的方法往往无法对业务产生实际影响。

　　Sanchez说：“高管和董事会成员应该能决定怎样最好地分配资源，并将资金投入到能够减少运营开支和降低公司风险的治理策略上。有太多的数据，员工们不知道他们应该遵循什么来加强网络安全整体态势。应该采用简单的仪表板格式来显示关键绩效指标。”

　　技能差距

　　好消息是空缺的IT职位在不断增加。坏消息？没有足够的技能符合要求的员工来填补这些职位，特别是安全职位。

　　CompTIA的Thibodeaux表示：“我们最近对各种来源的就业数据进行的分析表明，2017年第三季度，美国用人单位发布了近60.4万个IT工作岗位。对于网络安全的工作岗位，过去一年中我们在填补岗位空缺方面取得了一些进展，有一些进步，但还远未达到能满足需求的程度。”

　　Thibodeaux说，企业将不得不做出一些艰难的决定——怎样在企业内部填补人才需求，需要做哪些工作。

　　Thibodeaux说：“哪些功能适合外包给技术解决方案提供商？很多企业发现，与技术合作伙伴签合同去完成一些常规的、正在进行的任务，有助于内部技术团队腾出时间，把精力集中在更先进、更有战略意义的业务上。”

　　网络安全公司Forcepoint的首席信息官Meerah Rajavel说，技能差距不会很快消失。

　　Rajavel说：“我们看到有太多的企业还没有准备好应对勒索软件和工业间谍活动等新的网络安全威胁。任何过程的调整都需要包括从基层开始的适当的人才培养，以及更广泛的员工安全培训，这些培训应该及时、实用，而不是仅仅按部就班的照着去做。”

　　创新与数字化转型

　　据Gartner数据，大约三分之二的业务领导认为他们的公司应加快其数字化转型，否则就会败给竞争对手。

　　云咨询公司Candid Partners的管理合伙人Merrick Olives说，大多数公司将继续沿着同样的道路向前发展，直到他们被迫做出改变。

　　Olives说：“重要的是，把IT支出与战略业务能力挂钩，并回答问题‘这能否使我们更具竞争力？’与基于项目的投资相比，基于价值流的投资模式越来越有效地把董事会的目标与预算影响结合起来。传统系统与敏捷数字系统在成本结构和流程效率上有很大差别——敏捷系统成本更低，效率更高。”

　　紧缩预算

　　据2017年11月Forester的报告，随着来自高层的质疑，近一半的IT和业务部门的受访者表示，预算是加强物联网安全的障碍所在。

　　CompTIA的Thibodeaux说，风险不仅体现在安全威胁上。

　　Thibodeaux表示：“这归结于企业是想要成长壮大，还是被竞争对手甩在后面的问题。随着企业越来越数字化，技术从后台走向前台，成为实现长期目标的主要推动力。技术熟练、受过培训和认证的IT专业人员对于技术投资的回报至关重要。他们的专业知识有助于在IT架构基础上实现企业目标，在选择设备、应用程序和运营模型时，他们还能够为决策层权衡利弊提供帮助。”

　　寻找新的收入来源

　　电信费用管理软件公司Tangoe的副总裁Ian Murray说，虽然商业环境在不断发展，但盈利的基本前提都是一样的。

　　Murray说：“寻找和利用营收机会的过程并没有从根本上改变——找到我们可以解决的普遍问题，而且人们也愿意出钱去解决这些问题。”

　　混合IT基础设施供应商Peak 10 + ViaWest的首席产品官Mike Fuhrman表示，有所改变的是首席信息官们更加重视直接创收。

　　Fuhrman说：“也许我有些老了，但我认为首席信息官不应该担心直接创收。我看到同行中这种现象越来越普遍了。首席信息官们为彰显自己的地位，很多正在努力工作以证明自己。虽然这样想有好处，但我认为这也不利于业务部门与董事会沟通。对于创收机会，首席信息官所在的部门应把工作重点放在项目上，在自动化平台上对业务进行大规模的数字化。我们应该从产品面市的角度看问题，集中精力降低业务成本。这才是首席信息官们应关注收入的原因。”

　　升级老系统

　　人力资源公司Robert Half去年夏天编制了一份报告，发现近四分之一的首席信息官最关心的是升级老系统以提高效率。

　　联合数据技术公司的Sanchez表示：“这是一个很大的问题，特别是在一些行业中，大量过时的或者接近寿命终了的系统仍然被用来保存关键任务的数据和应用程序。这些系统的制造商不再为其提供支持，因此不能使用最新版本的更新来给这些系统打补丁，使得这些系统很容易受到攻击。这些平台可以与其他网络互连，这会让漏洞向外扩散，与之互连的系统也会遭受攻击。”

　　缺乏敏捷性

　　旨在采用敏捷方法的企业有时最终会陷入一种混合模式，这种模式包含了敏捷方法，但也有更多的线性“瀑布”方法。简言之，都不好。

　　Tangoe的Murray给出了这样的解释：“开发者按照具体的规范进行编程，但却没有从概念上理解某一按钮和功能是否符合用户总体体验。需要一种严谨的方法来解决这个问题，解决方案能够针对具体版本解决具体问题。然后根据一组敏捷迭代来调整每一版本，形成全面的解决方案，每一版本的解决方案都增加到UX中，不只是简单地把所要求的功能汇集在一起，而这些功能不一定相互支持。”

　　Murray提到了最近的苹果iOS更新，它修复了一些缺陷，但引入了其他缺陷。Murray说：“这个问题会影响各种规模的公司”，更新虽然解决了安全漏洞问题，包括了新功能，但也会给用户带来不小的麻烦。

　　外包风险

　　技能差距将导致很多企业寻求外部帮助。但这些有时候非常需要的解决方案可能会带来可靠性和安全性相关的问题。

　　Sanchez说：“我们的主要目标是兑现我们对每位客户的承诺。你的声誉和业务都取决于这些关键承诺。把工作外包出去，交付的产品质量完全取决于所外包的公司。考虑到我们管理的项目的敏感性，如果项目需要我们考虑外包部分或者全部所需的任务，我们会进行严格的第三方供应商评估，评估合作伙伴。”

　　除了质量问题，外包也带来了众所周知的安全威胁。MetricStream的首席拓展专员、前白宫网络安全顾问French Caldwell说：“首席信息官最应关注的威胁来自内部人员和承包商。除非我们不再使用密码进行认证，否则人类仍然是最大的威胁。”

　　迁移到云的陷阱

　　VMware和戴尔首席信息官Bask Iyer指出，随着越来越多的数据和服务迁移到云中，潜在的风险是把云视为单一的公共实体。

　　Iyer说：“当IT评估什么最有利于业务时，还应考虑私有云以及多云解决方案。这保证了您能够有所选择，不会锁定在一家供应商。IT还需要确定哪些应用程序应该迁移到哪个云中。随着物联网的兴起，边缘需要更多的能力，因此，IT应扩展云的可选范围。”

　　Sanchez说，首席信息官不能把保护数据和应用程序的责任转交给托管公司。“必须定义安全控制措施来保护云中的数据，其方式与保护网站的方式基本相同。很多企业没有应用这些标准，想当然地认为托管公司提供了他们需要的所有保障措施。”

　　多重安全漏洞

　　据惠普Aruba子公司副总裁Larry Lunetta，今年的安全形势依然不容乐观，最令人担忧的东西往往就隐藏在眼前。

　　Lunetta说：“未来能上头条新闻的攻击会选择合法的凭证作为攻击的起点，潜伏几天、几周甚至几个月的时间才发起攻击，最终造成破坏。内部的攻击则有可能始于用户点击错误的电子邮件附件、心怀不满的员工进行恶意攻击，或者是弱密码，或者同事之间共享信任凭据，等等。”

　　Lunetta说，“2018年需要基于行为的检测新技术来应对这些威胁。

　　越来越多的企业正在使用基于人工智能的机器学习用户和实体行为分析系统，来发现用户和联网设备行为的细微变化，这其中往往隐藏着攻击。”

　　作者/Paul Heltzel 编译/Charles

　　Paul Heltzel是《探索新闻》的高级制作人。他曾在新闻应用程序出版商Daily Interactive、国家地理杂志、NPR和PC World杂志工作过。他和他的妻子Deborah以及三个孩子一起住在弗吉尼亚州的Rappahannock River。

　　原文网址：

　　http：//www.cio.com/article/3245772/it-strategy/the-12-biggest-issues-it-faces-today.html

关注读览天下微信， 100万篇深度好文， 等你来看……