从保护物联网到重新培训IT人才,再到发现新的收入来源,有许多担忧正在使首席信息官(CIO)夜不能寐。
首席信息官被大量数据所淹没时,他们在想是谁负责保护这些数据。他们面临着削减成本的压力,同时当他们面对承包商所带来的困难以及迁移数据和服务到云端的挑战时,也试图保持灵活性。新的威胁一直都在不断涌现。
从发现合格的IT专业人士到使他们不离开公司,大量棘手的技术和人员问题正在使IT专业人士冷汗直冒。
2018年将出现大量新的问题——旧有问题仍旧存在——那么首席信息官最应当关注哪一方面?我们汇集了专家、企业最高管理层、招聘人员和处于同一战壕的这些人的意见,以找出最受关注的问题以及如何处理它们。
物联网安全
Forrest近来的一份安全报告发现,82%的企业会竭尽全力识别和保护与互联网设备。更糟糕的是,大多数企业不知道具有是谁负责管理这些设备。
报告表示:“调查结果显示,超过一半的受访者(54%)表示他们对物联网安全存在担忧。”
Balabit的安全布道官Csaba Krasznay表示,连同传统的弱连接,首席信息官需要考虑新出现的威胁。
Krasznay表示:“2018年,安全措施应当更加符合IT用户和他们的身份。通过辨别基线行为中的差别,行为监控甚至可以检测潜伏在特许凭证后最狡猾的网络罪犯——甚至基于片刻的生物特征,如打字速度或常见的拼写错误。”
再培训
CompTIA近来的一份调查显示,大约有40%的IT人员表示,他们并没有获得相关的培训,以使其工作变得更为高效。
DataArt Bulgaria的Viktor Andonov表示:“许多公司认为跟上技术创新是员工个人的责任。这一观点在80和90年代或许是正确的,但是在21世纪,平台的复杂性已经变得越来越大。当员工有较多工作任务要完成时,在职培训和学习如何利用新的框架是极其困难的。”
CompTIA的总裁和CEO Todd Thibodeaux表示,大多数企业在努力发现合格的技术人员。同时,对这些技术人员进行培训,以使他们满足工作要求同样令人倍感怯步。
Thibodeaux表示:“好消息是,大多数IT专业人士喜欢他们所从事的工作。他们的工作为他们带来了成就感。他们的技能和才能得到了很好的应用。他们看到了事业上无数的成长和发展机会——他们普遍很满意他们的报酬和福利。”
Thibodeaux表示,尽管IT人员可能十分热爱他们的工作,但是要想真正实现这一点,还需要在再培训上花费大量功夫。
他表示:“IT专业人士想要获取更多的培训发展资源和职业发展机会,以及对他们进行更多的职业生涯路径指导。他们也对获取更多的工具和参与更多的技术和应用程序感兴趣,也十分高兴有机会从事新的技术项目。”
Thibodeaux表示,对于2017年来说,再培训并不是一个新的问题,但是它将是一个持续存在的问题。“毕竟,培训员工的每分每秒都在损失金钱,因为员工没有在做实际工作。还有一个老生常谈的问题,‘如果某个员工培训合格后又离职了怎么办?’但是当谈到技术和他们为其支付工资来执行技术的人员时,他们应当问的问题是:如果我没有培训他们,而他们又留在了公司,情况会是怎样?”
数据过载
联合数据技术公司的首席信息安全官(CISO)Mike Sanchez表示,当前分析数据的方法经常不能显示对业务的实际影响。
Sanchez表示:“高官们和董事会成员应当能够决策如何最好地分配资源,并对能降低运营费用的修正策略或一个公司的风险敞口投入资金,或者两者都要进行。现在数据太多,因此,人们不知道他们应当跟踪哪些数据,以便加强其整体网络安全态势。仪表板中关键的性能指标应当可以很简单地让我们了解到安全形势。”
技能缺口
好消息是,IT职业空缺的数量持续增多。那么坏消息是?没有足够的拥有合格技能的员工,尤其是在安全方面。
“我们从多种渠道获取的最新就业数据显示,美国雇主在2017年第三季度发布了近60.4万个岗位。”CompTIA的Thibodeaux表示,“过去几年,在网络安全岗位方面,我们在缩小技能差距上取得了一些进展,但是与最终需要达到的效果相比还相去甚远。”
Thibodeaux表示,企业将不得不做出一些艰难的决策,确定如何满足人员需要以及公司内部需要做什么。
“哪些功能可能适合外包给一个技术解决方案提供商?”Thibodeaux表示,“许多企业发现,将一些常规、持续的任务承包给一个技术合作伙伴可以将内部技术团队解放出来,让他们专注于对企业来说更为先进和更具战略意义的活动。”
网络安全公司Forcepoint的首席信息官Meerah Rajavel表示,技能缺口问题短时间将持续存在。
Rajavel表示:“我们看见太多的企业并未做好准备去处理新的网络安全威胁,如恶意软件或行业间谍。任何一个航向修正都需要从底层提拔优秀的人才,对员工进行大范围的培训,并且这些培训应当是及时又具有体验式的,而不仅仅只是为了完成任务。”
创新和数字化转移
Gartner的数据显示,大约有三分之二的企业领导者认为他们的公司需要加快数字化转移,否则将面临失去竞争优势的风险。
云计算咨询公司Candid Partners合伙人Merrick Olives表示,大多数公司将持续走同样的道路,直到他们被强迫采取选择其他的路径。
Olives表示:“将IT支出用于战略业务能力,并回答‘这将如何使我们变得更有竞争力这一问题’是十分重要的。在将董事会级的目标反应在对预算的影响上,与基于工程的资助完全不同的基于价值流的资金模型正变得越来越高效。遗留和敏捷的数字化能力之间的成本结构和过程效率是十分不同的——敏捷的数字化能力更为便宜和高效。”
紧缩的预算
Forrester在2017年11月的一份报告显示,连同来自高层的怀疑,近一半的IT和业务线条上的受访者表示,预算是强化物联网安全的一大障碍。
CompTIA的Thibodeaux表示,风险并不只是安全威胁那么简单。
“问题在于企业是否想要发展壮大,还是落后于竞争对手。随着企业变得更数字化,技术从幕后来到了舞台中央,成为了达成长期目标的主要驱动力。熟练的、经过技能培训的合格IT专业人员对进行能取得技术回报的投资来说是十分重要的。他们拥有的专业知识能够将IT架构与企业整体的目标联系起来,并且能提供决策者所需的理论性指导,让他们去进行评估和权衡,从而选择不同的设备、应用程序或运作模式。”
发现新的收入源
电信费用管理软件公司Tangoe的副总裁Ian Murray表示,尽管商业蓝图不断变化,但是获利的基本前提还是一样的。
Murray表示:“发现和挖掘收益机会的流程基本上没有变化,即发现一个常见的普遍的问题,然后解决它,最后让人们为解决这个问题支付费用。”
混合IT基础设施提供商Peak 10 + ViaWest的首席产品主管Mike Fuhrman表示,发生改变的是,首席信息官对直接创收的重视程度。
Fuhrman表示:“可能我是一个守旧派,但是我不认为首席信息官应当担心直接创造收入。我开始看到我的同事们创造了越来越多的直接收入。为了尽好首席信息官的职责,许多首席信息官自己也在不断努力,以产生更多的收入。尽管这样考虑有一定的好处,但是我认为将注意力从团队和会议中分散出来也不失为一个处方。当谈及创收机会时,首席信息官应当关注的是,这些工程以及将业务转换到一个可扩展的自动化平台上。我们需要将视线转出企业内部,并从进入市场的角度进行扩展。这才是首席信息管应当专注收入的方式。”
更新遗留系统
今年夏天,人力资源公司Robert Half所编制的一份报告发现,近四分之一的首席信息官最关心更新遗留系统,以提高工作效率。
“这是众多行业担心的一个大问题,尤其是在一些特定的行业中,在那里,大量过时或寿命即将终止的系统仍旧被用来存储关键的数据或应用程序。”联合数据技术公司的Sanchez表示,“这些系统各自的制造商不再支持这些系统了,因此它们便不再能被更新为最新的版本,从而使得它们极易遭受攻击。这些平台能与其他网络关联起来,而这些网络可以将漏洞暴露出来,并且包括这些处于攻击中的连接系统。”
缺乏敏捷性
那些旨在合并灵活方式的企业有时候会发现,他们在某种混合模型中踉跄前行,即一种包含灵活的实践但也更为线性的“瀑布”式的模型。
Tangoe的Murray说道:“开发人员正在对特定的规格表编写代码,而不用过多地了解这一按钮或功能在整体的用户体验中是如何工作的。为了达到这一目的,就需要一个严格的方法,在这个方法中,一些发布版本会被用于解决特定的问题。每一个发布版本之后会协调工作,因此,便会形成一个考虑用户体验的综合的解决方案,其中每一个发布版本不仅仅只是可能或不可能相互进行支持的一些要求功能的集合。”
Murray提到了Apple iOS近来的更新,这一更新修复了一些漏洞但又引入了其他一些漏洞。Murray表示:“这个问题影响到了各种规模大小的公司。它进行了更新,以期解决安全漏洞和引入新的功能,但它也为用户带来了广为人知的麻烦。”
外包风险
技能缺口将促使许多企业寻求外界帮助,但是这些有时是必需的解决方案也可能会导致产生对可靠性和安全性的担忧。
Sanchez表示:“我们主要的关注焦点是,兑现我们向客户许下的承诺。你的企业的声誉和前途都是建立在这一关键的事情上的。在外包你的工作时,交付产品的质量有时是取决于你外包的公司的。考虑到我们管理的项目的敏感性,在需要我们考虑将一个项目的部分或所有要求的任务外包出去时,我们使用了严格的第三方供应商评估来评估合作伙伴的表现。”
除担忧质量外,外包还有一个广为人知的缺点:造成新的安全威胁。MetricStream的首席布道官和前白宫网络安全顾问French Caldwell说道:“首席信息官最应当担心的特定威胁是内部人员和承包商。直到我们不再采用密码认证,人都将是最大的威胁。”
迁移到云端时存在的陷阱
VMware和Dell的首席信息官Bask Iyer表示,随着更多的数据和服务被迁移到云端,一个潜在的危险是,将云看作是一个单个的公共实体。
Iyer表示:“IT人员在评估什么最适合企业时,他们也需要考虑一个私有云和(或)多云解决方案。这确保企业有多种选择,并能避免单个供应商锁定。IT人员也需要确定哪些app应当被迁移到云端。随着物联网的崛起,在边缘需要更多的马力,因此,IT人员需要扩大其云的选择。”
同时Sanchez也表示,首席信息官不能将保护其数据和app的责任推到主机公司身上。“企业必须明确安全控制,以便以它们在本地时同样应当具有的方式,保护其在云端的数据。许多公司并没有应用这些标准,而且自然而然地假定主机公司会提供所有他们所需要的保障措施。”
多个安全漏洞
据Hewlett-Packard Aruba部门的副主席Larry Lunetta表示,今年,安全噩梦将不断持续,并且最大的担忧是隐藏在众目睽睽之下。
Lunetta表示:“随着发起一起攻击并最终带来损害可能会花费几天、几周甚至几个月的时间,未来造成轰动的漏洞将会利用合法的凭证。内部的这些攻击可能开始于一个用户点击了虚假的电子邮件附件,一个心怀不满的员工胡作非为,或者由于设置了弱密码,或者与同事共享凭证。”
Lunetta表示,2018年,为了解决这些威胁,基于行为的检测技巧是需要的。
“企业将越来越多地使用基于人工智能的用户和实体行为分析系统,以便检测用户行为和网络连接设备中小的变化,因为这些通常都是出现一个攻击事件的前兆。”
