影子IT的增长,“云”上的短板,安全上的漏洞—IT领导力不光要引导团队跨越这些障碍和缺陷,还要学会适应那些不可避免的挫折。
事实总是很残酷。
有些时候,总有一些让人无法接受的事情发生,比如,失去了对所在单位技术应用的控制权,或者说网络漏洞百出、代码写的糟糕,或者说无论你搞了多大带宽,看起来都永远不够,或者说不管承诺多美好,“云”也不是所有问题的最佳解决方案。
在这样一个拥有信用卡和键盘就能玩转自有数据中心的世界里,很容易让CIO们感觉不合时宜,甚至多余。幸运的是,虽然梦想很丰满,现实很骨感,但那并不意味着我们就要束手就擒。相反,那恰恰意味着需要搞清楚能改变些什么,又有哪些是不得不接受的现实!
下面是CIO们必须接受的六个IT现状:
1.影子IT已经走出阴影
5年前,IT管理中最令人头痛的事之一就是怎么处理BYOD(自带设备),管理雇员在工作中使用自己的智能手机也是一样难办。但现在,轻点几下鼠标或刷一下信用卡(指付费),他们就能随身携带的数据中心。信息安全保护和教育公司secureHIM的CEO Mike Meikle表示,“BYOD(自带设备)已经变成BYOIT(自带IT),雇员轻轻按几个键就能够建立一个从应用到存储的完整IT解决方案,并通过移动设备访问这些平台”。
Forrester 研究公司的副总裁Bobby Cameron认为,“随着时光流逝,影子IT的定义已经发生了很大改变。过去,影子IT是指工程师团队潜入机柜里的服务器并运行 ‘私货’。现在意味着销售和市场团队未经许可就登录到应用服务器或直接在AWS上运行应用服务。但是,这并不意味着IT应该‘安静的走开’。”
“事关数字授权,更事关用户导向。”Cameron说,“即使IT不再向内部用户直接提供产品和服务,但IT仍然需要知道用户需求并提供应与之相符的交付物”。
ThoughtWorks的首席顾问Seteven A. Lowe表示,“IT管理者的工作已经从控制雇员使用什么技术转变为雇员应如何获取服务提供指引”。他强调,“问题的关键并不在于控制,数年之前IT就已经不可逆的失去了控制。问题是在于战略,使用IT知识来帮助业务在使用第三方应用和服务时做出更好决策。
2.不能万事一“云”了之
六年前,Gartner公司的调查显示,超过40%的CIO相信他们马上就会将大部分IT运行放在“云”端。目前,虽然多数组织已经在“云”上运行一些关键的业务系统,但全面迁至“云”上仍然较为少见。
相反,Gartner预言,到2020年时候,90%的组织都会采用混合的基础架构,既保持一些IT资源在内部,也同时向公用或私有云服务商外购一些IT资源。毫无疑问,“云”在IT运维上有着令人惊叹的巨大影响,但它从没达到天花乱坠的广告宣传所吹嘘的高度。2017年6月,在对300名IT专业人员的调查中,约80%的人认为“云”在安全性、适用性、复杂性和成本等方面无法满足预期。云管理公司RightScale在2017年1月的调查显示,30%-45%的企业在云上的支出并不经济。
ThoughtWorks的首席顾问Lowe认为,“这是由于多数公司在条件反射式的迁往‘云’上的同时,并没有清楚的理解为什么这样做或如何去做。仅将一个重要服务迁移到云上并不能使其自动获得可靠性和可扩展性。要想真正的利用好‘云’,软件需要完全不同的构建和实现方式,如使用微服务来代替巨无霸式的软件体系“。
IDC副总裁Tom Maineli补充道,“那些认为能够把他们的剩余应用全部迁移到云端虚拟机的企业已经开始警觉。因此,总能找到无法虚拟化的应用,例如某个已经有25年历史的应用程序,但开发这个系统的企业已经消失了15年。你可能永远无法摆脱哪些每天都在使用的老旧的专利应用”。
3.你的系统已经被“黑”了
很显然,网络很脆弱,数据有风险,类似的事情越来越糟糕。事实上,来自身份盗用资源中心的数据显示,2016年以来,数据泄露事件增长了40%。
问题在于,该怎么办?很多企业通过投资网络安全设备,但Mike Meikle认为这是一个错误的方法。“人人都希望系统易于管理而难于攻破,但是通常情况下,都是以购买了难以管理的高价安全设备,并且敏感数据仍然处于未保护状态而告终。一个更聪明的做法其实是,假定你的环境已经‘沦陷‘,并围绕这些问题设计安全计划”。
Tom Maineli认为,“摒弃努力保护网络和设备的作法,更聪明的IT部门会聚焦于保护终端设备的上的公司数据。没人希望网络和终端有安全隐患,但再想一想,万一有什么人在机器里插入一个USB设备时会发生什么?公司的关键数据还会是安全的嘛?而当这些数据从邮件到邮件发送或从硬盘到硬盘拷贝的过程中又会发生什么?”
Cameron认为,“在某种程度上,安全状况变的更糟糕是因为有越来越多的设备和数据需要被保护。但是,基于Docker的容器技术以及AI驱动的泄露检测技术等能够缓解‘云‘数据中的一些问题。特别是在Equifax和Yahoo这种高曝光度的数据泄漏事件之后,各公司的董事会和高管层已经开始高度关注安全问题。”
“这就好像我们在星际迷航中被克林贡人追捕一样,但我们不知道如何解决”。
4.未打补丁的软件在“裸奔”
未打补丁的软件有巨大的安全隐患和合规风险。据Flexera公司在2017年的调查,10%的美国用户正在运行着未打补丁的Windows版本。Duo实验室在2016年5月的报告声称25%的商业系统存在过期软件的风险。
Waratek(一家应用安全公司)的执行副总裁兼CMO James Lee认为:“我们见过很多无法按时打补丁的客户,而且数量和时长都在增长,还有一些旧程序无法通过升级、重写或替换来提升安全性。而更糟糕的是,对软件开发者来说安全通常并非一个优先考虑的事项,激励的导向是满足需求并按时按预算交付代码。其结果就是:软件的脆弱性增加,更易被攻击。”
洛杉矶Martin Luther King Jr.社区医院代理首席安全官Mark S. Kandrich认为:”问题根源在于软件质量管理执行的失败。我已经在这个行业待的时间足够长,我清楚的认识到,如果忽略了技术缺陷,那就大错特错了。但现实是,80%的软件都是垃圾,其中20%更糟糕,只有极少数软件才是精品。”
他的应对方法是:假定系统将要出风险,并按照最坏条件下的场景来计划。
“要知道软件项目是会出问题的,上线后也可能会遇到黑客攻击”,他补充道,“所以我为‘失败’场景做计划,通过让系统出现故障,看看对我们来说检测到并修复它需要多长时间,并据此制定我的实施流程”。
5.多大的带宽都不够
有些事儿是不可避免的,例如,你刚刚在全公司范围内装好100G带宽的网络,就有高管层灵光乍现需要将所有培训和营销的4K视频流媒体化。
一个软件定义应用交付平台公司Cedexis的应用交付专家Simon Jones说,“不管互联网有多快,我们都会胡乱往里投入更大的文件传输直到网络拥塞。”据Cisco公司评估,由于移动流量入口和IOT(物联网)设备的加入,通讯网上的数据流量将在2021年翻倍。
“好消息是有些公司已经开始以更智能化方式的管理网络拥塞问题了”,Jones补充道,“遥感、数据处理和AI技术发展迅猛,能够更好的通过自动化操作避免网络减速。管理互联网流量就像Waze(谷歌旗下在线地图应用)管理司机一样:智能发现拥塞点周边所有可能的路由并导流,只有当没用任何可选路径的时候,网络才会慢下来或停止”。
6.IT至关重要,但必须与时俱进
即使自助IT爆发增长,IT专家也仍有着很高的价值。但他们需要不断的提升自我,打磨新技能,还得愿意从机器人那里得到帮助。
“成功的IT专家擅长因时而动”,东北大学硅谷学院院长兼CEO PK Agarwal认为,“几年以前,IT专家讨论的是数据管理和开发,现在,他们讨论IOT(物联网)和DevOps。话题也许不同,但要求的核心技能并没有改变。”
“今天的IT领导者更依靠软技能和情感智力,并以此引导旧生态系统在数字化转型冲突中的复杂沟通协调。随着自动化和自助服务的高涨,IT专家们更加需要终身学习的支撑”。
云安全公司Lacework的副总裁认为:“技术专家们在不断提升从海量数据挖掘信息的能力,并通过AI自动架驶这样的新应用,显著改变了技术交付的作用,其目的就是降低低水平和重复劳动。云安全也是一个很好的例子,机器学习能够提升IT的执行能力。从漏洞检测到调研分析,机器学习能够实施和分析数十亿的事件和数以千计虚拟机的输出结果,这一点无人可及。充分利用这些技术的同时,IT团队可以将注意力放在更重要的事情上”。
Lowe提醒道:“但是,CIO们仍然有责任去改变IT被视为成本中心、技术专家被视为命令执行者的污名或偏见。如果你想被作为一个战略合作伙伴来对待,那你必须表现的像一个战略合作伙伴。在这个过程中,可能会有一些不那么令人舒服的对话和交流。但将IT塞进上层战略思维之中能够产生重要的影响,也能够改变一些合伙人的观念。这很重要!”
