开源实践联盟通信 2021年 12月10日

新的一年,谈谈CIO们的工作重点

安全性、IT 与业务目标协调性、人员配备将是 CIO 未来一年的关键关注点。

又到一年末,相信各大CIO已经在着手为2022年制定规划。而前进的道路看似变幻莫测,但具有战略眼光的CIO们不妨重点考量以下三大核心领域,引导企业在新的一年内继续稳步向前:

建立纵深防御体系

多位CIO表示,网络安全将成为2022年发展计划的重中之重。如今网络攻击正变得愈发频繁、愈发复杂,遭受攻击后的修复成本也越来越高。所以除了继续对最终用户做好安全意识培训之外,建立起纵深防御体系也成为保障安全的必要手段。

首先,对公司的战略计划做出全面审查,例如是否有收购计划、是否会扩张业务、是否开拓新地区市场等,并有针对性地制定出重点关注基础安全知识的2022年网络安全路线图。

接下来,为系统安装最新补丁、部署强大的端点安全解决方案,同时建立并持续测试值得信赖的备份系统。最后,制定事件响应计划并定期组织演习,随时复盘并总结经验。

根据ISACA公布的能力成熟度集成模型(简称CMMI,如下图所示)审核整体准备情况,并制定计划以逐步解决并改进所有安全领域。另外,木桶理论在网络安全领域尤其重要,请先将各种能力的水平提升至3级,再考虑着重推进至更高水平。

数据来源 – ISACA CMMI: https://cmmiinstitute.com

市面上的种种新兴技术看似诱人,但企业在制定计划时还是应该脚踏实地、着眼于基础安全功能,保证系统不致沦陷于基本攻击之下。机器学习或者AI漏洞/威胁分析等高级功能当然酷炫,但如果没有基本的安全控制与流程存在,那么想象中的“锦上添花”只会变成“画蛇添足”。

时刻关注业务做出战略调整

在过去的两年时间里,新冠疫情的爆发彻底改变了CIO们的关注重点与应对策略。这两年间,IT团队一直在迅速转变以适应新的组织运营需求, 随着企业重新将注意力转回业务战略身上,CIO们也需要拿出相适应的IT战略。

现如今在业务方面,最基本的便是IT运营问题,明确IT计划的类型是维持业务还是需要改善与变革。维持IT业务代表着交付实际业务价值。其中包括通过清退陈旧技术和取消非必要项目等方式改善成本、速度与能力,同时有效减少技术债务。

对业务的重塑则必然涉及对创新方案的投入,帮助业务运用IT优势快速把握更多新机遇。这些努力才是真正面向未来的尝试,而任何不积极进取的IT部门在实质上都是在主动退步。换句话说,如果CIO只专注于IT运营,而忽略对其进行分析分类,就永远不可能成为合格的CIO。

后疫情时代人才最重要

自疫情以来,各大企业都在经历人才流失的问题,同时各种数据表明,大量中年人正在经历职业危机。特殊时期让IT领域的这个潜在问题被清晰放大,让企业意识到很多员工的技能和专业知识源自多年的积累与磨练,无法通过简单的培训课程快速弥补。

这就需要CIO在完成战略计划制定之后,对员工进行技能评估,明确员工与团队有哪些方面需要补足提升,并为其制定培训计划,组织线下或线上研讨会来深入讨论各类技术主题。这种方式既能增强员工个人的知识,也能培养出新兴领导者,提升团队竞争力。不妨最后,确保管理人员随时监控培训进度并让员工们对做出的承诺负责。

在一些无法通过内部培养获得的技术能力的领域,可以使用托管服务,但需要能够充分运用扩展条件并增强团队能力的托管,例如7*24全天候安全监控。目前市场对于网络安全专家的需求远远超过供应,所以虽然内部培养仍是个不错的选择,但往往需要几年时间才能开花结果。

与此同时,托管服务能为我们快速提供必要的技能、专业知识与覆盖范围。这种按需方法价格较高,但成本仍要低于其他替代性方案——例如不设置任何安全监控、或者由缺乏经验的员工勉强管理安全等。

此外,例如咨询台、打印机管理等硬件设备的设置也是一个值得关注的范围。

最后,在疫情的大环境下,在招聘人才方面要保持更灵活的雇佣方式。协调统筹本地与远程员工的配合,并为远程办公人员提供更灵活的工作制度。

展望未来,相信CIO只要能将这三大要素顺纳进自己的管理规划,就能在2022年开拓出一个全新的局面。

《数字化转型方略》杂志 《数字化转型方略》杂志