IT當今面臨的十二大問題

從保障物聯網到重新培訓IT人才到尋找新的收入來源，讓首席信息官們夜不能眠的擔憂還不止這些。

在首席信息官們尚未淹沒在數據洪流時，他們想知道是誰在保護數據。他們處理削減成本的壓力，同時在他們遇到承包商方面的困難以及將數據和服務遷移到雲時面臨挑戰時保持靈活性。一直以來，新威脅不斷出現，這些威脅要求應對措施也不斷變化。

從尋找合格的IT專業人員到留住他們，一系列粘性技術和人員問題讓IT專業人員直冒冷汗。

隨著2018年的一系列新問題的出現——伴隨著舊的問題——首席信息官應該把重點放在哪裡呢?我們收集了來自專家、高級管理人員、招聘人員以及一線工作人員的見解，以確定當前首要關心的問題以及如何處理這些問題。

物聯網安全

Forrester最近的一項安全性研究發現，82%的組織都在努力尋找和保護聯網設備。更糟的是，大多數人不清楚是誰在負責管理設備。

調查結果顯示，「超過一半的受訪者(54%)表示由於物聯網的安全性而感到焦慮。」

Balabit的安全傳播者Csaba Krasznay說，除了傳統的薄弱環節(即用戶)，首席信息官需要顧及新的威脅。

「在2018年，安全措施應該更貼近IT用戶和他們的身份，Krasznay說。即使是基於微小的生物特徵，例如打字速度或常見的拼寫錯誤，行為監控也可以通過識別基準行為中的偏差來檢測潛伏在特權憑證中的最聰明的網路犯罪分子。」

再培訓

據CompTIA最近的一項調查顯示，大約40%的IT人員表示他們沒有得到有效的工作培訓。

DataArt的保加利亞分公司的Viktor Andonov表示：「很多公司認為跟上技術步伐是員工的個人責任。80年代和90年代可能是這樣，但在21世紀，平台的複雜性大大增加。當員工有項目和要交付的成果時，在職培訓和學習如何使用新框架是非常困難的。「

CompTIA總裁兼首席執行官Todd Thibodeaux表示，大多數組織都在努力尋找合格的技術人員。對他們進行在職培訓同樣令人氣餒。

Thibodeaux說：「對於僱主來說，好消息是大多數IT專業人員都喜歡他們正在做的事情。他們的工作賦予他們個人成就感。他們的技能和才能得到了很好的利用。他們看到了職業生涯的成長機會——他們對薪酬和福利普遍滿意。

Thibodeaux說，雖然IT員工可能喜歡他們的工作，但再培訓工作仍然需要很長的時間。

他說：「IT專業人員希望獲得更多的培訓和發展資源，以及更多的職業道路指導和職業發展機會。他們也有興趣獲得更多的工具，並使用更多的技術和應用。他們希望有機會參與新的技術計劃。」

Thibodeaux說，這不是2017年才出現的問題，但它是一個持續的問題。他說：「畢竟，留給員工培訓的時間是從算工錢的時間或『真正的工作』中騰出來的，還有一個古老的問題。『如果我培訓一些人並讓他們獲得資格認證，他們辭職了怎麼辦?』但是，當談到技術以及實施技術的人時，他們應該問的問題是'如果我不培訓任何人，而這些人一直呆著又該怎麼辦?'」

數據過載

United Data Technologies的首席信息安全官Mike Sanchez表示，目前用於分析數據的方法往往無法體現出對業務的實際影響。

Sanchez說：「高層管理人員和董事會成員應該能夠就如何最好地分配資源做出決策，並將資金投入到可以減少運營開支的治理策略，或公司真正的風險敞口，或兩者兼而有之。數據太多了，就改善整體網路安全態勢而言，人們不知道應該跟進哪些數據。關鍵績效指標應該以簡單的儀錶板格式來講述故事。」

技能差距

好消息是IT職位空缺數量不斷增加。壞消息是什麼呢?就是沒有足夠的具備必要技能的工人來填補職位，特別是在安全性職位方面。

CompTIA的Thibodeaux表示：「我們最近對各種來源的就業數據進行的分析顯示，2017年第三季度，美國的僱主公布了近60萬個IT工作崗位。關於網路安全工作，我們循序漸進地縮小了過去一年的差距，但遠沒有縮小到我們想要的程度。」

Thibodeaux說，公司將不得不就如何填補人員需求以及需要在內部完成的事情做出一些艱難決策。

Thibodeaux說：「哪些備選職能可能外包給技術解決方案提供商呢?很多組織發現，與一個技術合作夥伴就一些常規的，進行中的任務簽約可以把內部技術團隊解放出來，這樣他們就可以把工作重點放在對企業來說更高級的、更具戰略性的活動上。」

網路安全公司Forcepoint的首席信息官 Meerah Rajavel說，技能差距不會很快消失。

Rajavel說：「我們看到太多的公司並沒有為應對新的網路安全威脅做好準備，如勒索軟體或工業間諜活動。所有的課程改革都需要包括自下而上的適當的人才培養，以及更廣泛的員工安全培訓，這些培訓應該是體驗式的，即時的，而不僅僅是合規的。」

創新和數字化轉型

Gartner的數據指出，大約三分之二的企業領導者認為他們的公司需要加快數字化轉型，否則就會落後於競爭對手。

雲諮詢公司Candid Partners的管理合伙人Merrick Olives說，大多數公司將繼續沿著同樣的道路前進，直到他們被迫採取其它行動為止。

Olives說：「將IT支出與戰略業務能力掛鉤，並回答『這將如何讓我們更具競爭力』這個問題是至關重要的。與基於項目的融資相對，基於價值流的融資模式在將董事會層面的目標與預算影響聯繫在一起方面變得越來越有效。傳統系統與靈活數字功能的成本結構和流程效率差別很大——靈活性成本更低，效率更高。」

收緊預算

Forrester在2017年11月的報告指出，除了高層的懷疑態度外，近一半的IT和業務受訪者表示，預算是加強物聯網安全的障礙。

CompTIA的Thibodeaux說風險遠不止安全威脅那麼簡單。

Thibodeaux說：「這歸結於企業想要成長壯大，還是想落後於競爭對手的問題。由於企業變得更加數字化，技術將走出幕後，來到台前，成為實現長期目標的主要動力。熟練的，經過培訓和獲得認證的IT專業人員對於技術投資的回報至關重要。他們擁有連接IT架構和整體企業目標的專業知識，可以為決策者提供指導，幫助後者在選擇設備，應用程序或運營模式時評估所涉及的取捨問題。」

尋找新的收入來源

電信費用管理軟體公司Tangoe的副總裁Ian Murray表示，雖然業務環境不斷發展，但盈利的基本前提是一致的。

Murray說：「尋找和利用創收機會的過程沒有發生根本性的變化——找到一個我們可以解決的普遍問題，並且人們會付錢去解決問題。

混合IT基礎設施供應商Peak 10 + ViaWest的首席產品官Mike Fuhrman表示，發生改變的東西是對首席信息官的直接創收的強調。

Fuhrman說：「也許我是守舊派，但我不認為首席信息官應該為直接創收感到擔憂。「我越發頻繁地看到我的同行中出現這種情況。很多人為了保持作為首席信息官的重要地位，他們在努力嘗試並進行產品化。雖然有這樣的想法是有好處的，但我認為這也可能是分散團隊和董事會的關注點的秘訣。談到創收機會，首席信息官所在的地方就是把重點放在這些項目上，並將業務數字化為一個大規模的自動化平台。我們始終要把重點放在如何降低企業成本並從進入市場(go-to-market)的角度擴大規模。這就是首席信息官關注創收的方式。」

升級傳統系統

今年夏天，招聘公司Robert Half創造了一份報告，該報告發現近四分之一的首席信息官最關心的事情是升級傳統系統以提高效率。

United Data Technologies的Sanchez說：「這是一個令人擔憂的問題，特別是在一些行業中，人們仍然採用大量過時或報廢的系統來保存任務關鍵型數據或應用程序。這些系統不再為各自的製造商所支持，因此不能再使用最新版本的升級進行修補，從而使這些系統容易受到攻擊。這些平台可以互連到其它網路，這些網路允許漏洞向外擴展，並將這些互連的系統暴露在攻擊範圍中。」

缺乏敏捷性

有時，旨在融合敏捷方法的組織最終會在融合了敏捷實踐的一種混合模型里艱難地發展，而且還會採用更為線性的「瀑布式」方法。總之，這是兩個世界中最糟糕的世界。

Tangoe的Murray指出：「開發人員按照特定的規格表編寫代碼，對這個按鈕或功能如何適用於整體用戶體驗缺乏概念性的了解。這時就需要一個嚴謹的方法來解決這個問題，即一個在特定的版本中解決特定問題的解決方案。然後，每個發行版都會針對一組衝刺(sprint)進行協調，從而為每個發行版增加一個全面的UX解決方案，而不僅僅是一組可能相互支持或互不支持的功能需求。

Murray指出，最近蘋果的iOS更新修復了一些錯誤，卻帶來了其它的錯誤。Murray說：「這個問題影響著大大小小的公司，其結果是更新可能解決了安全漏洞，包括新功能的增加，同時也為用戶造成了廣為人知的痛苦。」

外包的風險

技能差距將導致很多組織尋求外援。但是，有時必要的解決方案可能會造成可靠性和安全性方面的擔憂。

Sanchez說：「我們的重點是實現對每個客戶的承諾。你在這個重要的事情上建立聲譽和業務。在把工作外包時，交付品的質量有時會受到外包公司的擺布。鑒於我們管理的項目的敏感性，如果項目要求我們考慮將部分或全部所需的任務外包出去，我們要利用嚴格的第三方供應商評估標準來評估合作夥伴。

除了質量問題外，外包還會帶來眾所周知的安全威脅。MetricStream的首席宣傳員French Caldwell(曾任白宮網路安全顧問)說：「首席信息官面臨的具體威脅是內部人員和承包商。「在我們放棄密碼轉而用憑證之前，人類將依然是最大的威脅。」

向雲端遷移會遇到的陷阱

由於越來越多的數據和服務的負載轉移到雲端，VMware和戴爾的首席信息官 Bask Iyer表示，將雲視為單一的公共實體是一個潛在的風險。

Iyer說：「IT還需要考慮私有雲和/或多重雲解決方案，以評估業務的最佳實踐。這確保了選擇的多樣性，避免了單一供應商的鎖定。IT還需要確定哪些應用程序應該轉到哪個雲。隨著物聯網的興起，邊緣(edge)需要更多的功率，因此IT部門需要擴大雲的選擇範圍。」

Sanchez說，首席信息官不能將保護數據和應用程序的責任轉移到託管公司。他說：「組織必須定義安全控制來保護他們在雲中的數據，就像他們保護本地部署的數據的方式一樣。很多組織並不採用這些標準，並想當然地認為託管公司正在提供他們所需的所有保護措施。「

多重安全漏洞

據惠普公司Aruba部門的副總裁Larry Lunetta表示，今年安全性噩夢將持續下去，最令人擔憂的事情堂而皇之地隱藏在眼皮子底下。

Lunetta說：「未來上頭條新聞的攻擊將把合法的憑證作為攻擊的起點，這樣的攻擊可能需要幾天、幾周甚至數月的時間才能開始，並最終造成破壞。這些內部攻擊可以從用戶點錯電子郵件附件，心懷怨恨的僱員耍流氓，或由於密碼較弱或者同事之間共享的憑據而開始。

Lunetta說，2018年將需要新的基於行為的檢測技術來應對這些威脅。

他說：「越來越多的組織正在使用基於人工智慧的機器學慣用戶和實體行為分析系統來發現用戶和網路連接設備的行為中的微小變化，這些變化往往表示出現了孕育式攻擊(gestating attack)。」