信息化觀察網(wǎng)

許多企業(yè)在適應(yīng)新的工作、員工管理和客戶服務(wù)方式，希望能夠獲得所需的所有技術(shù)型優(yōu)勢。它們正在向云計算、電子商務(wù)、數(shù)字供應(yīng)鏈、人工智能及機器學(xué)習(xí)、數(shù)據(jù)分析以及能夠帶來效率和創(chuàng)新的其他領(lǐng)域邁出更大的步伐。

與此同時，企業(yè)在竭力避免管理風(fēng)險——帶來新機遇的數(shù)字化項目也可能會帶來種種風(fēng)險，比如安全泄密、法規(guī)遵守未到位以及其他問題。結(jié)果是，進行創(chuàng)新的需求與緩解風(fēng)險的需求長期存在沖突。

醫(yī)療保健提供商Intermountain Healthcare的首席信息官Ryan Smith說：“管理風(fēng)險與參與數(shù)字化轉(zhuǎn)型工作之間始終會存在一定程度的緊張局勢。”

Smith說：“隨著企業(yè)組織轉(zhuǎn)而讓消費者和員工更容易通過數(shù)字化手段訪問個人和業(yè)務(wù)信息，這帶來了全新的風(fēng)險，與開展業(yè)務(wù)的傳統(tǒng)方式相比，必須緩解這些風(fēng)險。這些新的參與模式因數(shù)字化轉(zhuǎn)型而成為實現(xiàn)，需要不同的風(fēng)險管理方法。”

下面介紹數(shù)字化轉(zhuǎn)型工作可能帶來的四大方面的風(fēng)險以及企業(yè)應(yīng)對這些風(fēng)險的方法。

多云或混合云基礎(chǔ)架構(gòu)

更多的企業(yè)組織在轉(zhuǎn)向由多個云服務(wù)支持的IT環(huán)境，這些云服務(wù)常常來自多家提供商。這可能包括軟件即服務(wù)（SaaS）、平臺即服務(wù)（PaaS）或基礎(chǔ)架構(gòu)即服務(wù)（IaaS）等產(chǎn)品。

不管使用哪種類型的云，將重要數(shù)據(jù)和應(yīng)用程序托管在本組織自身防御邊界之外都會帶來相當(dāng)大的風(fēng)險，牽涉多個位置、服務(wù)或供應(yīng)商時更是如此。除了數(shù)據(jù)丟失或被盜外，企業(yè)還可能遇到數(shù)據(jù)隱私法規(guī)方面的問題，更不用說糟糕的云管理實踐導(dǎo)致成本超支這一風(fēng)險了。

技術(shù)研究和咨詢公司ISG的合伙人Ola Chowning說：“我們在這里看到的最常見的風(fēng)險涉及云環(huán)境的治理：哪家云提供商？哪種協(xié)議？創(chuàng)建、利用率和規(guī)模等方面設(shè)定的閾值，以便開發(fā)環(huán)境優(yōu)化使用情況。”她補充道，一開始就處理諸如此類的治理問題比實施后再處理要容易得多。

Emal Ehsan是全球管理咨詢公司科爾尼旗下商業(yè)分析咨詢公司Cervello的主管，他表示，多云戰(zhàn)略“往往帶來更高的復(fù)雜性以及脫節(jié)的管理和自動化工具。”這種復(fù)雜性可能會帶來業(yè)務(wù)中斷的風(fēng)險。

此外，IT服務(wù)歷來是從企業(yè)自建和運營的數(shù)據(jù)中心采購的，而IT部門負責(zé)監(jiān)督采購過程。而現(xiàn)在，Intermountain的Smith表示，PaaS之類的云服務(wù)未經(jīng)過架構(gòu)或安全審查就很容易被業(yè)務(wù)用戶采購和部署。IT和業(yè)務(wù)部門負責(zé)人需要了解通過控制開啟哪些服務(wù)，供用戶使用來緩解這一風(fēng)險。

Smith說：“最佳實踐是確保對于所有請求的云服務(wù)而言，這些服務(wù)在任何IaaS、PaaS或SaaS供應(yīng)商平臺上都經(jīng)過了適當(dāng)?shù)募軜?gòu)和安全審查，之后才可以獲準(zhǔn)用于企業(yè)中。向企業(yè)組織提供任何關(guān)于公共云供應(yīng)商的工具之前，必須建立指導(dǎo)和防護機制，包括針對所有使用情況的日常監(jiān)控。”

Smith表示，IT、網(wǎng)絡(luò)安全和法務(wù)部門都須齊心協(xié)力，面對業(yè)務(wù)用戶采購和使用新型云服務(wù)的所有舉措做到搶先一步。

數(shù)字化供應(yīng)鏈和銷售渠道

許多企業(yè)日益依賴眾多技術(shù)來增強和管理供應(yīng)鏈，包括端到端數(shù)字化連接、云服務(wù)、區(qū)塊鏈、機器人、自動駕駛汽車和高級分析工具等。

供應(yīng)鏈的這種數(shù)字化轉(zhuǎn)型不僅可以提高效率和可見性，減少錯誤及降低成本，加強與業(yè)務(wù)伙伴的合作以及改進流程，還會帶來風(fēng)險，包括數(shù)據(jù)丟失。

Smith表示，參與企業(yè)對企業(yè)（B2B）數(shù)字化服務(wù)的有關(guān)方可以采用多種風(fēng)險緩解方法，包括與合作伙伴制訂全面的業(yè)務(wù)協(xié)議，以兼顧種種風(fēng)險和責(zé)任。企業(yè)還可以建立網(wǎng)絡(luò)安全和數(shù)據(jù)隱私控制機制，以確保數(shù)據(jù)的傳輸和存儲很安全。

Smith說：“企業(yè)通常要求監(jiān)控這些B2B連接，以確保政策和程序得到遵守。此外，最佳實踐建議企業(yè)經(jīng)常進行第三方風(fēng)險評估，以確保數(shù)字化供應(yīng)鏈的所有參與者都遵守行業(yè)安全和隱私方面的要求和標(biāo)準(zhǔn)。”

企業(yè)也更加依賴數(shù)字化銷售渠道，比如電子商務(wù)、電子郵件、文本、移動應(yīng)用程序和線上活動，以覆蓋客戶或準(zhǔn)客戶。

ISG合伙人Ola Chowning說：“我們在這里經(jīng)?？吹降娘L(fēng)險是，多渠道戰(zhàn)略方面缺乏明確性，或者如果完全轉(zhuǎn)向數(shù)字化，缺少幫助另一端的合作伙伴、客戶和消費者實現(xiàn)轉(zhuǎn)變的戰(zhàn)略。如果沒有全面概述的戰(zhàn)略來推動優(yōu)先事項和投入，企業(yè)組織可能會發(fā)現(xiàn)處于優(yōu)先事項不斷調(diào)整的境地，實際上沒有任何一個渠道取得進展。”

Chowning表示，建立多條數(shù)字化渠道的一些工作甚至演變成了一種內(nèi)訌。“讓多個渠道交由同一個領(lǐng)導(dǎo)團隊負責(zé)常常是非常重要的緩解策略，有助于避免內(nèi)訌現(xiàn)象。”

物聯(lián)網(wǎng)

制造、醫(yī)療保健、零售及其他行業(yè)的企業(yè)已開始了大規(guī)模部署物聯(lián)網(wǎng)技術(shù)，以跟蹤資產(chǎn)位置、監(jiān)控設(shè)備性能以及收集產(chǎn)品使用數(shù)據(jù)等。

潛在的好處引人注目，包括提高供應(yīng)鏈和工廠的效率、改善設(shè)備和產(chǎn)品的維護、增強客戶體驗，以及通過避免貨物丟失來降低成本。但是風(fēng)險也很高。比如說，分布式拒絕服務(wù)攻擊已經(jīng)被歸咎于聯(lián)網(wǎng)設(shè)備，物聯(lián)網(wǎng)戰(zhàn)略引入了眾多的攻擊入口點，包括聯(lián)網(wǎng)設(shè)備本身。

企業(yè)內(nèi)部的聯(lián)網(wǎng)設(shè)備可能包括各種設(shè)備，從暖通空調(diào)系統(tǒng)、服務(wù)器及其他IT設(shè)備，到車輛、照明系統(tǒng)、恒溫器和電器，不一而足。Smith表示，企業(yè)組織需要想方設(shè)法保護聯(lián)網(wǎng)設(shè)備并緩解風(fēng)險，以限制這些設(shè)備與其他設(shè)備之間的連接，在一些情況下要將它們放在單獨的網(wǎng)絡(luò)中。

Smith說：“此外，還需要格外用心地與設(shè)備制造商密切協(xié)調(diào)，以幫助確保這些類型的設(shè)備版本最新，做好給操作系統(tǒng)打補丁的工作，要有適當(dāng)?shù)目刂拼胧﹣泶_保安全。”

其他最佳實踐包括簽署合同，要求設(shè)備制造商提供保持設(shè)備版本最新和安全可靠的方法，以及掃描公司網(wǎng)絡(luò)，檢測物聯(lián)網(wǎng)設(shè)備是否有可疑活動的跡象。

自動化和分析

由于許多企業(yè)竭力加快運營速度、減少錯誤和降低成本，正競相使耗費時間且勞動密集型的手動流程實現(xiàn)自動化。

人工智能和機器人流程自動化（RPA）等技術(shù)有助于自動處理數(shù)據(jù)輸入之類的任務(wù)，從而顯著改進處理業(yè)務(wù)流程的方式，但它們也會帶來風(fēng)險。

Smith表示，分析、人工智能和機器學(xué)習(xí)方面的主要風(fēng)險因素是數(shù)據(jù)科學(xué)家用來訓(xùn)練模型的數(shù)據(jù)集和生成這些模型所用的平臺。

Smith表示，風(fēng)險緩解措施多種多樣，從精心設(shè)計的合同以管理大數(shù)據(jù)合作伙伴關(guān)系，將數(shù)據(jù)集所使用的數(shù)據(jù)限制在必要的最低限度，到盡可能使用匿名化數(shù)據(jù)，不一而足。

自動化的一些風(fēng)險可能來自無法足夠快速地擴展或無法達到預(yù)期目標(biāo)。

Cervello的Ehsan說：“眼下自動化生態(tài)系統(tǒng)正在經(jīng)歷重大變化?；仡欉^去，它始于流程外包，然后是流程優(yōu)化、精益方法、六西格瑪，再到RPA。我們現(xiàn)在看到的是RPA和人工智能融合，以解決復(fù)雜的業(yè)務(wù)問題。”

Ehsan表示，人工智能和RPA的這種融合正帶來新的可能性和使用場景，而這些在過去是不可能的，比如借助1750億個機器學(xué)習(xí)參數(shù)智能化處理文檔，或者使用神經(jīng)網(wǎng)絡(luò)和深度學(xué)習(xí)來檢測交易或事務(wù)中的異常。

Ehsan表示，企業(yè)組織應(yīng)及早設(shè)定自動化方面的預(yù)期目標(biāo)，讓業(yè)務(wù)和IT部門的利益相關(guān)者參與進來，以了解自動化的潛在好處、功能和用途。然后，它們應(yīng)該引入側(cè)重于這些好處的短平快試點項目。

Ehsan說：“雇用員工或聘請顧問，盡早利用技能嫻熟的人員，以落實治理、框架、變更管理及傳達、模板、業(yè)務(wù)部門參與、業(yè)務(wù)方案制訂和投資回報率計算等方面的工作。”

實際的數(shù)字化風(fēng)險緩解

對于任何數(shù)字化轉(zhuǎn)型項目，企業(yè)組織都應(yīng)該通過IT、安全、風(fēng)險管理、法務(wù)和其他相關(guān)部門的合作，全面評估風(fēng)險，包括與他們要使用的技術(shù)平臺相關(guān)的風(fēng)險。通過確定哪些是最大的風(fēng)險，IT和安全負責(zé)人就能從這個角度來著手開展轉(zhuǎn)型項目。

制造系統(tǒng)提供商Park Industries在開展幾個數(shù)字化轉(zhuǎn)型項目，包括業(yè)務(wù)流程自動化、企業(yè)系統(tǒng)集成、云遷移以及與物聯(lián)網(wǎng)相關(guān)的數(shù)據(jù)分析。

Park Industries的IT主管David Lloyd說：“處理這些轉(zhuǎn)型項目時，信息安全和數(shù)據(jù)質(zhì)量是兩個最大的風(fēng)險。擁有一項全面的數(shù)據(jù)戰(zhàn)略（包括安全、基于角色的權(quán)限以及確定單一數(shù)據(jù)來源），則有助于緩解這些風(fēng)險。”

Smith表示，大多數(shù)組織已經(jīng)認識到，充分利用云計算、人工智能、物聯(lián)網(wǎng)及其他技術(shù)可以帶來很大的好處，比如提高業(yè)務(wù)靈活性、增強服務(wù)的可擴展性以及降低成本。他說：“然而必須實施全新的風(fēng)險管理方法，以支持這些變革性能力。”

作者：Bob Violino是《Insider Pro》、《Computerworld》、《CIO》、《CSO》、《InfoWorld》和《Network World》的特約撰稿人，常駐紐約。

編譯：沈建苗

原文網(wǎng)址：https://www.cio.com/article/3609831/mitigating-the-hidden-risks-of-digital-transformation.html