作为企业CIO，必须特别关注的5个IT风险

作为一名数字化转型领导者和前CIO，我始终保持着高度的警惕。这是一种生存本能：那些可能破坏组织使命和目标实现的风险，必须不断地被发现、评估，并加以缓解或管理。

Contents

1. 来自关键任务系统的技术债务增加 CIO有充分理由对不断增加的技术债务以及在生命终结日期之后支持遗留系统的影响感到担忧。CIO们常常建议同事“不要浪费危机”，尤其是在其他组织的困境成为新闻时。例如，美国新联邦学生资助免费申请（FAFSA）程序的启动被推迟了一年，导致许多寻求联邦学费援助的大学生陷入混乱。虽然很多人指责国会，但管理程序中确实存在潜在问题，其根本原因之一是重设计需要全面革新20多个系统，其中一些系统近50年未更新。这些系统包括用Cobol开发的系统，连接了来自“众多机构”的私人信息——这也是为什么政府问责局在2019年将其列为最需要现代化的10个系统之一。“遗留硬件系统是一个日益严重的问题，需立即采取行动，”LeanTaaS的安全和合规总监Bill Murphy说。“随着这些系统的老化，雇主面临着寻找替代硬件和招聘具备维护所需技能人员的困难。未能及时解决技术债务可能导致灾难性后果。”今天CIO需要考虑的一个问题是，软件开发中的代码生成AI是否加剧了代码级技术债务。或者，可以利用代码助手或生成AI低代码能力来简化和减少代码。“企业在创新和竞争中高度依赖软件，而这往往充斥着低质量代码，导致技术债务不断增加，”Sonar的CIO Andrea Malagodi说。“AI可能会加剧这一问题，因为它不优先考虑质量，因为与人类输出一样，它也会生成具有安全性、可靠性和可维护性问题的代码。”对于坐拥大量技术债务的CIO来说，必须将警觉转化为行动计划，传达今天的问题和明天的风险。一种方法是与董事会和执行委员会达成一致，定义和寻求不容忽视的标准，明确在其他业务目标之上优先升级遗留系统的标准。2. 团队压力和倦怠压力和倦怠是CIO需要关注的严重问题，不仅是对自己，还包括团队成员和同事。例如，根据2024年CISO倦怠报告，80%的CISOs认为自己“压力很大”，63%表示在管理角色方面几乎得不到支持，50%报告因工作压力失去团队成员。安全角色中的压力和倦怠是已知问题，因为这些角色的工作时间长且压力大，需要在最小化业务影响的同时从安全问题中恢复。但当团队感受到交付能力、解决缺陷和跟上最新技术的压力时，devsecops角色也同样充满压力。3. 破坏IT文化的监控实践关于IT运营的压力，CIO一个明确的关注领域是监控服务，警报应用程序性能问题，并满足服务级别目标（SLO）。一方面，IT运营应该对是否有足够的监控和自动化来确保系统运行良好没有终端用户升级问题和执行利益相关者的挫败感感到警觉。另一方面，拥有过多的监控工具、成千上万的警报和定义不清的SLO会导致普遍的IT事件灭火文化。4. 第三方数据泄露 CIO的AI战略和推动数据驱动组织的目标导致了许多第三方合作伙伴、解决方案和SaaS工具的增加。安全和数据治理是一个日益严峻的挑战，根据2024年第三方风险管理研究，61%的公司报告了第三方数据泄露或安全事件，比去年增加了49%。“要对第三方数据泄露和安全事件保持警惕，”Prevalent的首席运营官兼首席战略官Brad Hibbert警告说。“为减少重大第三方泄露的风险，应自动化第三方风险管理流程，围绕统一的内部控制评估和持续的网络监控，补救发现并利用新AI工具简化工作流程和风险分析。”鉴于托管企业数据的系统数量不断增加，变化的速度加快，以及SaaS提供商频繁对服务条款进行的政策变更，CIO有充分理由保持警惕。GenAI是一个新的催化剂，根据AI在工作中的脉搏调查，54%的员工表示依赖AI工具，51%有经理鼓励使用AI。在许多组织中，添加SaaS和genAI工具的速度超出了IT、信息安全和数据治理的努力。同时，组织仅管理其供应商的三分之一风险，根据第三方风险管理研究。“考虑到组织需要合作的全球第三方数量不断增加，保护周边安全的方法在数据离开企业的那一刻就变得无效，”Seclore的首席执行官兼联合创始人Vishal Gupta说。“传统的保护网络周边的方法已不足，安全团队必须专注于采取主动的数据中心方法，通过围绕数据本身进行保护。”在与业务领导讨论影子IT和定义公民数据科学治理时，我常引用超人的谚语“能力越大，责任越大”。许多人希望从分析和机器学习中获得所有好处，但在主动数据治理方面行动缓慢。再加上对生成性AI助手的追求，CIO有更多理由在今天的警觉变成明天的业务危机之前加倍努力进行数据治理。5. 云债务增加在过去十年中，CIO已将IT基础设施从数据中心转变为混合云和多云，同时使用devops自动化赋能敏捷开发和数据科学团队自助服务基础设施需求。根据AAG的2024年6月云计算统计，89%的企业报告使用多云解决方案，82%报告管理云支出已成为首要任务。SADA的FinOps财务分析师Robin Roacho表示，“CIO应注意没有明确理由的云成本增加”，并建议：

组织的转型速度是否足够快？利益相关者是否在挣扎或不满意？敏捷团队是否因过多的优先事项而过度紧张？作为一名数字先驱，我的许多担忧都涉及可能破坏转型的问题，但真正让我夜不能寐的是运营和安全风险。

许多这些问题都属于外部威胁类别，CIO必须投资于安全最佳实践，并制定监控和应对计划，以应对可能出现的问题。虽然安全风险令人望而生畏，但心理治疗师提醒我们不要在无法控制的领域过度紧张。CIO必须尽最大努力保护组织，并推动投资和实践，以尽量减少安全风险。

运营风险则是另一回事，适度的警觉对于可能出错的事情是有帮助的。许多运营风险看似无害，但它们可能会迅速出现，将IT置于应急状态。通过问足够多的“如果”问题并规划出一系列情景，可以帮助你区分低影响风险和需要投入资源来最小化或补救的高影响运营风险。

虽然以下许多问题看似低风险运营问题，但随着时间的推移、增长或其他变化，它们可能变得无法管理。CIO应关注以下五个风险，并在它们成为重大问题之前找到解决办法。

1. 来自关键任务系统的技术债务增加

CIO有充分理由对不断增加的技术债务以及在生命终结日期之后支持遗留系统的影响感到担忧。

CIO们常常建议同事“不要浪费危机”，尤其是在其他组织的困境成为新闻时。例如，美国新联邦学生资助免费申请（FAFSA）程序的启动被推迟了一年，导致许多寻求联邦学费援助的大学生陷入混乱。虽然很多人指责国会，但管理程序中确实存在潜在问题，其根本原因之一是重设计需要全面革新20多个系统，其中一些系统近50年未更新。

这些系统包括用Cobol开发的系统，连接了来自“众多机构”的私人信息——这也是为什么政府问责局在2019年将其列为最需要现代化的10个系统之一。

“遗留硬件系统是一个日益严重的问题，需立即采取行动，”LeanTaaS的安全和合规总监Bill Murphy说。“随着这些系统的老化，雇主面临着寻找替代硬件和招聘具备维护所需技能人员的困难。未能及时解决技术债务可能导致灾难性后果。”

今天CIO需要考虑的一个问题是，软件开发中的代码生成AI是否加剧了代码级技术债务。或者，可以利用代码助手或生成AI低代码能力来简化和减少代码。

“企业在创新和竞争中高度依赖软件，而这往往充斥着低质量代码，导致技术债务不断增加，”Sonar的CIO Andrea Malagodi说。“AI可能会加剧这一问题，因为它不优先考虑质量，因为与人类输出一样，它也会生成具有安全性、可靠性和可维护性问题的代码。”

对于坐拥大量技术债务的CIO来说，必须将警觉转化为行动计划，传达今天的问题和明天的风险。一种方法是与董事会和执行委员会达成一致，定义和寻求不容忽视的标准，明确在其他业务目标之上优先升级遗留系统的标准。

2. 团队压力和倦怠

压力和倦怠是CIO需要关注的严重问题，不仅是对自己，还包括团队成员和同事。例如，根据2024年CISO倦怠报告，80%的CISOs认为自己“压力很大”，63%表示在管理角色方面几乎得不到支持，50%报告因工作压力失去团队成员。

安全角色中的压力和倦怠是已知问题，因为这些角色的工作时间长且压力大，需要在最小化业务影响的同时从安全问题中恢复。但当团队感受到交付能力、解决缺陷和跟上最新技术的压力时，devsecops角色也同样充满压力。

现在，数据、机器学习和AI也增加了整个组织的压力。在数据连接报告中，三分之二的IT工作者报告因访问所需数据的技术资源数量而感到不堪重负，81%的人认为其他员工也有同样的感受。

CIO应该是变革的驱动者，这可能会带来压力，同时采取积极和持续的措施来减少组织内外的压力。随着企业期望交付新技术能力、领导变更管理活动以及确保系统运行的压力增加，倦怠风险也在增加。CIO应提倡通过改善沟通、简化操作和设定现实目标来减轻压力的方法。

3. 破坏IT文化的监控实践

关于IT运营的压力，CIO一个明确的关注领域是监控服务，警报应用程序性能问题，并满足服务级别目标（SLO）。一方面，IT运营应该对是否有足够的监控和自动化来确保系统运行良好没有终端用户升级问题和执行利益相关者的挫败感感到警觉。另一方面，拥有过多的监控工具、成千上万的警报和定义不清的SLO会导致普遍的IT事件灭火文化。

“工程团队浪费了宝贵的时间追踪警报，”Logz.io的联合创始人兼CTO Asaf Yigal建议。“CIO需要设定目标，确保关注点是对底线有直接影响的应用程序和基础设施错误，这些警报应优先处理。”

作为CIO，我害怕在执行会议上报告的IT中断，而监控工具没有捕捉到，自动化未能缓解。我还担心IT越来越多的时间用于运营，减少了创新和转型的努力。

CIO应使用以下指标来判断运营中的警觉是否需要行动：

员工报告的系统性能问题很多，而监控应该能捕捉到这些问题。
网络运营中心（NOC）和站点可靠性工程师（SRE）正在响应越来越多的警报，而这些问题的平均恢复时间（MTTR）也在增加。
执行官不愿意投资创新或与IT合作，因为认为IT系统表现不好。

面对越来越多的监控工具和警报的CIO可能希望调查AIops解决方案，这有助于集中可观察性数据，并使用机器学习将大量系统警报关联为较少数量的可管理事件。

4. 第三方数据泄露

CIO的AI战略和推动数据驱动组织的目标导致了许多第三方合作伙伴、解决方案和SaaS工具的增加。安全和数据治理是一个日益严峻的挑战，根据2024年第三方风险管理研究，61%的公司报告了第三方数据泄露或安全事件，比去年增加了49%。

“要对第三方数据泄露和安全事件保持警惕，”Prevalent的首席运营官兼首席战略官Brad Hibbert警告说。“为减少重大第三方泄露的风险，应自动化第三方风险管理流程，围绕统一的内部控制评估和持续的网络监控，补救发现并利用新AI工具简化工作流程和风险分析。”

鉴于托管企业数据的系统数量不断增加，变化的速度加快，以及SaaS提供商频繁对服务条款进行的政策变更，CIO有充分理由保持警惕。GenAI是一个新的催化剂，根据AI在工作中的脉搏调查，54%的员工表示依赖AI工具，51%有经理鼓励使用AI。在许多组织中，添加SaaS和genAI工具的速度超出了IT、信息安全和数据治理的努力。同时，组织仅管理其供应商的三分之一风险，根据第三方风险管理研究。

“考虑到组织需要合作的全球第三方数量不断增加，保护周边安全的方法在数据离开企业的那一刻就变得无效，”Seclore的首席执行官兼联合创始人Vishal Gupta说。“传统的保护网络周边的方法已不足，安全团队必须专注于采取主动的数据中心方法，通过围绕数据本身进行保护。”

在与业务领导讨论影子IT和定义公民数据科学治理时，我常引用超人的谚语“能力越大，责任越大”。许多人希望从分析和机器学习中获得所有好处，但在主动数据治理方面行动缓慢。再加上对生成性AI助手的追求，CIO有更多理由在今天的警觉变成明天的业务危机之前加倍努力进行数据治理。

5. 云债务增加

在过去十年中，CIO已将IT基础设施从数据中心转变为混合云和多云，同时使用devops自动化赋能敏捷开发和数据科学团队自助服务基础设施需求。根据AAG的2024年6月云计算统计，89%的企业报告使用多云解决方案，82%报告管理云支出已成为首要任务。SADA的FinOps财务分析师Robin Roacho表示，“CIO应注意没有明确理由的云成本增加”，并建议：

在建立成本所有权时，确保资源已标记和标记。
确认财务模型准确解释预算与实际的差异。
促进现有工作负载的优化和现代化审查方法。
当出现意外支出时创建或调整警报系统。

AI工作负载会增加消耗，特别是对于开发大语言模型（LLM）能力的组织。例如，一项基准报告显示，在AWS推荐的默认实例上托管LLM Falcon 180B每月至少需花费23,000美元。

虽然公共云报告了短期云计算成本，CIO可以部署FinOps最佳实践来管理和管理云计算成本，但碳影响是另一个需要考虑的挑战。

Fusion Fund的创始人兼管理合伙人Lu Zhang分享，2022年AI技术消耗了约460太瓦时的电力。Zhang说，“这样的数据强调了一个不断增长的关注点，如果AI要成为可持续未来的一部分，这个问题必须得到解决。展望未来，持续改进AI算法并将可再生能源整合到数据中心至关重要。”

Mastek的CIO Mahesh Juttiyavar建议，“通过FinOps，我们防止云成本意外，同时坚持ESG原则，打造可持续和负责任的IT未来。这种整体策略确保了韧性和长期成功。”

当我们考虑到今天CIO继承的技术债务时，它们是前任理性业务决策的产物以及管理和治理其长期影响的挣扎。今天，围绕压力文化、数据泄露、IT运营需求和云基础设施消耗的短期思维可能成为新的危机前沿。CIO应该对这些不断增加的风险保持警觉，并在速度、敏捷性和创新之间找到平衡，同时实施审慎的风险管理实践。

作者 Isaac Sacolick，数字化转型学习公司StarCIO的总裁 Isaac Sacolick指导领导者采用引领组织转型变革所需的实践。他是《Digital Trailblazer》和亚马逊畅销书《Driving Digital》的作者，并谈论敏捷规划、devops、数据科学、产品管理和其他数字化转型最佳实践。Sacolick 是公认的顶级社交 CIO、数字化转型影响者。

本文由LowCode低码时代根据公开资料整理，如有侵权请联系删除。

– END –

报告下载

大佬观点

Treelab-何浚炫 | 阿里-汪凤震 | 明道云-薛晨 | 上海斯歌-傅正斌

公众号后台回复【加群】

可受邀进入【无代码&低代码技术应用研讨群】

欢迎各位从业者/应用者/关注者加入