新的一年企业如何应对IT风险.docxVIP

PAGE 1 PAGE 1 新的一年企业如何应对IT风险  20世纪40年月，彼得·德鲁克曾写道，一个组织的成功，关键要素之一就是把公开的承诺化为详细的、可衡量的目标。  20世纪40年月，彼得·德鲁克曾写道，一个组织的成功，关键要素之一就是把公开的承诺化为详细的、可衡量的目标。这对于一个高科技软件公司来说，也是很重要的，所以我每年都会让我的员工进行年度规划。  这种规划的价值在于它建立了一种责任制，激励着员工向着目标一点点进步，推动了业务的增长和创新。谁都想做舒服的事情，这是人的本性，但是要知道，取得了昨天的成就，并不意味着就能达到明天的辉煌。把公开的承诺实现为详细的成果，这无疑增加了别人对你和你选择的发展方向的认可度。假如战略目标未达成，也要很快地意识到，然后终止它的进行，不在没有成效的事情上投入更多的时间和精力，这也是一种成功的表现。  回顾过去的2013年，总结公司的云计划，分析它是如何融入到我们的客户的计划书里的。年回顾总结也是相当典型的，在谈到云计算战略的时候，大多数人好像都觉得该战略最终成功了，公司把数据移植到云平台上（譬如采用Salesforce和谷歌程序）也成为了可能，战略加速发展也在预期之内。  虽然这些预估有可能是很精确的，但是年度规划不仅仅是让你从表面去意识到云计算技术对业务的转变，而且还要想想为什么转变了和如何去转变的。在围绕云计划阐明的IT战略中，要考虑到2013年的一些媒体报道，思索一下如何减小在传统的管理技术造成的数据丢失和风险。在2013年的三月，Evernote遭到黑客攻击，造成了5000万用户的密码重置；在八月，美国联邦储备局获取和泄露了数以千计的联邦员工的个人身份信息；在十二月，美国Target商店近4000万张顾客信用卡数据被盗。虽然这种种安全行为都各不相同，但它们说明白一个共同的问题：传统的系统管理，把对负责平台安全的责任落到内部资源的管理中，这很明显是有问题的。  而对于云计算来说，有许多的风险都是可以得到缓解的。我在之前的一篇文章中写过关于云计算的“晕轮效应”，一些组织在引进云平台的时候却没有考虑到它的数据管理和账户安全。虽然不完全正确，但是假如考虑到让平台供应商负责其供应的基础设施的安全性，其产生的净效益将会很乐观。把传统服务器机房中的数据转移到云环境中，这也意味着削减了操作系统补丁、网络安全设备和物理的安全保障措施。  这些常见的负责安全漏洞的核心服务，让人们意识到这是一个很好的商业契机，于是那些专业的、有经验的安全团队便有了用武之地，这是任何IT团队都不能比拟的。一个谷歌的数据中心就拥有数千台服务器，其供电和气候掌握系统，以及保密文化紧密地交织在一起，形成了独特的谷歌文化，即使是内部的销售和工程团队也只能在有需要的状况下才能知道其经营模式。  我们也在渐渐接受并试图采取这种模式，把目标进行重新定位，一点点去达成，这样的方式不仅加强了团队协作能力、提高了效率，也让组织变得成熟起来。IT部门发觉，这种模式让云应用变得特别强大，那同样地，也可以运用到其他业务领域，建立一个真正的企业级平台，让珍贵的时间和资源在该平台上得到最大限度的利用，而不是让平台始终停留在一个被操作的状态。这是特别有意义的，因为它开拓了一个新的布满无限可能的世界，在这个世界里，有着以前无法获得的资源、团队协作能力和多元化的员工队伍。此外，从安全角度来看，可以确保数据和用户群是安全的，而不用应对那些担心全的软件或配置带来的威逼。  这种思想上的转变，标志着组织已经意识到，采用云平台需要维护内部部署的系统和程序，而这些不应当被列为目标名单里，因为这有可能会让增加的风险和脆弱性被暴露。当我们踏入2014年，随着新的数据泄露，你的安全团队是创造新的价值，还是在应对昨天的安全威逼？