IT的演化已经从60年代的计算机处理和数据处理发展到如今的的数码时代。IT所提供的服务也从传统的收集和定义需求、运行IT基础设施发展到现今可以支持多服务的一个战略武器和业务发展平台。
今天,随着业务和技术演变得越来越复杂,出现了更多对CIO们的挑战,而CIO们要如何将职业道路走的完美,便成为诸多CIO们很难攻克的难题。DOIT特别专题将就CIO们如何应对云计算在企业应用中遇到的安全问题以及CIO如何应对自己角色改变等问题深入讨论。
云起云落云安全
云计算的日益兴起对企业自然带来了诸多显著的变化,然而企业也承担着大部分的云安全责任。Google Gmail邮箱爆发全球性故障;微软的云计算平台Azure停止运行;Rackspace云服务中断。一系列的云安全时间也在考验着CIO们的职场能力。因此给CIO们一些建议,希望企业在更好的利用云计算带来效益的同时也不会被云狠狠的算计一次。
1、从现有企业内部私有云计算及围绕云计算构建的安全系统和程序中学习
在过去十年中,大中型企业就已经建立了内部云计算,虽然他们并没有称其为云计算,而是称为共享服务,例如认证服务、供应服务、数据库服务或者企业数据中心(构建在相对规范的硬件和操作系统中。)
2、对很多IT业务流程的风险和重要性进行评估
迁移到云计算所节省的成本可能会比较容易计算,但是在计算机风险和成本的算术前,我们要先弄清楚风险究竟有多少。云供应商不会为企业做这方面的分析,因为这完全取决于业务流程的业务范围。成本相对较高的低服务水平协议(SLA)应用程序毫无疑问是云计算风险评估首先要评估的对象,另外,潜在的合规影响也需要考虑,因为监管机构规定有些数据和服务不能转移到公司外部或者国家外。
3、学习不同类型的云计算模型和类别
企业需要研究不同类型的云模型(公共、私有、混合)以及不同类别(SAAS、PAAS、IAAS),因为这些不同类型的云模型的差异性与安全控制和责任有直接关联。
所以企业必须对这些云模型有自己的见解,从企业自身和企业风险评估的角度来分析。
另外,法律组织在这方面也发挥着重要的作用,因为保修和责任也将是重要的组成部分。
4、将企业的面向服务架构(SOA)设计和安全原则运用到云计算中
大多数企业近年来都在他们的应用开发部门运用了面向服务原则,云计算不就是面向服务么?云计算只是逻辑化的面向服务。高度分布安全实施的SOA安全原则,与集中安全原则管理和抉择,可以直接应用到云计算中。在云计算中使用SOA的原则不需要重新制定原则,而只要做些许转换。
5、把自己当作云供应商
虽然大多数企业从开始就会将自己当作云消费者,但是不要忘记企业也是服务供应商:企业向客户和合作伙伴提供服务。把自己当作云供应商来思考问题,能够帮助企业更好的了解云计算供应商。
6、从现在开始熟悉并开始使用web安全标准
web安全行业长期以来都致力于对保护和管理跨域系统方面的研究,从而也产生了很多有用的安全标准来确保云服务的安全性。只有运用这些标准,安全系统在云世界中才能有效运用。这些标准包括安全断言标记语言(SAML),服务供应标记语言(SPML),可扩展访问控制标记语言(XACML)以及web服务安全(WS-Security)。
新人新貌新形势 CIO角色新定位
在企业IT部门,IT经理甚至是不少CIO一直存在一个困惑,即无论自己的IT部门有多大,CEO对它的关注度总是不会太高,虽然它仅占整个企业营 业成本的1~2%,甚至更小,CEO仍觉得IT部门是只花钱不赚钱的部门,不是核心业务部分,CIO也成为“只会花钱不会赚钱的人”。因为CEO更多关 心、更多投入的是能带来盈利的市场营销和财务部门。
因此如今CIO一直在努力思考与探索:在新的竞争形势之下,如何融合业务创造价值?如何定位IT部门在企业中的角色,将其从“成本中心”转为利润中 心、核心业务?CIO如何寻找和建立适合企业的IT绩效评估体系与盈利模式,让自己从“花钱人”转身为“赚钱人”,从而让CEO充分认同?
有专家认为
首先CIO们应在部门内部先行建立有效的绩效评估指标体系,检验IT建设成效,以应对决策层考核之需。
目前,也有不少企业正逐渐采用BSM模式,即业务服务管理与评价模式。实现BSM的管理模式以后,IT部门将IT基础设施组件映射到它们支持的服务 和业务流程,IT系统的运行状况对业务系统的影响以及进一步对企业核心业务的影响将会用非常清晰明了的报表与视图反映出来。这样一来,IT业务系统的管理 对企业的贡献将是标准透明清晰的,这样将使IT部门和CIO能拿出事实根据,反击某些人“IT部门只会花钱摆架子,是中看不中用的花瓶”的流言。
其次让具体数字摆道理,IT的价值就将不再是抽象空洞,从而让决策层信服、认可。
建立有效的绩效评估指标体系,是为第一手取得IT投入建设后企业所能获得的具体价值与收获,这点是CEO最为关注的。主要表现为IT系统投入建设后 能否有效服务于企业经营管理,改善多少管理状况,给公司市场带来多大的成长,产出能否大于投入,能否提高资金周转率、减少在制品损失等。
但给CEO报告IT作用与价值时,CIO不能用抽象空洞深奥的专业技术来描述,应用具体形象直观的数字来说明,从而取得CEO充分的认可与支持,让 CEO认识到IT部门不只是专业技术部门,也是一个充满生机的“智能中心”,一个可创收、迸发经济价值的“利润中心”、“核心业务部门”。
因此,IT部门旨在建立一套系统规范的评价IT部门绩效,衡量企业信息化投资成果的综合评估体系,创建IT建设盈利模式,并逐渐从IT 支持角色转变为IT服务角色,从以IT技术为核心转变为以IT服务为核心,从产费用耗成本的成本中心转变为可改善管理、可提升业务、可创造价值的智能中 心、利润中心,CIO让自己也从“花钱人”华丽转身为“赚钱人”,是IT部门及其CIO所必须关注的重点使命,也是许多企业最为迫切的任务之一,意义重大 影响深远。