IT风险管理:防为上 救为中 戒为下
随着云计算、虚拟化、移动互联网等等新技术的应用普及,负责风险管理的企业IT部门的责任越来越重。和消防类似,风险管理也是防为上,救为中,戒为下。
防为上
目前,很多企业具备了风险管理意识和需求,而且也配备了灾备中心,一些金融机构在甚至具备了两地或三地的灾备中心。但是备份中心不单单是建设的概念,往往和管理有关系。建设了灾备中心,仍然有问题出现,主要原因在于治理体系尚不健全。
一是IT环境不足够可靠,例如尽管网络、服务器、数据库、应用软件等都达到了99.5%的可用性,但结果仍意味着一年要有10多天的停机时间;
二是IT部门扮演的仍是“救火队”的角色,处于被动的服务状态,哪里有问题就扑向哪里,服务质量和业绩没有量化的标准;
三是IT管理依靠“天才”来支撑,由于缺少相应的流程和知识积累,IT管理过多的依赖于人,关键人员的流动甚至可能会造成企业IT系统的瘫痪。
完善的IT风险管理和IT治理体系是风险防范的重点。
救为中
如今,早在新流程、新系统的设计阶段,以及新业务运营地点的选址阶段,公司就会开始考虑IT系统瘫痪后的后果评估方案、风险缓解措施,以及业务的可持续性与可恢复性问题。
尽管企业在不断改善这些措施,但效果仍不明显。在企业目前所采取的措施与应该采取的措施之间的鸿沟已经越拉越大了。
当灾难不可避免地发生时,导致问题发生的根本原因已经不那么重要了。最重要的是如何快速、可靠地解决问题,并将系统崩溃所造成的损失降到最低。这对CIO的前途也同样重要。
但现实世界中,IT风险不一定就是IT系统瘫痪或者是大厦倾覆。风险发生后,CIO的第一项工作就是尽快恢复业务,至少也是抢救企业数据。
戒为下
一场IT重大事故的发生都是对CIO的一次重大职业挑战:他(她)一方面要应对外部客户和媒体的指责,并给出一再的承诺;另一方面;还要仔细地调查事件发生的来龙去脉;IT内部员工的士气低落;并处于严密的防守之中。
此外,CIO和企业还需要总结经验。首先,需要承认错误,假如不能或不愿意承认错误,亡羊补牢事实上也就不能真正地彻底和有针对性,不能防范事故的重复。第二是举一反三,例如要对主机的存储和系统配置进行彻底的内部审核、评估外包商的服务水平以及恢复时间等要求的能力、加强迅速启动并成功运行灾难复原计划的能力等等。第三是要转换为切实行动。IT风险管理是一项长期而且艰巨的任务,需要大量扎实而且默默无闻的努力。
Tina Guo@TT CIo
|