权衡法规遵从的成本 CIO如何充分利用IT预算

标签:CIO职场SOA虚拟化安全OA

访客:14914  发表于:2012-05-14 13:59:44

据调查,2007年IT开支的增长率只有6.6%,其背后隐藏着相当大的变数。降低成本的日常措施及新出现的技术潮流让许多企业忙碌起来,开始在整个企业实施重大变革。IT资金在今年也变得活跃起来,往往从一个项目转移到另一个项目。在这种情况下,CIO如何分配资源很有可能加大企业整体项目的成功机会,也很有可能严重影响整体项目。利害关系实在太大了,你不敢往项目的一个方面投入过多,因为担心会影响另一个项目的正常开展。

今年,大多数CIO在支持业务方面可能投入过多,推动业务方面投入过少。这不足为怪,不过那些善于充分利用资金的公司,很可能把多出来的资金提供给旨在加快实现业务目标的新项目,从而提高IT对整个公司的总价值。

《InfoWorld》对分析师、专家和业界领袖进行了调查,以了解在事关公司成败的项目中,哪些方面投入过多、哪些方面投入过少。这7个方面是:SOA、法规遵从、安全、虚拟化技术、协作、网络和应用开发。

1.编制预算,确保SOA成功。

在过去的几年里,由于许多公司力求发挥Web服务的潜力,从而提高现有IT资源的价值,公司上下都在呼吁采用面向服务的架构(SOA)。不过与SOA相关的大多数活动仅限于讨论、调查、规划及小规模项目。

由于早期采用者已经从概念证明(POC)实施阶段进入到更可靠的部署阶段,而且后期采用者接受架构的转变,SOA开支在2007年会出现大幅上涨。不过,要是缺乏洞察力和先见之明,许多企业会把太多的资金用于在确保SOA长远成功效果不大的方面。

首先,太多的钱会再度用于炒作上。结果会发现,许多企业在玩“盲目跟从潮流”或者“按照杂志上的方法来管理”的把戏,而事实上,它们应当把心思集中在确定自身需求上。这意味着把过多的钱用于各种指导委员会、会议和概念证明,以至于妨碍了实际工作的完成。

更糟的是,由于许多企业还没有弄清楚自己的需求,就求助于厂商提供“一揽子SOA”,结果这些资金过多地用在了早期阶段。换句话说,他们还不知道准备在何处建造房子,就买下了房子。今年,推销治理和企业服务总线(ESB)的厂商会赚个盆满钵满。

其次,侧重于战略咨询将是2007年投入过多的另一个方面。战略顾问往往并不提供详细的执行方案,战略规划固然很重要,但实际工作要从确定需求开始,包括从语义、流程和服务层面来了解整个企业。据IDC调查显示,咨询开支在2007年会翻一番,达到55亿美元。

要是公司把更多的资金用于培训,也许会得到更好的回报。SOA既是一种技术转变,更是一种文化转变,要求IT人员在这两方面都要精通。如果没有合适的人员,就会带来高昂的成本,而更高昂的代价是不得不招聘新员工。

第三,安全将再次成为后来才想到的因素。现在过度缩减安全开支弥补不了将来可能会出现的损失。安全政策管理是一种概念,又是一套技术,这两方面都需要加以关注。发布服务是SOA的魅力所在,不过这在节省成本的同时,也会造成许多破坏。

最后,很少有公司会投入足够费用来认真关注新兴的Web,特别是软件服务化(SaaS)和Web服务这两个市场。许多企业级应用可以外包,或者外包给SaaS提供商(可以通过Web来使用),或者作为直接进行抽象处理后加入到SOA里面的一组服务。的确,在编制预算的所有方面当中,利用新兴的Web也许会带来最大的投资回报。

2.权衡法规遵从的成本。

从《萨班斯-奥克斯利法案》、《健康保险可携性及责任性法案》到支付卡行业数据安全标准(PCI/DSS),贵公司很有可能受制于众多的法规遵从要求。这些法规的目标很崇高,你的安全预算中用来支持这些目标的那部分数额也相当大,而在有些情况下,却妨碍了实施更可靠、更具体的计算机安全保护措施。换句话说,为了遵从法律条文而投入大笔费用,却很有可能把贵公司置于险境。

安全机构SANS Institute的主管Stephen Northcutt同样认为:“IT人员非常重视法规遵从,这其实是为了应对审查,而不是应对安全。我们想方设法满足一系列审查要求,但这些要求到头来保证不了、也评估不了实际安全。审查要求和法规往往过于宽泛,存在空白和重叠的地方。第一次审查结束后,小组改而采用另一种全然不同的方式,以满足下一次审查的要求,而这需要不同的目标。”

大多数公司受制于好几部行业法规,这些法规对安全定义的描述过于宽泛。至于你有没有通过某项审查要求,那完全取决于外部的审查人员。取悦审查人员与可靠的安全做法往往没有多大关系,这不足为怪。

某银行的IT主管说:“第一个审查人员说我们要使用至少6个字符的密码,另一个人却说密码至少要8个字符,而且要复杂。有些审查人员注重账户封锁机制,有些人却并不注重,但谁也没有问到影响密码总体安全的其他所有因素。实际上,法规并没有规定密码要使用多少个字符,只是规定了要确保密码安全。”

Bon Secours Health Systems的信息安全官Robert W. Hodges说:“如果我们面对两部相互冲突或者相互重叠的法规,就会为了稳妥起见,采取最保守、最安全的方法,从而满足两部法规的要求。”但总是采取最保守的方法意味着开支比较大,在许多情况下,从整体安全的角度来看也没有这个必要。由于法规往往是雷声大雨点小,所以CIO在投资法规遵从项目时就要弄清楚如何划定界限。毕竟,为了遵从法规而从其他切合实际的安全项目抽调大量的资金和精力,会为将来埋下祸根。

“不过你要看清大势,不能让政府抓典型。”Hodges说。

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");