О чем молчат CIO, или Шесть горьких пилюль успеха в IT. Часть 1

О чем молчат CIO, или Шесть горьких пилюль успеха в ИТ


Расцвет и трансформация shadow IT, несовершенства облаков, «дыры» в безопасности – процесс управления IT в настоящее время как никогда напоминает лавирование между Сциллой и Харибдой на пути к Золотому руну. Взлеты, падения, неизбежные простои, из которых необходимо извлечь максимум пользы – вполне стандартная программа CIO, руководителя IT. Об это рассказывается в статье на портале www.cio.com, перевод которой мы подготовили для вас.


Правда может быть горькой

Согласитесь, трудно бывает признать, что вы утратили контроль над IT-процессами в вашей компании, что ваша корпоративная сеть уязвима, а код плохо выписан. Или – что независимо от размера бюджета, скорость канала никогда не бывает достаточно высока. Или – что облако, как бы хорошо оно ни было, не может стать универсальным ответом на все вопросы корпоративного IT. 


Да, а еще наша нынешняя реальность любому, у кого под рукой кредитка и клавиатура, позволяет создать собственный дата-центр! И вот как Chief Information Officer в этой реальности может не чувствовать себя выведенным за скобки? Некоторые даже начинают всерьез задумываться о своей профнепригодности, и лихорадочно ищут вебинары и дистанционные курсы «Как переквалифицироваться в управдомы». Им можем только пожелать удачи на новом творческом пути. Остальным же – расскажем правду. Ту самую, что порой горька, а порой и ранит. Но если вы по-прежнему настроены заниматься любимым делом, вам стоит научиться отличать то, что вы можете изменить, от того, что вам придется смиренно принять как неизбежное. И – менять, изменяясь.


Мы расскажем вам о шести горьких пилюлях, которые необходимо проглотить современному IT-руководителю на пути к просветлению и гордому званию CIO, «главного по информационным технологиям».  Готовы? Вперед!

Пилюля №1: «Сумеречные IT» вышли из сумрака

Еще лет пять назад одной из самых больших проблем, с которыми столкнулись руководители IT, было появление концепции BYOD (англ. Bring Your Own Device – букв. «принеси свой личный девайс»), которая предусматривает возможность использования личных мобильных устройств сотрудников для решения рабочих задач (с доступом к информационным ресурсам компании) в любое время независимо от местонахождения сотрудника. Верно, речь идет о явлении, получившем название «сумеречных IT» (или «теневых IT-ресурсов», shadow IT): использование сотрудниками компании несанкционированных ресурсов и служб. То есть руководителям IT-отделов приходилось бороться с тем, что их сотрудники используют на работе собственные гаджеты и ПО вместо тех, что выданы компанией, а значит, проверены на предмет уязвимостей и настроены в соответствии и корпоративными политиками информационной безопасности. Ныне же ИТ превратилось и вовсе в шатер фокусника: достаточно сделать пару пассов – кликнуть мышкой и прокатать через ридер кредитную карту – и алле-оп, ваш персональный ЦОД или личное (частное, совсем-совсем частное!) облако готовы! Прямо на рабочем месте, не выходя за пределы офиса.


Да, уже имеет смысл пересмотреть терминологию: BYOD стал BYOIT (англ. Bring Your Own IT – «принеси свои собственные IT[-ресурсы]»). Об этом же говорит, например, Майк Мейкли (Mike Meikle), CEO консалтинговой компании secureHIM, специализирующейся на кибербезопасности медицинских организаций: «У сотрудников появилась возможность быстро, всего за пару кликов, установить целые IT-решения, от приложений до хранилищ, а затем получить доступ к управлению этими решениями с помощью своих смартфонов или планшетов».


Точно так же изменилось и само понятие «сумеречных IT»: если раньше «сумерки» означали некий волшебный шкаф, в котором команды техников держали сервер с самописными и кастомизированными программными «начинками» (в обход корпоративных IT-регламентов), то сейчас shadow IT подразумевают, что отделы продаж и маркетинга подписываются на программные сервисы или запускают сервер на чьем-нибудь облаке, не запрашивая у руководства IT разрешений на эти действия. Стало быстрее и удобнее, однако это не означает, что корпоративные IT-службы больше не нужны.


Бобби Кэмерон (Bobby Cameron), вице-президент Forrester Research, полагает, что стоит сместить акценты в сторону консультативно-рекомендательной работы IT внутри корпорации. «Идти надо от клиента, – говорит он. – Если раньше IT-отделы диктовали, какие продукты и услуги должны использовать бизнес-подразделения компании, и были в этом непреклонны, то ныне их задача – выяснить, что нужно бизнесу, и обеспечить его потребности лучшими решениями для оптимальной работы».


С ним согласен и Стивен Лоу (Steven A. Lowe), главный консультант в ThoughtWorks: «Проблема не в контроле – контролирующую функцию IT давным-давно безвозвратно утратили. Проблема – в стратегической значимости: сейчас нужно использовать свою компетентность в IT, чтобы помогать бизнесу принимать лучшие решения об использовании каких-то внешних приложений и сервисов».


О чем молчат CIO, или Шесть горьких пилюль успеха в ИТ

Пилюля №2: Облако – не панацея

Шесть лет назад более 40% IT-директоров, опрошенных агентством Gartner, выразили уверенность, что к сегодняшнему дню смогут мигрировать в облако подавляющее большинство своих операций и процессов. Тем не менее, сейчас можно с сожалением констатировать: несмотря на то, что множество компаний уже решились перенести часть критических для бизнеса систем в облака, полная миграция ИТ-инфраструктуры по-прежнему остается сравнительно редким явлением.


Зато Gartner уже изменил прогноз: к 2020 году, предрекают его аналитики, 90% организаций разных форм и масштабов будут пользоваться гибридной инфраструктурой – частично в облаке (частном или публичном), частично в «железе» внутри компании.

Почему так? Нет, дело вовсе не в том, что облака не способны удовлетворить ожидания IT. Вот два статистических примера:

  • прошедший в июне 2017 года опрос 300 IT-экспертов показал: 80% респондентов разочарованы облаками из-за проблем с безопасностью, законодательных нюансов (комплаенс хромает), сложности в управлении облаками и высокой стоимости;
  • по результатам исследования, проведенного в январе 2017 г. облачным оператором RightScale, от 30% до 45% компаний тратят свой бюджет на облачные решения неэффективно.


О чем это говорит? Нет, не технология тут виной – с ней все в порядке. Не в порядке – информация о том, как этой технологией пользоваться, оптимально управлять. Не в порядке – фундаментальное понимание потребностей компаний и тех облачных возможностей, которые реально способны удовлетворить эти потребности. По словам Стивена Лоу из ThoughtWorks, причина в том, что компании просто следовали моде, поднятой шумихе, и потому мигрировали в облака, не проведя предварительно должного бизнес-анализа.


«Простая миграция критически важных для бизнеса сервисов в облако автоматически не сделает их надежнее или гибче, – поясняет он. – Чтобы извлечь настоящую пользу из размещения в облаке, программное обеспечение должно быть спроектировано и реализовано принципиально иначе, с использованием микросервисов вместо монолитных структур».


А еще есть такой замечательный аспект как устаревшее ПО. Например, программа была написана 25 лет назад, а фирма, ее написавшая, уже лет 15 как почила в бозе. Но какая-то компания когда-то купила это ПО и по-прежнему им пользуется – без обновлений, без адаптаций… И наивно было бы полагать, что переезд в облако сможет «завести» эту программу так же успешно, как это было сделано когда-то на офисном сервере. «Всегда найдется программа, которая не подлежит виртуализации, – отмечает Том Мейнелли (Tom Mainelli), вице-президент компании IDC. – Она может быть устаревшей и развернуть ее в облаке не удастся. Однако большинство компаний не понимают этого. И их неизбежно постигает горькое разочарование. Но просто стоит принять как данность: вы никогда не избавитесь от старых проприетарных приложений, которыми ваша компания пользуется в своем ежедневном бизнес-процессе».

Пилюля №3: Ваши системы уже взломаны

В том смысле, что ваша корпоративная сеть скомпрометирована и безопасность ваших данных находится под угрозой. Это горькая, но отрезвляющая пилюля.


И дальше будет только хуже, судя по тенденциям: в 2016 году, например, утечки данных выросли на 40%, по данным Identity Theft Resource Center. Судя по нескольким серьезным волнам вирусных атак, сотрясавших мир в текущем году, итоги 2017 года еще превысят этот показатель.


Поэтому нужно принять компрометацию вашей корпоративной системы как факт и думать, что делать дальше. Многие компании идут по пути наращивания инвестиций в средства IT-безопасности. Майкл Мейкли из secureHIM полагает, что этот поворот – не туда. «Все хотят купить такую систему, которой легко управлять, но сложно при этом взломать, – говорит он. – Однако обычно дело заканчивается громоздкой и крайне неудобной в использовании тикетницей с приложением по безопасности, а критические данные так и остаются без должной защиты. Разумнее было бы начинать с предположения, что система уже взломана, а затем разрабатывать план обеспечения безопасности информации в этих условиях».


Том Мейнелли из IDC полагает, что вместо безуспешных (как правило) попыток разработать/купить/дописать универсальную защиту для своих сетей и устройств, ИТ-подразделениям разумнее было бы сосредоточиться на защите данных компании на «точках выхода» – портах рабочих станций, например.


«Естественно, нехорошо, если бы ваши сети или компьютеры кто-то взломал, но что произойдет, если кто-то подключится к USB-порту на компьютере в вашей компании? – приглашает он к размышлению. – Хорошо ли защищены критически важные для бизнеса данные в этом случае? Что произойдет, если они будут переписаны с одного диска на другой или пересланы по электронной почте с одного ящика на другой?» Безусловно, этот аспект стоит того, чтобы на нем заострить свое внимание.


По словам Бобби Кэмерона из Forrester Research, безопасность ухудшилась вследствие значительного роста числа устройств и, следовательно, данных, требующих защиты. Однако технологии наподобие контейнеров на платформе Docker для облачных данных или автоматические системы выявления взлома, использующие ИИ, уже дают реальный инструментарий для борьбы с проблемой. А случаи с Equifax и Yahoo, уязвимости и утечки данных в которых происходили на протяжении долгого времени, наконец заставили ТОПов пристально взглянуть на проблемы информационной безопасности.


Во второй части статьи мы расскажем о том, зачем нужно регулярно обновлять ПО, почему пропускной способности интернет-канала никогда не бывает много и что нужно делать IT, чтобы оставаться в тренде.



Источник материала: www.cio.com


Авторский перевод: Алиса Кандеева

Понравилась статья? Поделитесь ею в социальных сетях!