О чем молчат CIO, или Шесть горьких пилюль успеха в ИТ (Часть первая)

О чем молчат CIO, или Шесть горьких пилюль успеха в ИТ


Расцвет и трансформация shadow IT, несовершенства облаков, «дыры» в безопасности – процесс управления ИТ в настоящее время как никогда напоминает лавирование между Сциллой и Харибдой на пути к Золотому руну. Взлеты, падения, неизбежные простои, из которых необходимо извлечь максимум пользы – вполне стандартная программа CIO, руководителя ИТ.

Правда порой ранит

Согласитесь, трудно бывает признать, что вы, например, утратили контроль над ИТ-процессами в вашей компании, или что ваша корпоративная сеть уязвима, а код плохо выписан. Или – что независимо от размера бюджета, скорость канала никогда не бывает достаточно высока. Или – что облако, как бы хорошо оно ни было, не может быть универсальным ответом на все вопросы корпоративного ИТ. 


Да, а еще наша нынешняя реальность любому, у кого под рукой кредитка и клавиатура, позволяет создать собственный дата-центр! И вот как ИТ-директору в этой реальности не чувствовать себя выведенным за скобки? Некоторые даже начинают всерьез задумываться о своей профнепригодности и лихорадочно ищут вебинары и дистанционные курсы «Как переквалифицироваться в управдомы». Им можем только пожелать удачи на новом творческом пути. Остальным же – расскажем правду. Ту самую, что ранит порой. Но если вы по-прежнему настроены заниматься любимым делом, вам лучше научиться отличать то, что вы можете изменить, от того, что вам придется смиренно принять как неизбежное. И – менять, изменяясь.


Мы расскажем вам о шести горьких пилюлях, которые необходимо проглотить современному ИТ-руководителю на пути к просветлению и гордому званию CIO, «главного по информационным технологиям».  Готовы? Вперед!

Пилюля №1: «Сумеречные ИТ» вышли из сумрака

Еще лет пять назад одной из самых больших проблем, с которыми столкнулись руководители ИТ, было появление концепции BYOD (англ. Bring Your Own Device – букв. «принеси свой личный девайс»), которая предусматривает возможность использования личных мобильных устройств сотрудников для решения рабочих задач (с доступом к информационным ресурсам компании) в любое время независимо от местонахождения сотрудника. Верно, речь идет о явлении, получившем название «сумеречных ИТ» (или «теневых ИТ-ресурсов»): использование сотрудниками компании несанкционированных ресурсов и служб. То есть руководителям ИТ-отделов приходилось бороться с тем, что их сотрудники используют на работе собственные гаджеты и ПО. Ныне же ИТ превратилось и вовсе в шатер фокусника: достаточно сделать пару пассов – кликнуть мышкой и прокатать через ридер кредитную карту – и алле-оп, ваш персональный ЦОД или личное (частное, совсем-совсем частное!) облако готовы! Прямо на рабочем месте, не выходя за пределы офиса.


Да, уже имеет смысл пересмотреть терминологию: BYOD стал BYOIT (англ. Bring Your Own IT – «принеси свои собственные ИТ[-ресурсы]»). Об этом же говорит, например, Майк Мейкли (Mike Meikle), CEO консалтинговой компании secureHIM, специализирующейся на кибербезопасности медицинских организаций: «У сотрудников появилась возможность быстро, всего за пару кликов, установить целые ИТ-решения, от приложений до хранилищ, а затем получить доступ к управлению этими решениями с помощью своих смартфонов или планшетов».


Точно так же изменилось и само понятие «сумеречных ИТ»: если раньше «сумерки» означали некий волшебный шкаф, в котором команды техников держали сервер с самописными и кастомизированными программными «начинками» (в обход корпоративных ИТ-регламентов), то сейчас «сумеречные ИТ» подразумевают, что отделы продаж и маркетинга подписываются на программные сервисы или запускают сервер на чьем-нибудь облаке, не запрашивая у руководства ИТ разрешений на эти действия. Стало быстрее и удобнее, однако это не означает, что корпоративные ИТ-службы больше не нужны.


Бобби Кэмерон (Bobby Cameron), вице-президент Forrester Research, полагает, что стоит сместить акценты в сторону консультативно-рекомендательной работы ИТ внутри корпорации. «Идти надо от клиента, – говорит он. – Если раньше ИТ диктовали, какие продукты и услуги должны использовать бизнес-подразделения компании, и были в этом непреклонны, то ныне их задача – выяснить, что нужно бизнесу, и обеспечить его потребности лучшими решениями для оптимальной работы».


С ним согласен и Стивен Лоу (Steven A. Lowe), главный консультант в ThoughtWorks: «Проблема не в контроле – контролирующую функцию ИТ утратили безвозвратно давным-давно. Проблема – в стратегической значимости: сейчас нужно использовать свою компетентность в ИТ, чтобы помогать бизнесу принимать лучшие решения об использовании каких-то внешних приложений и сервисов».


О чем молчат CIO, или Шесть горьких пилюль успеха в ИТ

Пилюля №2: Облако – не универсальное средство

Шесть лет назад более 40% ИТ-директоров, опрошенных агентством Gartner, выразили уверенность, что к сегодняшнему дню смогут мигрировать в облако подавляющее большинство своих ИТ-операций и процессов. Тем не менее, сейчас можно с сожалением констатировать: несмотря на то, что множество компаний уже решились перенести часть критических для бизнеса систем в облака, полная миграция ИТ-инфраструктуры по-прежнему остается сравнительно редким явлением.


Зато Gartner уже изменил прогноз: к 2020 году, предрекают его аналитики, 90% организаций разных форм и масштабов будут пользоваться гибридной инфраструктурой – частично в облаке (частном или публичном), частично в «железе» внутри компании.

Почему так? Нет, дело вовсе не в том, что облака не способны удовлетворить ожидания ИТ. Вот два статистических примера:

  • прошедший в июне 2017 года опрос 300 ИТ-экспертов показал: 80% респондентов разочарованы облаками из-за проблем с безопасностью, законодательных нюансов (комплаенс хромает), сложности в управлении облаками и высокой стоимости;
  • по результатам исследования, проведенного в январе 2017 г. облачным оператором RightScale, от 30% до 45% компаний тратят свой бюджет на облачные решения неэффективно.


О чем это говорит? Нет, не технология тут виной – с ней все в порядке. Не в порядке – информация о том, как этой технологией пользоваться, оптимально управлять. Не в порядке – фундаментальное понимание потребностей компаний и тех облачных возможностей, которые реально способны удовлетворить эти потребности. По словам Стивена Лоу из ThoughtWorks, причина в том, что компании просто следовали моде, поднятой шумихе, и потому мигрировали в облака, не проведя предварительно должного бизнес-анализа.


«Простая миграция критически важных для бизнеса сервисов в облако автоматически не сделает их надежнее или гибче, – поясняет он. – Чтобы извлечь настоящую пользу из размещения в облаке, программное обеспечение должно быть спроектировано и реализовано принципиально иначе, с использованием микросервисов вместо монолитных структур».


А еще есть такой замечательный аспект как устаревшее ПО. Например, программа была написана 25 лет назад, а компания, ее написавшая, уже лет 15 как почила в бозе. Но какая-то компания еще пользуется этим ПО – без обновлений, без адаптаций… И наивно было бы полагать, что переезд в облако сможет «завести» эту программу так же успешно, как это было сделано когда-то на офисном сервере. «Всегда найдется программа, которая не подлежит виртуализации, – отмечает Том Мейнелли (Tom Mainelli), вице-президент компании IDC. – Она может быть устаревшей и развернуть ее в облаке не удастся. Однако большинство компаний не понимают этого. И их неизбежно постигает горькое разочарование. Но просто стоит принять как данность: вы никогда не избавитесь от старых проприетарных приложений, которыми ваша компания пользуется в своем ежедневном бизнес-процессе».

Пилюля №3: Ваши системы уже взломаны

В том смысле, что ваша корпоративная сеть скомпрометирована и безопасность ваших данных находится под угрозой. И дальше – только хуже, судя по тенденциям: в 2016 году, например, утечки данных выросли на 40%, по данным Identity Theft Resource Center. Судя по нескольким серьезным волнам вирусных атак, сотрясавших мир в текущем году, итоги 2017 года еще превысят этот показатель.


Поэтому нужно принять это как факт и думать, что делать дальше. Многие компании идут по пути наращивания инвестиций в средства ИТ-безопасности. Майкл Мейкли из secureHIM полагает, что этот поворот – не туда. «Все хотят купить такую систему, которой легко управлять, но сложно при этом взломать, – говорит он. – Однако обычно дело заканчивается громоздкой и крайне неудобной в использовании тикетницей с приложением по безопасности, а критические данные так и остаются без должной защиты. Разумнее было бы начинать с предположения, что система уже взломана, а затем разрабатывать план обеспечения безопасности информации в этих условиях».


Том Мейнелли из IDC полагает, что вместо безуспешных (как правило) попыток разработать/купить/дописать универсальную защиту для своих сетей и устройств, ИТ-подразделениям разумнее было бы сосредоточиться на защите данных компании на «точках выхода» – портах рабочих станций, например.


«Естественно, нехорошо, если бы ваши сети или компьютеры кто-то взломал, но что произойдет, если кто-то подключится к USB-порту на компьютере в вашей компании? – приглашает он к размышлению. – Хорошо ли защищены критически важные для бизнеса данные в этом случае? Что произойдет, если они будут переписаны с одного диска на другой или пересланы по электронной почте с одного ящика на другой?» Безусловно, этот аспект стоит того, чтобы на нем заострить свое внимание.


По словам Бобби Кэмерона из Forrester Research, безопасность ухудшилась вследствие значительного роста числа устройств и, следовательно, данных, требующих защиты. Однако технологии наподобие контейнеров на платформе Docker для облачных данных или автоматические системы выявления взлома, использующие ИИ, уже дают реальный инструментарий для борьбы с проблемой. А случаи с Equifax и Yahoo, уязвимости и утечки данных в которых происходили на протяжении долгого времени, наконец заставили ТОПов пристально взглянуть на проблемы безопасности.



Источник материала: www.cio.com


Авторский перевод: Алиса Кандеева

Понравилась статья? Поделитесь ею в социальных сетях!