信息化觀察網(wǎng)

各公司都希望在適應(yīng)新的工作、員工管理和客戶服務(wù)方式的同時，盡可能地抓住所有技術(shù)驅(qū)動的優(yōu)勢。他們正在向云計算、電子商務(wù)、數(shù)字供應(yīng)鏈、人工智能和機器學(xué)習(xí)、數(shù)據(jù)分析以及其他能夠帶來效率和創(chuàng)新的領(lǐng)域邁出更大的步伐。

與此同時，企業(yè)也在努力管理風(fēng)險--因為創(chuàng)造了新機遇的數(shù)字化舉措也可能會帶來安全漏洞、法規(guī)遵從性的失敗以及其他的風(fēng)險。其結(jié)果是導(dǎo)致了創(chuàng)新需求和降低風(fēng)險需求之間的持續(xù)沖突。

“在管理風(fēng)險和參與數(shù)字化轉(zhuǎn)型的工作方面，總是會有一定程度的緊張，”醫(yī)療保健提供商Intermountain Healthcare的首席信息官Ryan Smith表示。

“隨著企業(yè)開始致力于提高向消費者和員工提供的涉及個人和面向業(yè)務(wù)的數(shù)字信息訪問水平，就產(chǎn)生了全新的風(fēng)險形式，與傳統(tǒng)的開展業(yè)務(wù)的方式相比，這些風(fēng)險必須得到緩解，”Smith說。“這些通過數(shù)字化轉(zhuǎn)型所實現(xiàn)的新參與模式需要不同的風(fēng)險管理方法。”

以下是數(shù)字化轉(zhuǎn)型工作可能帶來風(fēng)險的四個關(guān)鍵領(lǐng)域，以及企業(yè)如何應(yīng)對這些風(fēng)險的方法。

多云或混合云基礎(chǔ)架構(gòu)

越來越多的組織正在轉(zhuǎn)向由多個云服務(wù)支持的IT環(huán)境，這些云服務(wù)通常是來自多個提供商。其中可以包括SaaS、PaaS或IaaS產(chǎn)品。

不管是使用哪種類型的云，將重要數(shù)據(jù)和應(yīng)用程序托管在組織自身防御范圍之外都會帶來相當(dāng)大的風(fēng)險，尤其是在涉及到多個位置、服務(wù)或供應(yīng)商的時候。除了數(shù)據(jù)丟失或被盜之外，公司還可能會遇到數(shù)據(jù)隱私法規(guī)方面的問題，更不用說糟糕的云管理實踐所導(dǎo)致的成本超支風(fēng)險了。

“我們在這里看到的最常見的風(fēng)險會涉及云環(huán)境的治理包括：哪個云提供商?是哪個協(xié)議?處理(開發(fā))環(huán)境的創(chuàng)建、利用率、規(guī)模等方面的門檻，以優(yōu)化使用，”技術(shù)研究和咨詢公司ISG的合伙人Ola Chowning表示，在一開始就解決此類治理問題要比在實施后再進(jìn)行處理要容易得多。

全球管理咨詢公司Kearney旗下的商業(yè)分析咨詢公司Cervello的主管Emal Ehsan表示，多品牌戰(zhàn)略“往往會帶來更高的復(fù)雜性以及脫節(jié)的管理和自動化工具”。這種復(fù)雜性可能會帶來業(yè)務(wù)中斷的風(fēng)險。

此外，IT服務(wù)在歷史上總是從公司所擁有和運營的數(shù)據(jù)中心所采購的，IT部門會負(fù)責(zé)監(jiān)督采購過程。而現(xiàn)在，像PaaS這樣的云服務(wù)可以很容易地被商業(yè)用戶所購買和部署，而不需要架構(gòu)或安全方面的審查，Intermountain的Smith表示。IT和業(yè)務(wù)領(lǐng)導(dǎo)人需要通過控制哪些服務(wù)已被打開并可供用戶使用來緩解這一問題。

“最佳實踐是確保對于所有請求的云服務(wù)在被批準(zhǔn)在企業(yè)中使用之前，就在任何的IaaS、PaaS或SaaS供應(yīng)商平臺上都經(jīng)過適當(dāng)?shù)募軜?gòu)和安全審查，”Smith說。“在向組織提供任何關(guān)于公共云供應(yīng)商的工具之前，必須建立指導(dǎo)和防護(hù)欄，包括對所有使用情況的持續(xù)監(jiān)控。”

IT、網(wǎng)絡(luò)安全和法律部門必須共同努力，在企業(yè)用戶購買和使用新的云服務(wù)的所有努力中保持領(lǐng)先地位，Smith說。

數(shù)字供應(yīng)鏈和銷售渠道

企業(yè)開始越來越多地依賴各種技術(shù)來增強和管理其供應(yīng)鏈，包括端到端的數(shù)字連接、云服務(wù)、區(qū)塊鏈、機器人、自主車輛和高級分析工具等。

供應(yīng)鏈的數(shù)字化轉(zhuǎn)型不僅可以提高效率和可見性，減少錯誤和成本，還可以增強與業(yè)務(wù)合作伙伴的合作，并改進(jìn)流程。但它也可能帶來風(fēng)險，包括數(shù)據(jù)的丟失。

參與B2B數(shù)字服務(wù)的各方可以采用多種風(fēng)險緩解技術(shù)，Smith說。其中包括與合作伙伴制定全面的業(yè)務(wù)協(xié)議，以解決各種風(fēng)險和責(zé)任。公司還可以建立網(wǎng)絡(luò)安全和數(shù)據(jù)隱私控制，以確保數(shù)據(jù)的傳輸和存儲安全。

“企業(yè)通常會要求監(jiān)控這些B2B連接，以確保政策和程序能夠得到遵守，”Smith說。“此外，最佳實踐還建議經(jīng)常進(jìn)行第三方的風(fēng)險評估，以確保數(shù)字供應(yīng)鏈的所有參與者都能夠遵守行業(yè)安全和隱私要求及標(biāo)準(zhǔn)。”

公司也開始更多地依賴于數(shù)字銷售渠道，如電子商務(wù)、電子郵件、文本、移動應(yīng)用程序和在線活動，以接觸客戶或潛在客戶。

“我們在這里經(jīng)常能看到的風(fēng)險是，多渠道戰(zhàn)略通常會缺乏明確性，或者如果完全轉(zhuǎn)向數(shù)字化，而缺乏戰(zhàn)略來實現(xiàn)另一端的合作伙伴、客戶和消費者的轉(zhuǎn)變，”Chowning說。“如果沒有完整的戰(zhàn)略大綱并推動優(yōu)先事項和投資，組織可能會發(fā)現(xiàn)自己處于一種不斷變化的狀況中，而實際上卻沒有任何渠道能夠取得進(jìn)展。”

一些創(chuàng)建多個數(shù)字頻道的努力甚至演變成了一種內(nèi)斗，Chowning說。“讓多個渠道成為同一個領(lǐng)導(dǎo)團(tuán)隊的責(zé)任和問責(zé)，往往是一個非常重要的緩解策略”，這將有助于避免這種情況。

物聯(lián)網(wǎng)

制造業(yè)、醫(yī)療保健、零售業(yè)和其他行業(yè)的公司已開始大規(guī)模的部署物聯(lián)網(wǎng)技術(shù)了，以跟蹤資產(chǎn)位置、監(jiān)控設(shè)備性能、收集產(chǎn)品使用數(shù)據(jù)等。

潛在的好處是引人注目的，包括更有效的供應(yīng)鏈和工廠，改進(jìn)的設(shè)備和產(chǎn)品維護(hù)，增強客戶體驗，以及通過避免貨物丟失而降低的成本。但是其風(fēng)險也很高。例如，分布式拒絕服務(wù)攻擊已經(jīng)被歸咎于所連接的設(shè)備，而物聯(lián)網(wǎng)策略則引入了更多的黑客切入點，包括了所連接的設(shè)備本身。

企業(yè)內(nèi)的連接設(shè)備可能會包括任何東西，從暖通空調(diào)系統(tǒng)、服務(wù)器和其他IT設(shè)備，再到車輛、照明系統(tǒng)、恒溫器、電器等等。組織需要尋找保護(hù)和降低聯(lián)網(wǎng)設(shè)備風(fēng)險的方法，以限制這些設(shè)備與其他設(shè)備的連接，并在某些情況下將它們放置在單獨的網(wǎng)絡(luò)當(dāng)中，Smith說。

“此外，還需要特別努力地與設(shè)備制造商進(jìn)行密切協(xié)調(diào)，以幫助確保這些類型的設(shè)備在修補(操作系統(tǒng))時能夠保持最新，并有適當(dāng)?shù)目刂拼胧﹣肀Ｗo(hù)它們，”Smith說。

其他最佳實踐也包括了通過合同來要求設(shè)備制造商提供保持設(shè)備最新和安全的方法;以及掃描公司網(wǎng)絡(luò)以檢測物聯(lián)網(wǎng)設(shè)備是否有可疑活動的跡象。

自動化和分析

隨著公司開始尋求加快運營速度、減少錯誤和降低成本，它們正爭先恐后地將耗時且勞動密集型的手動流程自動化。

人工智能和機器人流程自動化(RPA)等技術(shù)將可以用來幫助自動化數(shù)據(jù)輸入等任務(wù)，從而顯著地提高業(yè)務(wù)過程的處理方式，但它們也可能會帶來風(fēng)險。

分析、人工智能的主要風(fēng)險組成部分是數(shù)據(jù)科學(xué)家用來訓(xùn)練模型的數(shù)據(jù)集以及生成這些模型的平臺，Smith說。

風(fēng)險緩解措施則包括了制定精心制作的合同來管理大數(shù)據(jù)合作伙伴關(guān)系，將數(shù)據(jù)集中所使用的數(shù)據(jù)限制在必要的最低限度，以及在可能的情況下使用匿名數(shù)據(jù)，Smith說。

自動化的一些風(fēng)險也可能來自于無法足夠快地進(jìn)行擴(kuò)展或是無法達(dá)到預(yù)期。

“自動化的生態(tài)系統(tǒng)目前正在經(jīng)歷重大變化，”Cervello的Ehsan說。“回顧過去，它起始于流程外包，然后是流程優(yōu)化--精益、六西格瑪--再到RPA。我們現(xiàn)在看到的則是RPA和AI的融合，它能夠解決復(fù)雜的業(yè)務(wù)問題。”

Ehsan說，AI和RPA的這種一致性正在打開新的可能性和用例，而這些在過去原本是不可能的，例如具有1750億機器學(xué)習(xí)參數(shù)的智能文檔處理，或者是使用神經(jīng)網(wǎng)絡(luò)和深度學(xué)習(xí)來檢測事務(wù)中的異常。

組織應(yīng)該盡早的設(shè)定對自動化的期望，并讓業(yè)務(wù)和IT的利益相關(guān)者參與進(jìn)來，以提高對自動化的可能好處、功能和用途的認(rèn)識，Ehsan說。然后，他們還應(yīng)該引入專注于收益的快速，小型和短期的試點。

“通過雇用員工或聘請顧問來盡早地利用高技能資源，以建立治理，框架，變更管理和溝通，模板，業(yè)務(wù)參與，業(yè)務(wù)案例形成和投資回報率計算，”Ehsan說。

緩解數(shù)字化風(fēng)險的措施

對于任何數(shù)字化轉(zhuǎn)型計劃，組織都應(yīng)該通過IT、安全、風(fēng)險管理、法律和其他相關(guān)方之間的合作，徹底評估風(fēng)險，包括他們將要使用的與技術(shù)平臺相關(guān)的風(fēng)險。通過確定最大的風(fēng)險來源，IT和安全領(lǐng)導(dǎo)者將能夠從這個角度來著手實施轉(zhuǎn)型計劃。

Park Industries是一家制造系統(tǒng)提供商，目前正在進(jìn)行多項數(shù)字化轉(zhuǎn)型的工作，包括業(yè)務(wù)流程自動化、企業(yè)系統(tǒng)集成、云遷移以及與物聯(lián)網(wǎng)相關(guān)的數(shù)據(jù)分析。

“在處理這些轉(zhuǎn)型計劃時，信息安全和數(shù)據(jù)質(zhì)量是其中兩個最大的風(fēng)險，”Park Industries的IT主管David Lloyd說。“擁有一個全面的數(shù)據(jù)策略，包括安全性、基于角色的特權(quán)以及確定單一的數(shù)據(jù)來源，將有助于減輕這些風(fēng)險。”

大多數(shù)組織都已經(jīng)認(rèn)識到，利用云計算、人工智能、物聯(lián)網(wǎng)和其他技術(shù)可以提供實質(zhì)性的好處，例如提高業(yè)務(wù)的靈活性、增強服務(wù)的可擴(kuò)展性以及降低成本，Smith說。“然而，必須實施全新的風(fēng)險管理技術(shù)來支持這些變革能力。”他說。