信息技术从其诞生,一直至今,绝大多数的企业和个人都认识到了它的威力。信息技术的魔力和信息技术黑洞就像一对孪生兄弟,成为信息化建设过程中一对由来已久的矛盾。要投资IT吗?要搞信息化建设吗?答案都是肯定的,可是到底如何才能使其回报对得起自己的投入呢?
在如今的信息化水平下,即便是国外较为发达的状况下,一谈到IT相关问题,大多数人想到的仍然是管理与控制,而不是“治理”。
国外尚且如此,那么国内呢?我们到底需不需要IT治理呢?IT治理真的只是一个概念吗?IT治理的确“上能通天”,可是对于务实的中国CIO来讲,更需要的是“下能达地”。
“中国式”IT治理
我们必须承认一点,IT治理的确不是企业的任何发展阶段都需要的,而是企业信息化发展到一定阶段的产物。一个尚处于手工管理信息,或者IT投资额所占比例不大,影响较弱时,谈IT治理有些过于“阳春白雪”。
但企业要想强大—解决了生存问题再图谋更大发展时,IT治理的作用就非常突出。
中国的企业是否需要IT治理,不能一概而论。事实上,目前已有一些我国企业正在或已经实施了IT治理,只不过有些不这么称呼罢了,毕竟信息化建设越深入就越演变成一种变革,要的只是实际效果。比如政府的金财工程也提出了IT治理模型,中化集团在CIO彭劲松的领导下也实施了基于COBIT的IT治理实践,再比如深圳三九医贸公司的CIO李士峰提出成立IT项目委员会负责公司所有IT项目的审批、验收、资金控制、人员职权和考核等,拉开了IT治理的帷幕。
同时,IT治理在中国会遇到许多国外没有的特殊困难,也是不容回避的事实。2007年5月31日,中国网通集团所属的中国网通集团(香港)有限公司以零缺陷的测试结果通过了普华永道会计事务所对其财产报告的内控审计,成为率先过关美国《萨班斯—奥克斯利法案》404条款的国内电信运营商。有人说,这标志着国内运营商开始进入“后法规遵从”时代,运营商将面临审计合格后的持久性内控建设。
实际上,自2004年年末,网通就开始推进内控体系建设,确立了风险管理与内控体系建设的指导原则和实施步骤。作为公司萨班斯法案小组组长的网通CFO李福申曾表示:“原来我们过度地把西方的东西看成和中国的水火不容,其实并不一定如此。不要僵化地理解和执行美国的公司治理和404条款,一定要和所在国家的实际情况相结合。”
黄先生是国内某银行软件开发部的成员,作为软件的开发者,他对软件开发过程中的安全和和法规遵从两方面都不太感兴趣。
他说,“这不是我们考虑的问题。法规遵从是在业务部门提需求时,银行的法律合规部门介入,看提出的需求符不符合法律的需要。我们只需要满足业务部门的需求——业务部门都很强势,只要按时把项目完成,其他都可以忽略。”
在中国,有很多有中国特色的特例。很多情况可以轻描淡写用一句话带过,那就是国情不同。但从某种程度上来说,是否重视安全和法规遵从,反应了企业对这两个问题的态度。企业要意识到IT治理不是一个部门的问题,而是整体的一个架构。真正的安全应该是端到端的整体安全,随着企业的整体安全越来越被关注,也许,企业的软件开发部应该和法律合规部一起思考这个问题。毕竟在软件开发期间把这个漏洞找出,成本会大大降低,很多用户缺少的是提前防御的意识。
一些国际厂商也在对用户宣扬这样的理念。IBM公司在2007年7月20日对外公布完成了对Watchfire公司的收购,在Rational软件中加入了安全和法规遵从的部分。在软件开发的源头加入控制安全和法规遵从,也许可以使软件更安全。但要想使企业更安全,需要改变的是人的意识。我们需要全新的安全
再来说说安全,对于企业来说,安全问题无疑是一个至关重要的问题。在中国,只要你不去美国上市,萨班斯—奥克斯利法案好像离我们很遥远。
而在美国,企业都会被要求对公司实施安全方面的控制,否则CIO、CEO会受到仅次于谋杀罪名的法律制裁。
新加坡的一家银行,有500个小额帐户的信息被泄露,导致40000个用户觉得此银行不安全,把自己的资金转走。500个小额帐户和40000个用户相比,储户更在乎的显然是对银行的信心。
即使是一些比较著名的公司,包括杜邦、黑莓、CNN等,也都在过去几年中遭遇过安全方面的危险。杜邦、黑莓、CNN面临的威胁都是来自于外部,而内部的风险往往都是来自于内部的成员没有很好的遵循内部的规范。
据研究统计表明,差不多有85%的安全或风险问题,都来自于企业的内部。而这些风险很大一部分都是来自于企业内部跟IT相关的管理,也就是说现在越来越多的客户认识到安全管理或防范不只是构建一道外界防御的工具。
IBM全球治理与风险管理的战略总监Kristine Lovejoy曾经是一家媒体的编辑,一次她去参观一位用户的数据中心时,工作人员向她开放了自己的全部设备。其中,路由器就放在门口放衣服的地方,没有引起企业的重视。
举这个例子,Kristine想说明,在一个企业中,员工的信息如果不进行量化,会造成很大的风险,因为他们不知道什么是可以透露的信息,什么是不能泄漏的信息,以及他们的安全级别。根据一家研究机构的统计,80%的CIO认为企业的安全措施要从头开始。用户采购了很多相关工具,但是他们互相不关联,不集成,应用起来比较复杂。传统的点到点的安全解决方案不再起作用,容易造成数据孤岛和冗余成本,并且复杂性高、资产应用低效。用户需要一种全新的,基于流程的安全管控方式。
有鉴于此,很多企业开始推广全新的端到端安全解决方案。华为和北电都推出了针对网络的端到端安全解决方案。2006去年10月,IBM耗资十二亿美元收购了ISS,并随即开始将ISS与IBM全球信息科技服务部原有的企业IT安全服务能力进行无缝整合,以期充分利用ISS主动防御集成安全平台以及前瞻性安全解决方案,完善与强化IBM的整体安全架构体系。
我们今天所处的复杂IT环境决定,任何局部的、支零破碎的安全技术或方案都不足以应对形形色色的风险问题。企业需要的是由最先进的产品和技术组成的‘端到端’的风险管理解决方案,只有这样他们才能确保业务数据的安全,并获得对法规遵从性的管理。
且不论这是不是商家的炒作,IT治理到底是蜜糖还是毒药,全看我们怎么行动。橘生淮南则为橘,生于淮北则为枳。但愿IT治理到了中国,不要变成了压垮中国CIO的最后一根稻草。
你信任你的员工吗?
北京一家软件企业很早就有了风险管理意识,比如把研发部门所有台式机的机箱都额外封加一个外壳,所有USB接口也都封锁,所有研发人员只能登录内网,不能浏览外网。“即使更换一个电脑鼠标,也必须告诉公司的IT部门,会有专门人员来进行更换。”
这件事从安全角度反应出了这家公司的企业文化—不太信任员工。从安全的角度看,企业的风险管理容易陷入两个极端:要么充分相信员工,所有的信息资源都共享;要么就是一点都不信任员工。而从风险管理的实质来看,这些都非IT治理的初衷,风险管理和安全管理做到恰如其分,就会使企业业务流程更加自动化和有效。