TechTarget2015年度薪酬和职业调查,充分反映了CIO和高级IT领袖们对影子IT的态度。
根据TechTarget对248位受访者(CIO、CTO、CISO、IT副总裁或总监)进行的2015年度薪酬和职业调查,安全将成为CIO以及IT高层管理人员在2016年的重点关注领域。当被要求在30个候选项目中选出2016年优先级最高的3个时,27%的人选择了安全项目——选择应用开发的占24%,而云计算和商业智能分别是19%和18%。
调查结果反映了IT部门对各方面工作优先级评估的趋势。而且,根据调查内容,IT对于安全的认知也在逐渐成熟。
安全项目已经渗透到IT工作的方方面面,而不仅仅是孤立项目。比如,加州Fontana城CIO Dennis Vlasich就认为,没有安全为基础,云计算就无从谈起。
“就云计算而言,流程和法规工作的比重其实是大于技术的。我们发现,SaaS服务提供商正绕过IT部门直接联系业务部门洽谈合同。”Vlasich说:“这种局面导致了内部壁垒的形成。而且,由于各部门很少考虑安全以及与云服务的连接事宜,问题变得更加严重。”
非盈利性医疗健康组织Millennium Collaborative Care的首席运营官和IT主管Gregory Turner同样表达了对安全问题的关注。尽管应用开发和设计位于CIO和高级IT主管们2016年项目规划的最高位(高于去年的排位),但是对于Turner来说,在规划APP开发事项时,安全的考量是必须的。
长期关注安全
根据三年来历次调查结果显示,安全类项目在整个IT规划中的比重会越来越高。根据2013年和2014年TechTarget的调查结果,21%的受访者将安全项目排在了最高优先级,而今年这个比例接近了三分之一。
专家表示,这种对安全关注度的上升并不意外。“由于近期发生的一些事情,导致了人们关注度的上升。”Turner表示。Turner在一家非盈利性的医疗服务机构工作,该机构位于纽约州西部,致力于更好地将接受公共医疗补助的患者与医疗健康服务提供者连接起来。延续近几年来的趋势,2015年的数据泄露事故呈上升趋势,著名的案例包括Ashley Madison(婚外情社交网站)、CVS(在线图片服务网站)和联邦人事管理办公室(the Office of Personnel Management)等。因此,安全成为公司高层的关注重点,同时也把CIO和IT管理者推到了前台。
对Vlasich来说,由于影子IT的缘故,受到高度关注的信息安全和云计算其实难分彼此。SaaS模式使得服务的引入变得更加容易,但是业务部门通常很少会考虑这些问题:开放API接口、身份认证、合同退出以及合同期满后数据的归属等。
Vlasich虽然明年就计划退休了,但是并不希望IT成为发展的障碍所在。相反,他希望IT能够真正支撑该城的服务。当人力部门试图寻找一个在线申请系统时,Vlasich派了一个分析师进行调查研究,帮助该部门找到了合适的方案,并且还符合该地政府的监管规范。“目前,通过IT的努力,这个应用运行得就像自建系统一样。虽然没有提供任何硬件设备,但是IT在培训、技术和运维方面都发挥了巨大作用。”
应用开发优先级的提升
在IT和业务交互中,云计算并非导致安全隐患的唯一因素。对于Turner来说,2016年最高优先级的项目是应用开发,后者在本次调查中所受的关注度迅速提升。去年,应用开发以14%的比例位列IT项目优先级的第七位,而今年这个数字上升到24%,名列第二位,仅仅排在安全项目之后。
对于Turner来说,应用开发的安全是极为重要的事情。Millennium Collaborative Care的目的在于将纽约州西部的患者与医疗服务机构连接起来,提升医疗服务质量。明年,该机构计划开始部署一个整体交付的方案,通过技术手段,让正确的服务提供商在正确的时间为患者提供正确的服务。
为了实现这个目标,必须确保给患者提供的是重质不重量的服务,而这必须通过数据分析才能达成,而应用正是企业获取数据的主要渠道。“当我们与应用开发商进行合作时,必须认识到一个事实,他们不是我们的员工,我们所能做到的监管是有限的。”Turner表示。
应用开发和影子IT
Turner最担心的安全问题并不是有人会侵入系统,相反,他更关心移动设备或U盘的失窃或丢失,这往往会直接导致敏感数据的泄露。同时,他认为包含了太多安全层级的应用可能会显得过于笨重。“这其中绝大部分的原因在于设计。”Turner认为。目前,他正在寻找能够满足其要求的合作伙伴。
SAS Institute的最佳实践副总裁Jill Dyche认为,应用开发的日渐流行以及自服务APP环境所导致的安全风险,或许会让云计算再次成为关注的焦点。而且,对于标准化的诉求也会日益凸显。在SAS,Dyche与业界的CIO和高级IT领袖们紧密合作。
“5到7年前,业务端开始显露对自建IT的企图。”Dyche表示:“现在,他们同样希望拥有自己的应用,但却不想多和服务商打交道。”
在加州Fontana城,Vlasich开发了一个目录服务,并希望SaaS厂商遵循Security Assertion Markup Language(安全断言置标语言SAML)——基于federated identity management(联合身份管理)的一个标准协议。该服务的功能是,当某位员工离职时,将从目录中移除,其对SaaS服务的访问权限将被取消。
但是,事情并未结束。当Fontana城的采购部门在向美国银行购买PCard系统时,没有咨询IT部门。“他们没有想到IT介入的需要,直到发现在认证管理方面有问题时。”Vlasich说。
Vlasich要求采购部门让他与美国银行联系,以确保后者对SAML的遵守。事实证明,美国银行并未做到这一点。“令人高兴的是,对方计划在明年开始遵循SAML。”Vlasich说。
对于确保SaaS投资的透明度,Vlasich计划和采购部门(负责所有采购行为,包括信用卡)合作。“当他们要进行采购时,可以先搞清楚是否和特定服务有关。如果需要的话,让IT部门适时介入。”Vlasich说:“鉴于SaaS方案提供商的营销手段,有些事情必须有我们的参与,确保消除隐患。”