在最理想的情况下,CIO和其他的主管应根据整体业务战略来对IT投资进行评估,从而获得最大的回报并满足所有重要的IT投资和业务需求关系。
在最理想的情况下,CIO和其他的主管应根据整体业务战略来对IT投资进行评估,从而获得最大的回报并满足所有重要的IT投资和业务需求关系。然而在现实世界中,往往有很多因素交织在一起,单个IT项目往往被当成真空项目,组织没有从这个项目所存在的大环境中进行通盘考虑。这种做法所导致的结果是,产生了一个会引起诸多问题的孤立的决策过程。
问题出在哪里?
举个例子来说,当我们提到IT相关的安全问题决策时,许多公司都会做最坏的打算。他们往往更加关注那些可能会给组织带来巨大灾难的事件,并引用以前发生过的一些案例,最后使用一种最安全的投资方式,而不是对这些事件做一个更好的、基于事实的评估。
这种逻辑存在的首要问题是,安全失控所带来的成本影响没有同安全失控的概率联系起来。换句话说,虽然IT安全系统的瘫痪会给组织带来巨大的损失,但是这个事件的实际风险却没有考虑进去。
其次,规避安全问题的方案往往没有考虑消除风险的所有相关投资。组织往往会从防火墙和病毒扫描系统开始,来证明这个投资对预防全面和不可避免的安全瘫痪的必要性。但是很快的,一些其他方面的投资需求又冒了出来,例如入侵检测、反入侵软件、数字认证等等。所有的这些相关投资实际上都在解决相同的问题,而且每种投资都是基于预防全面的安全失控问题上进行考察的。当诸如此类的投资无休止的节节攀升时,管理层就可能质疑IT安全基本业务案例的有效性了。
在何地、何时进行投资,以及做多少投资才能够避免系统瘫痪所造成的损失,必须要通盘考虑所有的安全方案和相关的预算。问题不在于值不值得追加新的防火墙投资,从而避免全面的安全失控。而在于CIO们必须要问:“我们的是否把钱花在应该花的地方,从而使我们在面对安全问题时更加自信。”
