但这只是现代数字时代的一部分。如今,IT弹性意味着更多。
例如,可以考虑一下Brad Stone对它的看法。作为Booz Allen Hamilton公司的CIO,Stone认为应该从两个方面考虑弹性:一个是让业务不受干扰;二是要有调整能力、应对变化及突发事件的能力。
Stone总结道,如今的弹性意味着要在完成上述所有工作的同时不间断地提供用户期望的技术体验。
他解释称,“十年前,如果发生网络中断,人们会习以为常并且很快忘怀。但是,如今的用户和业务领导者希望技术始终有效并提供令人惊叹的体验感。随着IT作为推动者的作用越来越重要,人们的期望值也比以往高得多。如今的用户可能不要求完美,但他们的标准也可谓非常非常高。”
这反过来又促使安全行业采用更广泛的方法来确保当今的IT弹性。在本文中,安全专家和IT领导者提供了CIO应该采取的七种最佳实践,以确保满足当前用户对弹性的期望。
1. 与业务需求保持一致
咨询和服务公司GuidePoint Security的业务弹性总监Ron Brown将IT弹性定义为“确保技术始终可用”——尽管他承认这种完美场景是不可能的。
他表示,“CIO确实必须为事情会在某个时间点发生意外的事实做好准备”。
CIO可以通过明确哪些系统对业务最重要来为这种必然性做好最佳准备;这种清晰性可以让IT知道在任何类型的中断期间应该优先关注什么。
他补充道,毫无疑问,CIO要做的第一件事就是与业务保持一致,了解他们的需求以及他们愿意为获得自己期望的东西付出什么。业务影响分析可以提供帮助IT和业务部门实现这种一致性。一旦了解了业务部门的需求,CIO就可以考虑如何规划所拥有的服务和功能以及哪些应用程序由哪些组使用。如此一来,一旦出现问题,他们能够明确优先级并实现快速恢复。
2. 打破孤岛
网络风险管理公司Axio Global的高级顾问Richard Caralli将弹性视为“从管理运营风险延伸出来的一种新兴属性”。
为了实现这一点,IT运营和网络安全团队应该与负责监督业务连续性/灾难恢复计划的领导者合作。然而现实是,这些活动往往是孤立的,每个学科都在不同的风险假设和情景下运作,而实际上它们必须融合并协同工作。
例如,一个企业的网络安全团队可能专注于创建一个出色的纵深防御策略,以实现最佳入侵防御:在入侵发生前及时检测,并在入侵发生时做出响应。但是,如果网络安全团队没有与风险和IT团队密切合作,那么他们在计划“尽快恢复正常运行条件并尽可能减少影响”等方面可能无法发挥强大作用。
Caralli补充道,“如果他们没有一起讨论,他们可能正在计划或量化不同的风险。他们必须一起计划和运行场景才能实现最佳效果。如果你从影响方面看待风险并可以预见可能会发生什么样的后果,你就可以开始量化风险,然后你就可以知道将下一美元花在哪里:是将其用于预防方面还是花在减少影响的实践上。”
3. 让你的指标成熟化
管理咨询公司McKinsey & Co.的合伙人Jorge Machado表示,随着IT弹性的发展,CIO应该调整他们用来衡量和管理运营的指标,以确保其实现正确的目标。
Machado解释称,“传统意义上,如果我们回到十年前,衡量弹性的指标无非是正常运行时间、应用程序的可用性以及平均恢复时间等等。但如今,随着应用程序变得更加面向微服务且我们远离单体系统,我们需要以更细致入微的方式进行衡量。”
他和同事Arun Gundurao建议,衡量标准应该侧重于执行关键事务的能力,例如衡量客户交互中的失败、从用户角度来看应用程序体验或服务水平目标等。
企业关心的是这个应用程序或这个客户旅程。你需要衡量企业想要你衡量的东西。
4. 练习
在Stone看来,弹性意味着成功处理意外情况的能力。为此,Stone需要确保他的IT部门不存在准备不足的情况。这意味着通过桌面练习和模拟进行培训、测试和练习。
他介绍称,“我们正在公司内部运行桌面练习,这几乎就像一个实弹模拟。你必须在正确的时间小心地处理意外情况,而这必须成为你工作节奏的一部分。你必须具备标准的操作程序,实践它们并不断改进。你必须不断挑战你的员工以提升他们的技能。”
这样的练习让CIO及其管理者有机会建立运作良好流程的信心,建立肌肉记忆,以及识别弱点。例如,受过关键技术培训的员工一般不会在特定应用程序失败时缺乏备份程序。
5. 架构师弹性
IT顾问强调,通过诸如跨地理位置分布实例和有效负载在架构本身中构建弹性非常重要。
确保弹性系统的一种方法是简化你所做的事情,这样你就可以很好地满足用户期望,并且有助于防止团队过度扩张。此外,将事件、问题和变更管理自动化也有助于建立弹性。
Gundurao建议采用站点可靠性工程(SRE),这是一套用于基础设施和运营的原则和实践,旨在创建可扩展、可靠的系统。Machado补充道,SRE——以及那些接受过其原则培训的人——能够专注于构建可以应对各种场景的IT能力,无论是安全场景还是突发意外场景。
埃森哲全球企业架构负责人Andrew Long认为,大型传统组织越来越多地采用数字原生组织使用的原则、技术和方法来构建更具弹性的IT系统。这使企业能够提高其对破坏性业务事件的应变能力,从而变得更具竞争力。
为此,IT领导者正在强调速度和敏捷性、以数据为中心和去中心化,以及持续集成和交付SRE和微服务,以便以更加模块化和可组合的方式提供未来组织所需的业务能力。
他们还从传统的基于瀑布(waterfall-based)的IT项目交付转变为更以产品为中心的IT交付和运营,这倾向于考虑支持IT弹性的更广泛和更具战略性的需求。
Long表示,“几乎所有企业都在云中拥有部分IT资产。但关键是考虑可以利用哪些独特的云功能来提高企业变得更加敏捷和弹性的能力。”
6.保持警惕
专家表示,组织风险、业务需求和技术都将继续发展,围绕IT弹性的实践也应如此。
这需要IT部门与业务部门合作,以了解他们看到的业务中断风险、风险规模,以及至关重要的是,他们如何量化这种风险以及潜在价值。通过清楚地了解技术环境的当前状态,CIO可以更好地了解企业如何应对这种中断,以及关键风险区域所在的位置。随后,就可以确认需要采取的具体干预措施以最大限度地降低风险,并制定路线图以实现变革。重要的是,只有每个人都对业务风险保持一致,才能有效地执行该路线图。
7.让业务部门分担责任
Machado认为,业务部门也可以在IT弹性方面发挥作用,因此业务部门的领导者也应该对此负责。
他解释称,“我认为企业必须有一个问责制模型,并且让业务部门共担责任。甚至任何构建应用程序的人都应该分担责任。它不应该只是CIO的责任。”
Machado并非倡导让业务部门接管IT运营以及应用程序和系统的日常管理;而是,他认为业务部门应该明白他们的要求和优先事项会影响弹性。
例如,如果业务部门领导者不断优先考虑上市时间和价值创造速度,那么通过让他们共同承担责任,可以让他们了解这是否会影响弹性以及影响程度。
版权声明:本文为企业网D1Net编译,转载需注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
京公网安备 11010502049343号