Proč CIO selhávají: značný konzervatismus

Tímto článkem zahajujeme sérii příspěvků na téma „Proč CIO selhávají“.

A začneme jak jinak, než klasickým případem, kdy business útvar po IT poptává určitou službu, ale IT není schopno či nechce tuto službu poskytnout, a tak hledá důvody, proč to nejde. Z pohledu CIO (Chief Information Officer) se jedná ze strany businessu o nežádoucí poptávku a tak se jí snaží utlumit. Ano, klasická marketingová technika, ale nesmí se používat moc často.

Doba se totiž mění a CIO již nemůže na všechny požadavky businessu odpovídat kategoricky „Ne“ a IT útvar, který díky tomuto přístupu k řešení požadavků businessu dostal v mnoha organizacích nelichotivou přezdívku „Útvar Ne“, se musí této nálepky zbavit dřív, než si business najde na trhu jiného poskytovatele služeb. Jednoduše řečeno, IT prostě musí dodávat to, co business chce, ať se mu to líbí nebo ne, neboť o tom především je IT Governance. (Doporučuji prostudovat vybrané kapitoly ITIL a CobIT, kde se hovoří o business alignment.) A jestli CIO nechápe, jaké je jeho poslání a jak by mělo IT fungovat, nemá na svém místě co dělat a měl by si hledat jinou práci.

CIO samozřejmě není jediná osoba v IT, byť má rozhodující slovo, která se k požadavku businessu vyjadřuje. Kromě posouzení nákladů a použitelnosti dané služby musíme posoudit i bezpečnost, která tvoří jeden z vrcholů magického trojúhelníku. Posouzení bezpečnosti je obvykle úkolem CSO (Chief Security Officer), který by měl provést identifikaci, analýzu a vyhodnocení rizik, dané služby nebo produktu a seznámit business s riziky a navrhnout taková bezpečnostních opatření, která by vedla ke snížení rizika na úroveň, kterou je business ochoten akceptovat.

Můžete namítnout, že někdy by bylo výhodnější daný požadavek businessu zamítnout hned, než hledat bezpečné řešení, protože už samotná analýza a návrh něco stojí. Máte pravdu, problém je bohužel v tom, že businessu musíte sdělit důvod. Vy prostě nemůžete říci, tuto službu vám nedodáme, protože jsou s ní spojená značná rizika. Vy tu analýzu rizik a následně i cost benefit analýzu musíte provést, abyste doložili, jaké by byly náklady na implementaci příslušných bezpečnostních opatření, pokud má být zajištěna požadovaná úroveň bezpečnosti. A business útvar se pak na základě těchto informací rozhodne, jakým způsobem bude rizika zvládat a zda danou službu odebere od vás, nebo si bude hledat jiného schopnějšího partnera.

Ponechme nyní stranou otázku, zda je podřízenost CSO vůči CIO v hierarchii organizace žádoucí či nikoliv. O tom si povíme třeba někdy příště. CSO by si měl v každém případě uvědomit, že cílem CIO je uspokojit požadavek businessu a proto by měl místo vymýšlení důvodů, proč daný produkt nebo službu nelze dodat, raději hledat způsoby, jak daný produkt nebo službu provozovat bezpečně. Je zajímavé, jak jsou někteří CSO v hledání těch důvodů, proč to nejde, neuvěřitelně kreativní a kolik času dokáží této činnosti věnovat. Na jejich obranu je třeba dodat, že často se jedná požadavek CIO a oni jen plní zadání.

Rozumný CSO by měl k problematice řízení rizik přistupovat spíše pragmaticky nikoliv šmahem odmítat vše, co představuje pro společnost nějaké riziko. Je známá věc, že naprostá většina CSO má tendenci se riziku spíše vyhnout, než hledat odpovídající bezpečnostní opatření. Tento přístup však může fungovat jen do určité doby. Po pravdě řečeno, on ve většině organizací fungoval desítky let, takže pro mnohé CIO je teď velkým překvapením, že to najednou nejde. Mimo jiné i proto, že se na těchto pozicích nacházeli zástupci starší generace, a také ostatní zaměstnanci byli spíše konzervativní. Jak již ale bylo řečeno na začátku příspěvku, doba se změnila, objevily se zcela nové technologie a současná generace je dnes bere jako přirozenou součást svého života.

Zaměstnanci chtějí používat svá soukromá zařízení, aplikace pro chat a telefonování přes internet, přistupovat do sociálních sítí i k podnikovým aplikacím a to kdykoliv a kdekoliv. Tohle je celosvětový trend, proti kterému nemá smysl bojovat. Běžné společnosti však bohužel trvá několik dlouhých let, než dospěje k poznání, že nemá smysl se těmto požadavkům bránit a je lepší tuto službu naopak poskytnout. Smiřte se s tím, že zaměstnanci chtějí v práci používat moderní technologie, stejně jako je používají ve svém soukromém životě a pokud jim jejich vlastní IT není schopno tuto službu poskytnout, začnou se po dané službě poptávat jinde nebo berou řešení do vlastních rukou. Nosí si z domova vlastní zařízení, která připojují do podnikové sítě, instalují si SW, který si někde stáhli, případně danou službu nakupují na internetu apod. Pozor, vždy je třeba rozlišovat, zda to, co chce zaměstnanec, chce i management, neboť obě skupiny mají často zcela rozdílné požadavky a představy.

Vůbec nejhorší situace, která může nastat, když IT tvrdí, že něco nejde a přitom všichni dobře vědí, že to jde, a že v jiné společnosti se dané řešení používá již roky zcela běžně. IT by mělo tyto požadavky brát jako výzvu, protože má jedinečnou možnost poskytovat nové služby. Je zřejmé, že nové technologie a soukromá zařízení provozované v síti organizace kladou větší nároky na zajištění odpovídající úrovně bezpečnosti, neboť se zde výrazně zvyšuje riziko zavlečení škodlivého kódu a úniku informací, ale i zde existují řešení. Konečně, žádná organizace se nemůže spolehnout na to, že si nikdo ze zaměstnanců svoje soukromé zařízení nepřinese a do sítě se s ním nepřipojí. Administrativně to samozřejmě zakázat můžete, ale pak byste to měli i kontrolovat. Jste toho vůbec schopni? Obávám se, že většina z vás ne.

Závěr: Je zřejmé, že požadavky businessu na poskytování moderních technologií povedou zcela jistě ke zkrácení cyklu inovací a zavedení bezpečnostních opatření, která vlastně měla být zavedena již dávno, což by v konečném důsledku mělo vést i ke zvýšení úrovně bezpečnosti v dané organizaci, zvýšení efektivity a udržení požadovaného tempa růstu.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky:


K článku “Proč CIO selhávají: značný konzervatismus” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: