Jest ciepły wakacyjny ranek nad morzem. Po dobrym, niespiesznym śniadaniu, wypoczęty i zrelaksowany wyruszasz na plażę. Mijasz kawiarnię, lodziarnię, kiosk. Leniwym spojrzeniem wiedziesz po stojaku z gazetami. Nie przyglądasz się im zbytnio, ale nazwa twojej firmy na pierwszej stronie odruchowo przyciąga wzrok. Tytuły krzyczą: „Wyciek danych z firmy X”, „Dane klientów X wykradzione!” „Kliencie X – ratuj się kto może”, „Wpadki cyfrowej transformacji – dziś X, kto jutro?”.
Tak mogłaby wyglądać sfabularyzowana wersja największego koszmaru polskiego CIO. Może tym bardziej poruszająca, że oparta na odpowiedziach polskich szefów informatyki z maja tego roku. Wtedy to złamaliśmy zasady korporacyjnej poprawności i zapytaliśmy CIO co byłoby dla nich katastrofą. Była to część większego badania, które – gdy zobaczyliśmy wyniki – zatytułowaliśmy „Transformacja pod presją” (podsumowanie wyników i raport tutaj).
Ubierzemy ten horror w statystyki i wykresy. Na szczęście nie będziemy opisywać historii, która się wydarzyła a przedstawimy „sumę wszystkich strachów CIO”. Badanie przeprowadziliśmy jeszcze przed atakami ransomware Petya, lecz i tak utrata danych klientów opisywana w prasie zajmuje wyraźne pierwsze miejsce w rankingu możliwych strachów (patrz rysunek 1).
Pozostałe cztery strachy też mają wielkie oczy: nieudany projekt, niedostępność usług IT dla klientów, niezgodność z regulacjami i utrata własności intelektualnej.
To czego się boimy dużo mówi o nas samych.
Patrząc na pięć największych koszmarów CIO oraz na to jakich konsekwencji się obawiają (rys.2), rysuje nam się bardzo ciekawy obraz szefa, który mimo tego, że szefuje formalnie technologii, najbardziej przejmuje się biznesem i rynkiem. Który angażuje się emocjonalnie tak bardzo, że ewentualnie niepowodzenia przypłaca nawet własnym zdrowiem. Mobilizacja, stres kosztują, a właściwie wszyscy CIO są pod dużą lub bardzo dużą presją zmian (rys.3).
W skrócie: CIO to pasjonat firmujący własnym nazwiskiem realizowane przedsięwzięcia, angażujący się w nie emocjonalnie i postrzegający swoje sukcesy (lub porażki) poprzez pryzmat rynku i klientów, a nie technologii.
Priorytety i wyzwania
Wyciek danych klientów to jeden z przykładów z obszaru bezpieczeństwa informacji. Ciekawe, że patrząc na rysunek 4 przedstawiający priorytety na najbliższe dwa lata bezpieczeństwo wskazano na drugim i trzecim miejscu (bezpieczeństwo informacji i zgodność z regulacjami prawnymi), nie na pierwszym. Najwyraźniej CIO swój osobisty strach (nieco) podporządkowują interesowi swojego biznesu, który wymaga szybkich, zwinnych innowacji. Ale że z innowacjami rośnie ekspozycja na ryzyko (np. udostępnienie aplikacji i danych na urządzeniach mobilnych – jeden z najbardziej oczywistych przejawów innowacyjności – jednocześnie zwiększa powierzchnię ataku), CIO tak wysoko na liście priorytetów umieszczają kwestie cyberbezpieczeństwa.
Mam jednak złą wiadomość dla szefów IT.
Wspomniane wyżej ryzyko rośnie, bo rośnie zróżnicowanie technologii wykorzystywanej przez pracowników i klientów. Wystarczy pomyśleć o liczbie kombinacji wersji mobilnych platform, systemów operacyjnych, przeglądarek… Do tego coraz bardziej innowacyjne i zwinne aplikacje stają się bardziej złożone. To już nie monolity, nawet nie klient‑serwer. To już mikro‑usługi, aplikacje sieciowe, których różne komponenty wykonują się w różnych miejscach, na różnych urządzeniach, przemieszczając się i powielając w wirtualnym środowisku bez bezpośredniej interwencji działu operacji IT. Coraz trudniej jest zaprojektować taką architekturę, coraz więcej wysiłku wymaga operacyjne nim zarządzanie. Oczywiście są też i korzyści, ale utrzymanie spójności np. definicji uprawnień, konfiguracji zapór sieciowych jest rosnącym wyzwaniem. Stąd też największym wewnętrznym problemem wskazanym przez CIO w badaniu (patrz rys.6.) jest komunikacja i współpraca między funkcją bezpieczeństwa a właściwie wszystkimi innymi funkcjami w IT – co oznacza wyzwania w całym cyklu życia: od definiowania strategii i polityk, przez implementacji, operacje, po nadzór i audytowalność.
I to jest właśnie ta zła wiadomość dla CIO: rozwianie największego koszmaru CIO wymaga najpierw rozwiązania największego problemu wewnątrz IT – komunikacji na styku bezpieczeństwo‑pozostałe funkcje IT.
Rozwiązania możemy szukać przez analogię do innego ważnego problemu: poprawy innowacyjności i skrócenia czasu dostarczania rozwiązań, który z punktu widzenia IT wymaga poprawy komunikacji i współpracy między działami aplikacji i operacji (patrz rys.6 również, to trzeci najbardziej potrzebujący poprawy obszar). W tym obszarze odpowiedzią wydaje się być DevOps. Ale uwaga: to oznacza wprowadzenie odmiennej architektury, nowych narzędzi, innych procesów, innego podziału odpowiedzialności, wreszcie – odmiennej kultury pracy we wszystkich jednostkach organizacyjnych objętych zmianą.
Wszystkie powyższe elementy wymagają równoczesnej, stopniowej zmiany tak by inaczej ułożyć współpracę funkcji bezpieczeństwa z innymi funkcjami IT. Zmiana jest konieczna po każdej ze stron. I o ile dla DevOps obejmuje w zasadzie tylko dwie funkcje, o tyle w przypadku bezpieczeństwa tych funkcji jest dużo więcej. A jak wiemy w informatyce złożoność najczęściej nie rośnie liniowo tylko w kwadracie.
Wygląda na to, że po powrocie z wakacji CIO będą mieli co robić. Życzę im, żeby dobrze się wyspali, póki mogą.
Ten tekst jest częścią projektu How to do IT. To twój sprawdzony przewodnik po cyfrowej transformacji i technologiach dla biznesu. Zapisz się na newsletter projektu!
