洋葱式信息安全观察-起点:IT规划

围观次数:797 views

题记:在和Bruce头脑风暴后,这一系列文章将用洋葱命名。洋葱的结构是一层又一层的,因此命名含义之一是逐层来写信息安全的规划、设计和落地;洋葱的味道又是辣中带甜的,因此再一个含义是将来会结合信息安全人士的生活写出信息安全的辣与甜。 信息安全人员一般是通过信息资产梳理来完成信息安全所需保护目标的价值界定的,这一结果通常是定性的或定量的,对于CSO/CISO来讲,如何能够在高管会议上简单明了的介绍信息安全对于企业的价值呢?我想这一点可以从信息技术在企业业务活动中的价值着眼,亦即从IT规划阶段出发。本文希望能够给CSO/CISO带来一些新思路。

我们所处的社会已经全面步入信息时代,企业对信息化技术的依赖也越来越重。然而随着信息化技术的推广,很多企业都面临发展的玻璃天花板,如何才能更好的发挥信息技术的作用?信息化规划的任务摆在了管理者面前。

信息化战略规划入门易、精深难,从业者入门学习,形意皆差强人意,此后经历形似而意非、形似意似等阶段,部分从业者可达到形意贯通的能力,他们能够良好的将企业业务与IT进行融汇贯通的分析,并结合技术发展,为企业作为度身定做的规划方案。

简单的说,IT战略规划看起来只有三板斧的招式:分析现状、规划蓝图、设计实施路线,然而三板斧后面,每招皆有若干式,每式皆可在未用尽前变化,变化实际则依环境而去,如此生生不穷,为咨询师功力之所在。

以财务为例进行简单说明。

企业中,财务工作貌似标准,其IT系统应用也形成激烈竞争的局面。然而企业性质、规模和企业架构决定对财务的管理需求也不尽相同。财务组织架构的层级,使用地点、时间、人员角色等等,变化复杂,则需要结合以动态企业架构模型进行分析,部署、定制需要进行深入了解,咨询顾问无法一蹴即就。

企业性质,从不同维度分析(以下为简单分析,非穷举),可以有项目型企业、运营型企业,也可依行业划分为金融、电信、制造,制造业又可分为离散制造、连续制造,其财务工作因其性质而需要进行定制。

从规模上看,小型企业可能只需要进行日常财务工作和成本分析,无需全面的资金管理(例如:可能会进行借贷、但不通过发行股票或企业债进行融资),而大型企业则需要进行全面的资金管理,甚至需要设置企业资金部,在不同的分、子公司之间进行资金协同。

从组织架构上看,企业在广泛的业务划分和地域分布情况下,拥有众多的工厂、仓储、物流实体,如何为他们设立财务管理和服务,必然对IT系统形成影响。能否以动态企业架构进行解决,则是判断财务系统的关键。

从人员角色的设置上,将会影响财务处理的流程,不同企业由于合规、风险与内控的需求,对角色的理解、定义和授权也不尽相同,因此产生的流程变化复杂,这也是规划与设计工作需要进行分析和建议的内容。

从时间上看,企业可能为了满足自然年/月、特定的年/月而进行财务处理,例如很多企业的财年与自然年/月/日不同,从而形成多口径的财务报表。

财务系统的挑战还包括:结合经营活动的全面预算管理、成本分析(例如:原材料、成品、在制品、返工成本等;基于项目的成本分析与基于产品的成本分析;基于作业工序的成本分析)、技术限制(例如:郊野施工单位的网络连接问题、运输作业的移动性问题)等。

共享财务中心在集团型企业中的广泛应用使其复杂度进一步提高,例如:共享中心和分支机构权限如何划分、如何衔接,对共享中心和分支机构的人员技能及数量的要求。

IT技术领域也在不断变化,云计算、大数据、HTML5、区块链……各种概念层出不穷,有些技术可以改善IT基础设施(例如:云计算),有些技术在改变应用技术(例如:HTML5)而有些技术则在某些领域内直接与业务相融合,冲击传统业务模式(例如:区块链技术对传统记账技术的冲击)。这些技术的应用在IT战略规划中也应予以充分的评估。

在信息化规划中,大家广泛采用企业架构作为规划的方法论。自从上世纪80年代Zachman提出企业架构方法以来,较为流行的企业架构工具包括TOGAF、DoDAF、FEAF等。总结起来,企业架构基本可以分为四层:业务层、数据层(或称信息层)、应用层、技术层。对应分解为4个层次的模型,包括业务模型、数据模型、应用模型和技术模型。

比企业架构更早使用 “架构”一词的是建筑业,因此企业架构的研究特征与建筑有着共通性。例如:建筑业设计时要从房间结构设计向地基展开,企业架构的设计自业务向技术展开,实施时则自技术向业务实现逐步部署,而二次开发则如同室内装修,通过定制实现细节的差异化。

在设计时,通过逐层分解,尽量减少两层设计间的耦合,能够带来的明显利益就是加大各层之间的设计和部署的独立性,提高并行能力,同时各层间的所需技能可以进行深化加强。例如:硬件、操作系统、数据库、中间件、应用可以进行分别设计和选型。解耦后企业架构在逻辑设计阶段对系统各层主要参数独立设计、独立验证。

解耦过程中,仍然存在一定的强依赖性的关系,例如:操作系统与硬件间的固定依赖关系,由于CPU架构的不同,在选定硬件的同时,即等同于将操作系统限定在一定的范围内,进一步操作系统对数据库形成选型影响。解耦的关键在于解耦率,即解耦的百分比越高,各层设计越独立自主,但解耦在一定程度上是牺牲了计算效率来获得的。随着硬件的发展,计算效率在多数行业已经不再是瓶颈,因此牺牲部分效率的换来各层设计的独立性越来越成为主流趋势,尤其是在云计算概念提出后,这一趋势更加明显。

如同民居设计出来是为了居住一样,系统的设计是为了具体商业环境的应用,无论是将计算机用于传统流程的替代,还是以信息系统为竞争点改造业务流程,甚至是进行业务创新,最终要体现在业务表现形式上。因此,分析业务环境是企业架构设计的一部分,而且是第一步。以下,我们就架构的四层进行简要分析:

业务架构:业务架构是企业架构的顶层设计,影响数据架构、应用架构,当进行计算机化的时候在一定程度上受信息系统技术制约。(略,由于各行业的业务差别,本文不研究业务模型)

数据架构:数据架构研究业务过程中数据的相互关系,以及数据的采集、存储、加工和使用的能力。企业在研究数据架构的过程中,还应当结合信息安全,对数据的权限进行适当管理,以确定数据使用恰当性。由于数据架构(以及即将提到的应用架构)是介于业务和技术的中间层次,因此往往形成企业架构设计的真空,典型的现象是业务人员抱怨IT不懂业务,IT人员抱怨业务需求不清晰。数据架构设计的重点在于数据模型的设计,包括制定数据的访问权限计划(创建、使用、更改、删除)。

数据架构是IT规划中的重中之重,良好的数据架构决定了信息的质量,因此我们就数据架构规划中的一些工作进行展开:

一、 数据识别
数据既然是事物的客观描述,那么数据就是先天而存在的,在数据识别过程中,笔者认为需要做到:
1、 数据的定义,是对事物的客观描述,识别那些能够作为事物或动作组成特征的属性,例如:机房温度、起止时间。在数据定义的过程中,我们还需要判断属性的冗余性是否需要,例如温度描述是否需要采用摄氏度、华氏度两个度量单位,还是定义其中一个度量单位为标准属性,而另外一个为推算数据。 数据的冗余在某些场合下能够起到提高处理速度的作用,因此一定程度的数据冗余是有必要的。
2、 数据的测量,对数据的定义,需要附加以测量手段才能实现,无法测量的数据定义,应当予以识别。例如:温度计根据使用场景,其测量的温度上、下限不同,表示的单位不同(摄氏度、华氏度),而高炉温度仅在现代测量工具(例如:红外测温)出现后才获以精确测量并加以控制。
二、 数据职责与组织
数据在产生、加工处理成为信息的过程中,对于企业不同部门和人员而言,都具有不同的职责,因此:
1、 识别数据职责,确定在数据全生命周期中,创建、修改、删除及调用的权限,不仅仅能够使数据质量能够认责,同时也是数据安全的需求。
2、 数据管理组织需要,根据数据职责的识别结果而相应构建相应,以提高数据生产、处置的效率,数据组织的构建的要点在于根据各自所负责的职责来识别沟通渠道,以沟通管理为核心进行构建。
3、 数据管理流程在所识别的沟通需求上进行定义,以保持数据管理过程的始终一致性。从而可以借助标准化的流程提高持续改进的可能性。
三、 数据质量与标准
数据质量管理一直以来是数据管理人员的挑战。我们在开篇时以钢铁为例,提到了原始数据(铁矿石)的重要性,原始数据的良率决定了后续加工处理的成本。因此,数据质量的管理的重点在于原始数据。
1、 原始数据的产生的控制,通过对原始数据的控制,可以避免“边治边污”的循环。借助边界控制或预定义进行管理。例如:性别数据为男、女。
2、 通过原始数据的自校验和约束,提高数据质量。例如:身份证号的信息中,我们可以对字串长度、部分字节与出生日期进行校验、身份证号的全字串校验(最后一位为校验字)。
3、 制定统一的数据标准。现在很多行业都推行行业数据标准,企业可以在行业数据标准的基础上进行拓展,制定企业内部数据标准,同时兼容行业标准,利于行业内的企业间数据交换。
四、 数据管理工具与人员能力
数据管理工具是数据处理能力的根本,不同的工具所能够带来的生产效率不同,专业的数据仓库(DW)通过特有的数据分析语言,能够带来比传统数据库(例如:RDBMS)更高的效率,对于大规模数据处理而言是有必要的。因此合理选择数据处理工具,能够提升投资回报比。
数据管理人员的能力则决定了数据工具发挥的效率,对工具、业务的理解和应用能力不同是数据管理人员的差异,通过对工具的操作体现在数据处理的结果上。由此可见,数据管理人员的能力的两个关键要素是:业务能力、工具能力。
五、 数据治理
数据治理,是企业数据管理基本环境的支撑,根据长期的项目经验总结,数据治理需要高层管理人员的支持才能有效推动。

应用架构:首先我们应当注意应用架构不是应用系统,应用架构以业务流程为参考,对应用功能进行划分、集成。应用架构需要和组织架构进行交互,以优化企业活动的权责。应用架构往往和企业流程再造,以及企业流程管理相互结合执行。在关联性多元化企业集团,应用架构的设计更为复杂,尤其是采用共享职能的集团企业。应用架构体现了一个企业对流程管理的成熟度和文化环境。

技术架构:技术架构负责企业架构的具体实现,涉及应用系统、应用系统开发技术,以及应用系统所依赖的计算、网络、存储和设施环境等。

从前面的分析看,业务模式是IT战略规划的输入,IT战略和业务战略在规划中密不可分。由此,我们需要了解业务战略制定的依据,以及IT自身的发展特性,从而对IT进行规划。

不同的企业(或者集团)的业务发展不尽相同。企业是向专业化(P)发展,还是向协同化(C)发展?协同模式是横向协同模式,还是纵向协同模式?企业产品的在竞争中是靠快速研发(I)新产品进行差异化竞争,还是靠降低成本稳定生产(O)的产量竞争?

由此我们可以看到,企业的经营模式主要组合包括CI、CO、PI、PO四种主要模式。而根据企业经营模式的特点,我们应当制定不同的IT战略:

CI:在此业务模式下,企业期望发挥协同效应,获取超额利润,并可能采取一定的补贴措施,来平衡产业链的发展。并且企业的产品研发速度迅速,利用差异化产品进行市场竞争。例如:电信运营商。在此模式下,企业要发挥协同效应,信息化是关键抓手,并且信息化能力的敏捷度是差异化竞争的关键点。因此,企业需要敏捷的IT架构来支撑业务运营,对信息沟通的依赖程度非常高,企业可适当考虑增加IT的投入,保障IT开发和运维的能力,并努力降低IT运维成本。

CO:在此业务模式下,企业对信息协同需求高,但IT架构可以保持相对稳定。因此IT规划中,需要关注信息协同的能力,并争取降低IT开发和运维的成本,保持IT架构的稳定性。形成产业链的基础产业可归于此类,例如:制造、物流、原材料供应合一的集团型企业。

PI:此种业务模式下,企业走向专业化发展,对研发速度要求高,如果是IT强相关,可适当考虑增加研发能力,例如:车辆研发、生物科学类企业,对IT计算能力要求高,但所采用的应用类型相对固定,可构建按需提供服务的云平台。

PO:在此类业务模式下,企业的IT相对稳定发展,可以参考历史数据对需求进行定义。IT投入与增长稳定,是较为容易规划的类型。

当然,现实中的企业绝对不会是单纯的4种模式,而是多种模式的组合和变换,因此对于IT决策者来讲,需要动态的调整IT战略,来适应业务的转换,并且合理分配IT资源,针对不同的IT阶段,由此,对于企业而言,IT治理的重要性也不可小觑。

在我们研究了IT战略定位(业务-IT在企业中的作用以及关键关系),并完成了IT与业务的分析后,如何实现IT战略定位的问题摆在了面前。IT战略规划的下一步,我们将采用绘制IT战略地图来解决。

提到战略地图,我们第一个想起的就是平衡记分卡(BSC),笔者认为,在IT战略规划中,BSC仍然是重要工具,根据实际项目经验,笔者在借鉴平衡记分卡的同时,结合实际需要对其实施予以了调整。

平衡记分卡分为4个关键维度:财务、客户、内部、学习与成长。在信息化高度发展的时代,员工已经成为企业的关键资源,因此笔者在实施中将后两项进行了变化,强调员工在创新、差异化竞争,以及员工在后工业时代对企业的影响,变化后的企业关键维度成为:财务、客户、人力资源、内部。

我们首先应当注意到,变化前后财务指标仍然是第一指标。这一指标无论是在企业还是非盈利组织都是最重要的指标,是衡量企业、项目健康因素的关键指标。对于IT来讲,目前有几种形式:在集团(企业)中独立财务核算,成立独立的公司;作为企业的部门存在;在集团(企业)中成立共享中心,独立于子公司。即使是第一种情况,由于独立的信息公司并非充分市场竞争的,所以财务指标如何计算,是IT战略规划中的一个挑战,笔者认为虚拟结算和模拟市场竞争可以很好的解决这一问题。在绘制战略地图时,首先我们要解决的就是IT的财务问题,并分解为可实现目标。

作为企业的营收来源,客户一直是管理的重中之重,上世纪九十年代中后期,各种管理理论均引入客户导向引入这一概念,逐步形成精准营销的理念,并借助诸如CRM等技术落地。客户需求、客户画像、大数据均进入企业研究的视野,由IT进行执行。在本阶段,我们需要分析客户对IT服务价值的需求和贡献,该分析应从企业战略角度出发,避免业务部门因对IT技术的应用收益的知识缺失而形成有偏见的决策。我们应当注意,IT战略规划始终是和企业战略结合在一起的,本阶段最易形成业务战略和IT战略的各自为战,高级管理层的参与对本阶段的成功至关重要。

进行客户管理后,到底是流程规范化为客户贡献更大,还是企业员工对客户贡献更大?笔者就此引入另一个研究成果:5个为什么(5W)。5W认为所有的问题最终都可以归结为人的因素,笔者深为认同,尤其是在不确定性高的领域(咨询、软件、服务)。因此,在针对IT战略规划的过程中,笔者更推荐将人力资源管理作为战略地图的下一个步骤,取代内部(流程),这一转换体现了以知识为核心竞争力的产业特色,在敏捷项目中尤其如此。针对人力资源的设计,将联系客户层面,以与客户接触点作为设计基础,包括企业内部的业务接触点。采用业务接触点的理念,可以有效的判断活动的客户价值,并为此选用合适的人员。

流程的设计应当满足客户、内部人员双重需求,业务过程的优化或业务流程重组将围绕企业管理的要素进行,避免为了有流程而设计流程。

最后,企业应当设置合理的KPI系统来保障IT战略的可测量性,KPI应当包括前向的(考核)和后向的(预测)。Co

KPI(关键绩效指标)是很多公司/团队所关心的问题,良好的KPI体系,可以促进企业的持续改进。一个良好的KPI体系应当具备哪些特征呢?

一、KPI应当与战略保持一致

企业制定KPI必须要有目的性,笔者曾与很多企业进行交流,发现一些企业制定的KPI并无立足的基础。企业制定KPI的目的性一定要明确的和战略发展保持一致,关注与战略相关的成功因素,排除非关键因素。

例1,某企业发展到一定程度,其主营产品的市场占有率、利润率都达到了预期目标,其利润如何利用就成了企业需要进行战略级规划的问题,可能的方案包括分配给投资者、进行规模性再投资、扩展新业务、存进银行等一系列的可选性。企业的选择可能是个复杂的组合,但针对任何列入战略目标的选择,则需要为其制定相应的KPI。例如:投资新业务的KPI可以定义为投资回报率、投资回收期等。

例2:某企业业务发展迅速,IT是发展的核心,为了保持持续增长,而市场上的 人员数量和质量在一定时期相对固定,发动大规模的猎头也未必是一个可行的方法,该企业可能会制定长期科技人员战略,包括人才的培养、保留等政策,并为其制定相应的KPI。

二、KPI应根据组织架构的复杂度进行分级

即使是生产同样的产品、相似规模的企业,不同的组织架构也会产生并同的KPI。笔者在此并做赘述,比较一下身边的企业即可窥其一斑。

三、KPI是动态的

随着生命周期而变动,例如:产品将经历研发、投产、市场投放、产能爬坡、市场成熟、退出等阶段,每个阶段所需要实现的目标不同,如果套用不同生命周期的指标,将对产品带来致命打击,即使是相同生命周期的不同产品,其考核指标也会有区别。将生命周期与KPI进行匹配需要顶层设计,体现出战略引领运营。

由于KPI是随着企业不同阶段动态发展的,因此企业管理者应当注意KPI的调整,包括周期性评估调整、为了特定目标的临时评估与调整,管理好KPI的全生命周期。例如:销售量在研发期、利润率在产品退出期可能非良好的的KPI。

四、KPI数量设置

很多教学中提出KPI的数量应保持在 5-8个左右,并提出过多的数量的KPI不利于跟踪、无法识别关键因素,而过少的的KPI则有可能疏于管理。现实中KPI的数量应当根据需求而定,不能一概而论,能够保持和战略的一致性并帮助提升流程效率即可,无需为了凑足数量而制定过多的KPI。

五、KPI的数据科学性

KPI本身的科学性需要注意,错误的KPI可能导致与战略相背离。本文仅就两个常见问题进行分析

1、统计学问题:样本数量,层层分解后,样本不足,造成统计结果异常,这是最常见的问题,并且容易识别。例如:某村以全国平均死亡率来制定本村的火化率与数量即成为笑传。

2、去单位问题:统计时,采用百分比(或类似去单位的方法)进行多变量整合,而在去单位的过程中,则容易产生新的数学问题。如下所示(以IT工作常见的变更为例):

第一个月

 

第二个月

 

请注意,在上表中团队B在两个月中变更成功率的指标均表现不俗的 ,然而请看在整合后的结果,如下:

KPI是个严谨的数学体系,因此解决以上问题的方法是制定符合数学规律的KPI体系。

总体而言 ,KPI的制定需要识别战略目标和成功因素,在此基础上进行分解,并保持动态调整,形成PDCA闭环,才能保障KPI体系的有效性 (这也是我们在很多实践中努力追求和实现的)。

 

谈到IT规划,我们还需要考虑多层级集团企业的管控模型,基本可以分为三种模式:财务管控(投资管控)、战略管控(协同管控)、运营管控(深度管控)。(注:笔者在三种模式后给了新的命名,以诠释其要点。)

这三种模式的关键点分别是:

财务管控以投资为中心,集团公司对子公司的考核依据财务指标,尤其是ROI(投资回报)指标,集团公司对子公司进行高度授权,子公司有自主决策的权限,包括做什么和如何做,子公司接受集团公司的财务考核及监管(风控、内审),并做到遵纪守法、合规。在此模式下,集团合公司和子公司的信息传递范围、内容相对标准,集中在关键职能部门,对信息协同的要求并不高。财务管控型通常是因为集团公司对子公司业务不专业,不得已而为之,或者是非相关多元化且并非集团的重点战略方向,因此管理较为粗放。

战略管控模式是指集团公司为子公司指明发展方向,利用集团的管理权,实现子公司间的协同效应,在多元化企业,尤其是相关性多元化企业,对信息的横向/纵向传递能力要求非常高。(笔者在将来将就多元化企业战略管控进一步展开)

运营管控模式是指集团公司对子公司进行精细管理,这不仅需要集团公司具有专业化的管理能力,同时又需要集团公司和子公司之间保持信息沟通畅通有效。典型的案例是集团公司的下属公司均从事相同业务,但分布在不同地域,例如:电信业、银行业、保险业,业务模式统一使得集团公司具有充分的业务管理技能,在信息科技成熟到可以跨地域管理时,管理权逐渐上收,从而做到集团公司对子公司能够实现运营管控,管理可以精细到具体的活动,涵盖期整个生命周期过程,包括从计划、实施到成果。

 

通过以上分析,笔者认为集团公司和子公司之间的管控模式选择与信息科技能力休戚相关,信息科技的运用是管理模式能否实现的关键。因此多层级集团型企业在选择管控模式时,应同期评估自身的信息科技应用能力,并以企业管控和信息科技相辅相成为基础,制定企业战略发展计划,是信息科技在实现业务战略目标时,能够发挥整体协同作用,使企业间各子公司的协同效率尽可能高,同时做到协同成本尽可能降低。而信息科技在多元化企业的横向协同能力,在单一业务模式下的垂直管理能力,需要受到企业的重视并加以利用。

笔者认为在制定信息科技战略时,应避免唯信息科技论,脱离业务战略的实际,同时也应当考虑信息科技的发展对业务的影响,应当前瞻性的看待信息科技和业务领域的关联,通过信息科技创新影响业务未来的发展。

后记:在一次聚会上,Bruce问我写了这么多随笔,是否能够写一个系列?这些内容和信息安全有什么关系?本文即是在此思路上,将过往的随笔贯穿起来。在此向Bruce对本文编订过程中的帮助表示感谢!

发表评论

电子邮件地址不会被公开。 必填项已用*标注

Time limit exceeded. Please complete the captcha once again.

广告赞助