互联网服务提供商(ISP)所支撑的企业IT管理者和团队面临着瞬息万变的短期和长期挑战。然而其中很多人一心只想着采用“救火”的方式来应对,而非深入思考怎样才是应对挑战的长久之计和业务之道。本文将探讨ISP及其企业客户即将面临的3大挑战,希望能使ISP在帮助企业客户有效应对这些挑战时更加得心应手。
挑战一:管控、风险与合规遵从
规章制度不断变化,影响广泛,可以说从信用卡处理到隐私保护等方方面面都受其影响。同时也使我们能清晰地意识到以下两点:一是管控、风险与合规遵从(GRC)这一理念的重要性在全球日益深入人心,二是GRC的成功管理以及运营透明度几乎完全依赖于IT。
GRC主要与责任制相关,即对监管机构、审计机构、公司董事会、企业投资者以及业务实践中合规遵从的执行者负责。相关的责任可以根据业务需求或者业界主流规定进行定义,比如信息技术基础架构库(ITIL)、信息及相关技术控制目标(COBIT)、支付卡行业数据安全标准(PCI DSS)等业界规定。某种程度上来看,企业需要依赖IT来开展业务,也需要IT来准确、及时地透视整个企业的运作动态,从而更好地履行GRC相关的责任。
在许多企业和ISP中可能配有GRC专员。然而这些专员通常IT技能不足,且与IT运作人员的关系不深。GRC专员和IT人员经常各自忙于四处“救火”,只有当危机(比如突如其来的审计或者大范围的数据泄漏)出现后,他们才被迫相互合作。然而,那时已经为时晚矣,他们只能被动地应对监管机构、审计机构和/或执法部门的种种要求。
因此,要实现成功的GRC管理,需要采用更加主动、更加全面的方法,同时IT也需要参与到GRC管理和执行当中。这些从业界领先的业务咨询机构的建议中可见一斑,比如毕马威(KPMG)发布的一篇题为《管控、风险与合规遵从:通过控制监控推动价值》的文章中就建议:要实现主动、全局性的GRC视野和思路,企业必须拥有具有战略性、战术性以及可操作性的GRC控制监控工具包。具体而言,毕马威建议企业实行3个步骤:
- 评估企业目前的GRC成熟度,确定在各种GRC框架下需要实施的关键控制点;
- 选择工具来监控这些关键控制点;
- 建成dashboard,从而向决策者透视监控效果,并将dashboard植入日常业务流程中。
毕马威以及其他咨询机构同时也建议将GRC控制监控、管理、上报功能与企业ERP系统进行集成。另外,在战略、战术和可操作性层面与ITSM(IT服务管理)工具和流程进行集成,也将对成功实现全面的GRC管理和上报功能大有益处。似乎只有通过这些集成,才能确保GRC管理中能够融入所有支撑业务运作以及GRC流程和控制的IT基础设施相关的信息。
值得庆幸的是,当前的ITSM工具已逐渐具备了能够实现ITSM和GRC进一步集成的特性。比如,ServiceNow提供一种IT GRC工具,能够实现自动化、集成以及灵活的上报功能,从而简化并加速GRC管理和ITSM集成。支撑此工具的底层业务自动化平台能够帮助企业将IT GRC管理的触角延伸到企业的其它业务领域——其中最突出的是在变革管理领域。
工具至关重要,但其只是一个方面。我们还需要建立有效的相关流程,并将这些流程在企业范围内推广和实施。为此,许多IT咨询机构开始提供GRC相关服务。比如Intréis就聚焦“GRC-enabled ITSM”领域推出了一系列相关服务,从而为ServiceNow客户在GRC、ITSM以及两者集成方面提供帮助;同时,随着IT领域内外有关责任制和透明度的呼声越来越高,越来越多的IT咨询机构将更加关注GRC和ITSM的集成。
挑战二:企业服务管理
每一项企业活动基本上都可以看作是需求、满足需求所付出的努力,以及“使能”这些努力所需的服务这3方面的集合体。在大多数企业中,大部分核心服务都是通过IT“使能”及交付的。因此,IT的首要业务价值就在于其能够使能、交付和管理IT领域内外所有核心服务的设施和服务。对大多数企业来说,是否有能力管理企业核心服务以及每项服务的全生命周期,是决定其能否获得成功的最重要因素。
要实现企业服务管理的成功,就必须有效部署能够担此重任的流程和技术。在很多企业中,这些公认的流程和技术很可能已经存在于那些拥有最多企业服务成功交付经验的部门中。然而对于其他企业,这些流程和技术存在于他们的ISP手中。
通过将部门层面公认的企业服务管理流程和技术在企业范围内复制、推广,就能够在整个企业范围内、甚至延伸到企业范围以外建立一个统一的流程和技术平台。毫无疑问,这种方式是每个企业实现其竞争优势最保险、最可持续的可行之举。
随着企业IT团队的服务交付和管理经验日益丰富,他们逐渐将自己定位为跨越IT范畴企业服务的经纪人,这一点同时也会被其他人公认。究其原因,一个很重要的因素就是大多数IT领导者及其团队具有无与伦比的协同、市场推广以及说服能力。
通过分享相关客户在企业服务交付方面的成功故事,ISP可以很好地帮助企业IT团队。这种做法不仅能提升ISP的信誉,还可以为该领域内处于起步阶段的现有和潜在客户提供有用的指导和鼓励。当然,不要忘了分享你所在企业值得借鉴的经验和技能。
挑战三:混合架构管理
曾几何时,许多人认为未来的企业IT基础设施要么存在于云端(因而将主要掌控在ISP手中),要么存在于企业端服务器和数据中心。这其实是错误地将两者对立。事实上,对很多企业而言,在可预见的将来,IT基础设施将既包括云端又包括企业端资源。
具体原因如下:高效的云IT基础设施解决方案具有很多优势,比如能降低成本、简化管理。此外,有多样化的云解决方案可供选择。企业可以选择公有云资源,也可以选择私有云资源,当然企业也可以选择公有云和私有云的混合体——即混合云。
不同的云解决方案具有不同的优势和劣势、价值和缺陷。因而为每家企业都实现最佳平衡是一件非常艰巨的任务,因为这需要技能和专门技术。然而目前的IT团队很少或者根本不具备这些技能和专门技术,这也是为什么无论老牌还是新兴的企业IT解决方案厂商都需要提供能够支撑各种云技术的服务和解决方案组合。
与此同时,许多运行在企业端传统架构上的企业计算解决方案仍能持续带来丰厚的业务回报,从经济性、可操作性或者政策方面很难甚至不可能被取代。为此,许多ITSM解决方案厂商既要提供适合企业端架构的解决方案,又要提供基于云的解决方案,其中的集成度也可以大相径庭(这一点经常令企业IT团队及其用户失望)。
在这个不断演进的大背景下,企业面临着许许多多相关的挑战,比如业务大起大落、IT领导团队不断变革、各种企业并购活动等。任何挑战都将对企业的IT基础设施管理策略和解决方案产生重大影响。因此,搭建并管理那些能够充分利用一流的云端及企业端技术的IT基础设施变得越来越急迫、越来越复杂。
ISP可以提供最佳的帮助,因为他们能确保企业客户获得目前基础设施以及这些基础设施对业务支撑情况最全面、最新的有关信息。ISP也可以有效帮助企业评估和改善其基础设施性能,具体内容包括正式评估基础设施性能、提供性能改进建议、实施性能改进措施。
- 知识是ISP带给企业客户的最宝贵资产
不管企业客户是否正在面临或即将面临上述的部分或者全部挑战,IT领导者及其团队都需要具备最新的相关知识来迎接这些挑战。ISP应该尽其所能帮助企业客户充分利用各种资源,从而更加有效地应对挑战:
- 充分利用相关用户社区资源,包括个人和线上的
对于一些企业客户现在走的路子,其他企业可能已经走过或者正在走类似的路子,他们能为企业客户提供最直接、最有用的经验总结。而且他们中的大多数都乐意直接分享或者通过会议、研讨会以及其它团体活动分享。
- 充分利用现有的顾问和咨询师(或者与新的顾问和咨询师打交道)
确保企业客户已经询问过他们现有的顾问和咨询师如下问题:他们的组织内是否有其他具备潜在有用技能的人选。同时确保企业客户在咨询潜在专业服务提供商时能询问更多有针对性的问题。
- 收集并最大限度地利用现有的“部落知识(圈子内的知识)”
倘若企业客户目前还没有使用知识库,考虑到上述挑战,建议他们搭建一个知识库并好好地利用它。很多情况下,团队或者企业内部已经有现成的相关知识和经验积累,但很难发掘并分享这些知识和经验。如果ISP已经在使用知识库,那么其团队的经验总结可以直接为企业客户带来帮助。如果ISP没有使用知识库,那么现在可能是时候考虑搭建一个了。
GRC、企业服务管理以及不断演进的混合架构是摆在ISP企业客户的IT领导者及其团队面前的重大挑战,而且这些挑战是不断变化的。为此,ISP应尽可能地为企业客户提供帮助,帮助他们从容应对这些挑战以及其它相关挑战。甚至在挑战出现之前,帮助他们将挑战扼杀在摇篮之中。只有这样,ISP才能给企业客户带来更多价值。通过创造更多的此类价值,ISP也能够提升客户满意度,获得企业客户更多的正向推荐,以及增加收入。
