IT專家經(jīng)驗談:M6 米樂IT自動化的六大隱患
自動化越來越多被視為獲得競爭優(yōu)勢的一項關(guān)鍵IT戰(zhàn)略,但那些不注意預(yù)防措施的人就有可能會陷入陷阱���。
自動化業(yè)務(wù)流程仍然是企業(yè)和IT組織的首要任務(wù)����,因為他們正在尋找改進服務(wù)�、削減成本和提高效率的方法。
根據(jù)2024年CIO狀況調(diào)查�,2024年推動組織進行最近IT的技術(shù)舉措中,業(yè)務(wù)流程和IT自動化位列第二����,僅次于安全管理。根據(jù)接受調(diào)查的875名IT領(lǐng)導(dǎo)者稱�����,業(yè)務(wù)和IT流程自動化是IT組織變得更加以業(yè)務(wù)為驅(qū)動的一個首要方式。
為此����,企業(yè)正在將機器人流程自動化(RPA)等自動化工具應(yīng)用于管理、報告�����、客戶支持和客戶體驗�����、數(shù)據(jù)遷移�����、數(shù)據(jù)分析等領(lǐng)域��。
根據(jù)Fortune Business Insights在2023年10月發(fā)布的市場報告顯示�,各種規(guī)模的組織對RPA的采用正在增加,主要市場參與者正在推出基于人工智能(AI)���、機器學習和云模型的新平臺����,以幫助滿足不斷增長的需求�。
該報告稱,越來越多的組織正在采用RPA來實現(xiàn)業(yè)務(wù)流程自動化�����,并處理日益復(fù)雜的數(shù)據(jù)����。
然而,IT自動化可能會帶來一些意想不到的風險�。以下就是IT領(lǐng)導(dǎo)者們應(yīng)注意的自動化策略最常見的一些缺點。
為員工提供安全訪問工作所需的信息�,這是企業(yè)的一個首要任務(wù),但有時自動化會變成一個阻礙�����。
便利店運營商RaceTrac的企業(yè)數(shù)據(jù)和高級分析執(zhí)行總監(jiān)John Williams表示:“雖然IT自動化旨在簡化流程并提高效率�,但可能會無意中為獲取高質(zhì)量、可靠的數(shù)據(jù)設(shè)置障礙��,而這些數(shù)據(jù)是做出明智業(yè)務(wù)決策的一個基礎(chǔ)��。”
“這一悖論凸顯了IT環(huán)境中自動化的復(fù)雜性���,在這種環(huán)境中�,必須要平衡簡化流程的好處與分散信息訪問的風險�����,”他說���。
Williams表示�,IT自動化的一個重大風險是可能會在組織內(nèi)強化或創(chuàng)造新的數(shù)據(jù)孤島�����。他說:“當數(shù)據(jù)被劃分在不同部門或系統(tǒng)中的時候���,就會出現(xiàn)這些孤島��,使得組織的其他部分很難或者不可能有效地訪問或使用這些數(shù)據(jù)����。”
這些孤島可能會帶來運營挑戰(zhàn)�,包括數(shù)據(jù)處理不一致、運營流程效率低下���,并最終對生產(chǎn)力和成本管理產(chǎn)生負面影響。
RaceTrac通過實施一種數(shù)據(jù)智能平臺��,把分散在整個企業(yè)中的元數(shù)據(jù)集中化����,讓信息更容易搜索和理解。Williams表示:“這讓我們能夠?qū)?shù)據(jù)源整合為單一的�、明確的事實來源,這樣我們就可以確保計算的一致性����,米樂 M6提高報告的可靠性,重要的是����,可以促進整個組織做出更明智的決策?��!?/a>
不良行為者會尋找任何機會利用各種漏洞�����,而IT自動化舉措會提供一些新的滲透途徑�����。
連續(xù)測試和質(zhì)量工程產(chǎn)品全球提供商Tricentis的首席信息安全官Jason Kichen表示:“自動化流程本質(zhì)上是值得信賴的�����,而這種信任可能會被惡意行為者濫用���,自動化流程通常需要提供受信任賬戶或者特權(quán)帳戶���,不幸的是,惡意行為者可以利用這些帳戶����。”
Kichen表示����,當被濫用的帳戶獲得特權(quán)時,活動本質(zhì)上是可信的���,“這意味著它可能不會受到密切監(jiān)控����,并且自動化可能成為惡意行為者實現(xiàn)惡意目的的一個渠道?��!?/p>
美國企業(yè)軟件公司IFS的首席技術(shù)官Kevin Miller表示��,IT自動化最大的隱藏風險之一,就是無法保護用于訓練自動化系統(tǒng)的數(shù)據(jù)���?����!案M一步來說����,自動化系統(tǒng)可能存在不良行為者可以利用的漏洞——甚至異常檢測本身也可能被黑客攻擊�。”
Miller說�����,這使得企業(yè)很容易受到威脅自動傳播的影響?����!袄?����,如果攻擊者控制了自動化流程�,他們在系統(tǒng)中傳播惡意代碼、軟件或活動的速度就比在非自動化環(huán)境中更快�����?!?/p>
他說,這可能會在啟動檢測和修復(fù)工作之前造成更快速�����、更廣泛的損害�����。企業(yè)必須對系統(tǒng)進行全面的可見性和持續(xù)監(jiān)控����,以確定異常情況是否是由能夠竊取有關(guān)資產(chǎn)�����、企業(yè)或其客戶敏感數(shù)據(jù)的不良行為者引起�。
數(shù)據(jù)管理可能是IT自動化的一個重要組成部分��,但團隊在部署工具來實現(xiàn)流程自動化的時候可能并不會想到這一點��,這就帶來了問題��。
安全公司Tanium的首席信息官Erik Gaston表示:“使用過時的數(shù)據(jù)——無論是按秒����、分鐘����、小時還是天來計算——實現(xiàn)IT技術(shù)自動化,就像使用舊的����、非當前的流量數(shù)據(jù)來呼叫Uber一樣?��!?/p>
“這不會起作用的�,也不是一個好主意,如果沒有實時數(shù)據(jù)���,組織的擴展能力就會受到限制�。更危險的是����,當組織試圖實現(xiàn)超出其可擴展范圍的自動化時,可能會破壞關(guān)鍵流程��?����!?/p>
此外Gaston表示�,在擴展自動化時缺乏實時數(shù)據(jù)可能會增加網(wǎng)絡(luò)安全漏洞?��!爱斪詣踊夹g(shù)不使用實時數(shù)據(jù)的時候���,就可能無法檢測到關(guān)鍵威脅或零日漏洞,導(dǎo)致數(shù)據(jù)泄露長時間未被注意到��,從而使不良行為者利用漏洞并獲得對系統(tǒng)或數(shù)據(jù)未經(jīng)授權(quán)的訪問?����!?/p>
RaceTrac公司的Williams表示����,為了解決這些問題,RaceTrac公司制定了聯(lián)合數(shù)據(jù)治理策略��,為數(shù)據(jù)管理提供結(jié)構(gòu)化的方法����。他說:“這種方法的基石,是確保支持IT自動化的所有數(shù)據(jù)都經(jīng)過了徹底的審查�����、符合相關(guān)法規(guī)以及符合最高質(zhì)量標準�?��!?/p>
他說���,聯(lián)合數(shù)據(jù)治理策略在集中治理控制和分散訪問的靈活性之間實現(xiàn)了微妙的平衡�����。他說:“這種方法允許進行自上而下的治理監(jiān)督����,同時賦予用戶自助服務(wù)的自主權(quán)�。”
Williams表示�����,這一戰(zhàn)略讓組織能夠“充分利用IT自動化的潛力�����,確保他們的工作是建立在堅實的數(shù)據(jù)治理基礎(chǔ)上的�����,并在面對不斷發(fā)展的技術(shù)環(huán)境時具有彈性”���。
Kichen說:“在IT自動化方面����,自我滿足是一個非常現(xiàn)實的風險���。當某些東西不需要太多人為干預(yù)就能發(fā)揮作用時�����,就有可能被忽略���。IT團隊可能會忘記或者忽視底層的流程步驟,這種思維方式會導(dǎo)致潛在的問題和風險����,很容易在未被發(fā)現(xiàn)和解決的情況下出現(xiàn)?����!?/p>
其中一個例子就是人力資源離職���。“這個過程發(fā)生故障的可能性非常高��,而且未被發(fā)現(xiàn)的問題很常見�����,因為每個人都傾向于認為一切都能按預(yù)期進行?���!?/p>
如果自動化工作正常并且不會出現(xiàn)明顯錯誤的話,IT團隊可能會忘記它����。Kichen說:“這意味著IT不會定期對其進行審查,以了解之前的安全或IT假設(shè)是否仍然正確����。”
Kichen說����,在創(chuàng)建之初這些決定可能是合理的,“但隨著時間的推移��,推動這些決策的基本假設(shè)發(fā)生了變化���,如果IT團隊沒有相應(yīng)的流程來定期審查自動化及其實施的話���,就可能會面臨嚴重的風險�����,這些風險在最初創(chuàng)建時可能并不存在����,但現(xiàn)在已經(jīng)存在并且是相互關(guān)聯(lián)的����。米樂 M6”
沒有監(jiān)控自動化系統(tǒng),可能會導(dǎo)致企業(yè)不會去密切關(guān)注市場��?��!霸诮酉聛淼膸讉€月或幾年里�,可能會出現(xiàn)新的廠商����,這些廠商開發(fā)了出產(chǎn)品能夠更安全、更高效地完成團隊最初的自動化工作�����。如果團隊因為現(xiàn)有流程有效而沒有關(guān)注這些技術(shù)進展的話���,那么直到發(fā)生不好的事情時����,他們才會開始重新考慮他們的方法��,并意識到技術(shù)和供應(yīng)商格局早已變化了����。”
這聽起來可能很矛盾���,但IT需要監(jiān)控和管理自動化帶來的靈活性和自主性�,否則事情可能會失控���。
Gaston表示:“自動化最終是一個范圍�,意味著每個組織都需要確定個人的風險承受能力并采取相應(yīng)的措施���,雖然這種靈活性可能是有益的�,但需要仔細規(guī)劃�����、定期和實時監(jiān)控、以及對IT人員進行持續(xù)培訓�,以確保他們擁有管理自動化系統(tǒng)和排除故障所需的技能?����!?/p>
了解任何自動化工作流程的依賴性也很重要�,可以保持可靠性和彈性。Gaston表示:“對于過時的遺留系統(tǒng)來說��,這一點尤其重要�,這些系統(tǒng)通常不能很好地適應(yīng)變化,而且隨著自動化而變得更加脆弱�����?!?/p>
控制自動化使用的一種解決方案,就是創(chuàng)建治理程序�。Gaston說:“與任何新興技術(shù)一樣,有關(guān)自動化的法規(guī)和標準不斷出現(xiàn)����,許多組織尚未確定如何以最符合業(yè)務(wù)目標的方式采用自動化����?��!?/p>
他說:“即使我們使用一流的平臺實現(xiàn)自動化,也必須檢查工作流程和流程�����,并確保正確的護欄���、依賴關(guān)系和操作是到位的����,確保你可以建立一個現(xiàn)代化的組織����,降低風險并將IT從管理轉(zhuǎn)向創(chuàng)新?��!?/p>
是否存在過度依賴IT自動化的情況�?如果這意味著其他領(lǐng)域的衰退����,那么就是有可能的��。
IFS的Miller表示:“嚴重依賴自動化可能會導(dǎo)致IT員工的技能萎縮��,其中手動故障排除和干預(yù)技能可能會下降����。當自動化系統(tǒng)遇到需要手動解決的意外問題時��,這將成為一個重大風險���?����!?/p>
他表示����,對自動化的過度依賴還可能導(dǎo)致組織喪失了對特定業(yè)務(wù)系統(tǒng)操作的復(fù)雜性的了解���,從而使得在自動化流程之外進行適應(yīng)或創(chuàng)新變得更加困難�����。
