IT组织需改进投入模式
编者按
2016年1月,美国高等教育信息化协会(EDUCAUSE)评选出了2016年的高等教育年度十大IT议题及战略技术。这十大议题包括:信息安全、优化教育技术、学生成就技术、IT工作团队的招聘和稳定、学校数据管理、IT经费投入模式、商业智能和分析、企业应用集成、IT组织的发展和电子学习(E-learning)与在线教育。这些议题反映了如下三个类型:抛弃(Divest)、再投入(Reinvest)和差异化(Differentiate)。在上期文章中,我们对抛弃类型的三个议题进行了详细分析,本期将对再投入类型的四个议题进行阐述。
在应用信息技术为高等教育提供有意义的价值方面,IT组织要做好基础工作。他们必须改进投入模式,将信息技术作为一项投资来对待,而不是一项开支,并且在人员(组织的最重要资产)和信息安全措施上重新加强投入。“再投入”包括下面主题:信息安全、IT工作团队的招聘和稳定、IT投入模式和IT组织发展。
信息安全是2016年的首要议题,而且受关注程度明显与其他议题拉开了差距。随着安全业界生态的进步,我们对信息安全的理解也逐步加深。对信息安全挑战的应对包含了技术控制、政策、拓展、教育,以及风险管理。EDUCAUSE议题委员会明确指出,高校必须持续地响应不断变化的环境,必须整体考虑信息风险,而不是只对新的威胁、安全层或组件进行个别的反应。
持续进行中的变革扰乱最多的是IT工作团队中的人员--他们是变革的设计者和实施者。同IT服务和基础设施一样,IT组织也必然处于变动之中。许多岗位逐渐被废弃并被新岗位取代。工作团队和组织的适应性调整,需要CIO和IT管理者具备专门的管理技能,并且更加强调人事部门和IT组织之间的合作关系。此外,组织变革并不是CIO面临的关于工作团队的唯一挑战:很多高校在削减预算和福利,最好也只是维持待遇不变而已;而当下实现学校目标又必须增聘IT人员,同时IT专业良好的就业形势也使保留现有的人员和招募满足期望的人员变得变得艰难起来。
经费投入这一议题每年都保持了在EDUCAUSE十大议题列表中的一席之地,形成了一条持续不断的脉络。与前两年比,经费投入方面的挑战没有发生变化:如何对持续运行、增长需求和学校创新提供经费支持。
议题委员会成员们强调,为了控制IT预算,高校需要引入持续执行的“抛弃”原则,将过时的设施(服务、流程和技术)替换掉;同时持续执行“再投入”原则,以确保IT工作团队具有敏捷性和适应性,并且良好地管控信息安全之类的风险。
信息安全
实施整体、敏捷的信息安全措施,以建立安全的网络,制定安全策略,并减少高校在信息安全威胁下的暴露。
高等教育的使命是一条光谱,从教学到业务运行,到社群拓展,再到创新和发现,贯穿了整个光谱,我们所依赖的信息技术都时刻处于威胁之中。在无数的安全威胁之中保护高校免受损失,是IT领导者面对的一项基本挑战。信息安全领域的演化,已经从以技术为主,演化为除了技术以外还必须包括风险管理实务、用户培训与教育,以及业务敏锐性。信息安全被认为是一个“没有最好只有更好(perfection isn't nearly good enough)”的领域。一起安全事件能让IT领导者几天都过不好,泄漏用户或学校的私密数据,产生用于响应事件的预算外的巨额支出,并且削弱了高校声誉和消费者的信心。
在这种威胁时刻存在背景下的高等教育信息技术环境中,用户群体的期望和需求是范围广泛且变化迅速的。IT领导者可以预见的是,当前投入到基础设施和技术资源的管理时间,将来会转向投入到对服务、厂商和合同的管理上,其关键是技术解决方案和服务交付的敏捷性,尤其是快节奏地采用云服务时。IT战略中云服务的影响如图1所示。为了实现服务和解决方案快速引入、修改甚至是退役,它们需要重新适当地架构。
然而,缺失适当的安全措施会降低任何开放和敏捷解决方案的价值。高等教育面临着快速设计和建设有适当防范保护措施的、可靠安全的系统的挑战。变革中的IT交付方式和向云服务的迁移使得这一挑战变得更加严峻。即使高校增加了安全和隐私保护专业人员以适应变化了的服务交付方式,校级IT组织对于云和其他外包服务实施方案的审查和批准仍然被认为是行动迟缓的。如果校级IT组织不能更加敏捷地审查和实施云服务的话,用户所采取的阻力最小的(无可选择的)方式也许就是忽略校级IT的参与而独自进行了。在那些案例中,阻力最小的方式可能不会包含安全保护措施,用户无意之中就使学校和个人的数据面临风险。
高校信息安全是每个人的工作,这是一条真理。新近一次严重的数据破坏报告已经特别强调了有组织的信息安全手段必须是整体的、敏捷的和全面的。这已经不仅是“确保边界安全”的内容,制度化的手段必须包含技术防范保护(如在技术方案中采取的措施)和管理防范保护(如在学校层级策略中采取的措施)才能够有效。高等教育根据其独特使命和要求透明开放的文化,长期以来已经采用了多方面的信息安全手段:
96%的高校拥有一个校级的可接受的IT使用策略;
92%的高校部署了恶意软件技术防护措施;
90%的高校部署了远程安全访问技术;
78%的美国高校进行了某种IT安全风险评估;
71%的美国高校进行了强制的教职工信息安全培训。
上述数字看起来不错,但高校仍然需要做大量的工作对网络、系统和应用进行安全防护,如制订安全策略(只有27%的美国教育机构具备完全经领导层批准的信息安全策略);教育校园IT用户;降低在信息安全威胁中的暴露程度。新近的数据破坏报告为IT领导者提供了一个与学校领导层讨论加强校园信息安全的出发点。
对于资源有限的IT部门而言,信息安全是一个令人望而却步的主题:有效的安全管理不是免费的,执行层必须要有一些投入,建立经费保障并且制定有执行力的政策。所有的学校组成部门和所有的IT资源用户(学生和教职工)必须理解和推动良好的信息安全措施以保护学校数据。改善适度的校级信息安全形势将会给学校及其IT部门以信心,从而应对随着服务交付方式的演进而必然带来的、更具挑战性的信息安全任务。
建议
建立易于理解和可实施的信息安全策略。确保这些策略对于所有的社群成员都是可以理解和可执行的,并且以显著的方式发布。
针对移动、云和数字资源的安全关注点,开发一个的综合的信息安全方案。服务交付方式的改变是不可避免的,学校的数据和服务会部署在第三方的资源上,而且访问它们的计算设备并不是学校拥有或者控制的。因此,学校领导者必须要制定符合这种环境条件的战略。
建立提高信息安全认识的培训机制,对学校社群的所有成员进行教育,包括安全威胁的知识和如何采取措施保护学校数据的知识。培训机制应当包含初始培训和后续的教育机会。
持续开展主动的信息安全行动,采用深度防御手段。使用扫描工具识别和处置系统薄弱点;积极果敢地识别和阻止恶意活动;实施可靠的身份管理技术;运行渗透测试并且根据结果采取措施;收集可疑或关注的事件的日志和监控记录;备份关键的学校数据并确保这些备份可以被恢复。不要依赖于单一管控措施。
IT工作人员可以通过参与高等教育行业中以提升信息安全为目的的协作组织,如EDUCAUSE,Internet2,研究和教育网络信息共享和分析中心(Research and Education Networking Information Sharingand Analysis Center,REN-ISAC)等,来提升对于高等教育信息安全措施的了解,培养高等教育界信息安全专业人员,以及集体应对信息安全威胁。
向学校董事会提交年度安全风险情况更新,这可以帮助董事会成员评估和管控学校整体的企业风险。
使用EDUCAUSE的信息安全成熟指数和高等教育信息安全委员会(Higher Education Information Security Council,HEISC)的信息安全项目评估工具(Information Security Program Assessment Tool)来评估学校当前的信息安全状态。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。