信息化遭遇新雷区

信息孤岛固然对企业没有什么好处，然而无疆界的信息却更有可能成为企业信息化的硬伤。

IT和企业发展环境的加速度变化，注定了企业信息化只能在一个个困难的重压下艰难前行。去年以来，刚刚从IT黑洞、标准化滞后、信息孤岛等难题中抽身的CIO们正欲长吐一口气时，却沮丧地发现自己又踏入了“无疆界”的新雷区。正所谓：“莫言下岭便无难，赚得行人错喜欢。正入万山围子里，一山放出一山拦。”

3月29日，在上海召开的IT决策者峰会就探讨了新雷区的特点与排雷的对策。

“无疆界”的困惑

当Web2.0、无线移动这些IT新技术把世界的阻碍铲平之后，“无疆界沟通”随即大行其道，无疆界企业、无疆界金融、无疆界商贸、无疆界社区……让人目不暇接。无疆界沟通的最大特征，被认为是降低了网络使用的成本和门槛，方便了用户的参与，譬如博客，譬如P2P和YouTube。“众人拾柴火焰高”，这让用户和商家都兴奋不已。

然而人们很快发现，与“应用无疆界”相伴的，不但有“商机无疆界”，还有“危险无疆界”，以至于出现了“2007年是风险管理年”之说。

“过去一个公司的内部网和外部网的边界是清晰的，现在不行了，无疆界沟通使‘任何人在任何地点利用任何设备’都可以访问到你，你很难说清楚企业的疆界在哪里。再加上电子邮件、MSN以及QQ等大量非格式信息在企业的使用，更使信息系统的治理难上加难。这是CIO们的一个新课题。”路透社全球技术政策与标准主管George Wang说。

屋漏偏逢连阴雨。过去微软的操作系统从发现漏洞到遭受攻击，通常要间隔几个月，而如今黑客的攻击手段也“与时俱进”，几天甚至几小时就可以针对漏洞发起攻击。加之IT已经渗透到企业运营的每一个环节和流程，数据处理量越来越大，稍有风吹草动就会造成系统瘫痪。“IT已成为企业运营面临的主要风险之一。”德勤企业风险服务部潘晓欧这样认为。

新的风险还与IT地位的提升有关。人们常用“工具”定位 IT，然而最近发生的许多事件表明，这个“工具”不仅服务于业务，还可以左右业务，甚至关乎企业的生死存亡。“IT系统如果出了问题，引发的危机是巨大的，可能会大到使CEO辞职、使企业破产。日本东京证券交易所最近的三次交易系统瘫痪就直接导致其CEO辞职，这充分证明了‘信息化能载舟，亦能覆舟’的道理。”中国银河证券信息技术中心主任王恒说。

危机当然并不都是坏事，上述事件促使CEO加倍关注IT。王恒指出，“以往很多CEO认为IT是CIO的事――CIO抬轿子，CEO坐轿子。现在CEO们终于明白，抬轿子的如果出现闪失，坐轿子的也死定了。因此，越来越多的CEO开始转变观念，IT人员在企业的地位也有所提升。”

治理模式转型

形势变了，企业环境变了，IT治理模式也要随之改变。

与会专家们提出的“危机对策”林林总总，其中的一项得到了高度认同。该项对策主张：应对危机的理念和策略需要转型――“要从IT基础架构的保护转向对企业信息的保护”。

专家们分析，当企业边界变得模糊时，仅仅依靠防火墙、入侵检测、渗透测试、补丁管理等IT基础架构的保护已远远不够，企业应当学会两条腿走路，工作重心也应转向企业信息的保护。

转型是一个庞大的系统工程，包括观念变迁、政策调整、制度建设，还须针对需要保护的业务信息的特征，分门别类地进行管理。以证券业为例，业务信息安全保护包括：人员操作风险、权限管理风险、参数管理风险、业务数据风险、合规性业务风险等。

不过，“安全保护”也是双刃剑，在获得安全的同时，企业也要付出效率、成本等方面的代价。因此，聪明的企业不会无限制地提升安全性，只能权衡利弊，区别层次与范围进行安全管理。其中的“度”不易把握，又必须好好把握，有所追求就要有所放弃，如同雇佣最优秀的员工就不可能支付最低的薪水一样。

在工作方法上，企业应遵循ISO17799、COBIT国际信息安全标准，有框架、有步骤地制定信息安全管理体系，治理策略和治理标准必须成为公司的强制性政策。

专家们认为，CIO也必须进行角色转型，要从IT技术专家转向业务风险控制专家。以往人们说IT管理是“三分技术、七分业务”，现在应再追加一句“十二分管理”。因为IT治理转型之后，管理难度加大了。

华特迪士尼（上海）有限公司高级信息技术经理韦国锋对CIO转型的看法是:CIO向业务渗透只能是“渗透”，不应该也不可能替代业务主管。术业有专攻，CIO的专业是IT，业务上不可能超过业务人员，否则他就应改行做业务了。韦同时认为， CIO们可以不具备高超的业务能力，却必须具备“与业务人员的沟通能力、理解业务流程的能力、把IT非核心业务外包出去的能力”。

“信息的价值”还是“价值的信息”

在各路专家大谈“信息的价值”时，奥托诺尼（北京）公司总经理伍昕的观点有些另类，他认为：“信息的价值”固然要讲，“价值的信息”更不可忽略。

“价值的信息”即“有用的信息”，何为“有用”？对一个明天去上海出差的人，“明天上海的天气”就是有用的信息，而“一个月之前上海的天气”则没什么用，但后一个信息可能会对气象部门的研究有用。这就是“在正确的时间把正确的信息传递给正确的人”。

从“信息的价值”到“价值的信息”，是时下很多人迷茫的问题，也是企业信息化的一个难点。互联网把信息送到了我们指尖上，也把一个恼人的问题推到前台：如何花最短的时间在信息海洋中找到对自己有用的信息？特别是那些大企业，探索与获取信息已经彻底解决，问题是如何快速找出对决策有用的信息。很多CIO的感受，是“就要被信息的海洋淹死了”。

虽然解决这个问题早已有了数据仓库、搜索引擎等工具，还有许多“可自动执行信息检索”的软件，有的软件甚至可以按用户的需求自动探索或锁定视频信息，提供“概念聚类”、“热点图示”、“摘要生成”和“提醒”等智能化服务，不过这些应用在国内企业进展得并不顺利，还有很多障碍。

障碍之一是异构系统。异构系统都有各自的访问权限，访问权限阻碍了信息共享。这个问题在那些历史悠久的老企业中尤为突出，企业需要在访问权限与信息共享之间找到一个平衡点。

障碍之二来自标准化。很多企业的信息结构杂乱，无法被有效检索与利用。据说还有不少企业把数据备份和数据归档混为一谈，以为将数据备份就算是归档了，殊不知数据备份只是生成的数据副本，数据归档则是通过建立检索词以方便日后的快速检索。

障碍之三来自检索者。信息检索对计算机是件很简单的事，因为任何“关联”（譬如检索“企鹅”，可以关联到“南极”）机器都可以做到。机器做不到的是“理解”，只有“理解”加“自动检索”，才能得到有用的信息。从这个角度说，任何检索工具在挖掘有价值的信息时只能起一个辅助作用，只有结合了检索者对行业的深刻认识与经验，它们才拥有灵魂。