創新舉措只有在保證安全的情況下才算成功。下面將介紹首席信息官們如何在承擔風險與規避風險之間維持平衡。

[[315433]]

乍一看，網絡安全措施的部署和對創新的追求似乎是相互排斥的。增強安全性的策略旨在降低風險，而創新工作則要求對風險持開放態度。

但企業正在尋找方法來啟動創新性的和全新的數字業務計劃，同時采取措施來保護數據和其他IT資產。這樣一來，即使他們加強了安全性要求，對系統和數據進行了保護，以及遵守了相關法規，但他們仍在開啟一些新的營收方式，改善了客戶體驗和增加了在新市場中的機遇。

畢竟，這是當今商業環境中取得成功的秘訣：推動實施變革性舉措，采用云、移動技術、人工智能、數據分析和物聯網等創新技術，以確保有價值的系統和數據的安全性得到保障。

為此，如今的企業需要找到各種方法以達到一種平衡，既要在競爭中走在前列，又要嘗試新技術，還要將概念驗證投入生產中等等工作，同時還要采用更多規避風險的做法來確保這些舉措是安全的。

在某些情況下，這可能涉及到為所有系統的安全性增加預算和資源;在另一些情況下，這可能意味著要留出預算和資源以確保開展純粹的創新工作。無論哪種情況，其目標都是創新，但要以一種安全、合理的方式進行。

以下提供了一些示例，以說明企業如何針對特定項目或作為常規做法來平衡創新與安全性。

部署新的在線服務，同時確保數據安全

高等教育機構需要關注于對《家庭教育權利和隱私法案(FERPA)》的遵守情況，該法案旨在保護學生數據的隱私。

“盡管合規性長期以來一直是一項首要工作，但傳統的本地學生信息系統和數據通常被存儲在這些系統和文件中，很少有人擔心外界會獲取這些信息，”賓夕法尼亞州印第安納大學(IUP)首席信息官比爾•巴林特(Bill Balint)說道。

巴林特說：“但隨著基于網絡來訪問一些安全系統的出現，大規模安全漏洞和數據泄露的潛在風險使遵守《家庭教育權利和隱私法案》成為當務之急。”

巴林特表示，隨著高等教育已經轉變為更商業化運作，這個問題已經升級。他說：“努力實現招生和成功完成學生學業目標的教育機構已經越來越多地轉向在客戶關系管理和數據分析解決方案等領域中基于云端的快速實施服務。”

賓夕法尼亞州印第安納大學正在通過基于云的訂閱服務來使用這些技術，而這也讓該大學可提供一些創新性的服務，例如幫助創建一些更好的、個性化的大學助學金和定制化的學業分析，從而有助于吸引并留住學習優秀的學生。

巴林特說：“但是為了做到這一點，供應商通常還會要求將有關學生的許多敏感學業和/或財務信息導入供應商管理的云應用程序中。”“而這些操作使教育機構失去了對安全性的控制。相反，教育機構還常常必須“接受供應商的合同規定”，即敏感數據要在傳輸和存儲狀態下確保安全。”

為了確保不泄漏敏感數據，賓夕法尼亞州印第安納大學采取的第一步是考慮云端服務存在的安全與隱私隱患，并且僅共享與某一工具功能相關的核心數據。

巴林特說：“例如，某一供應商的工作側重于學生學業是否優秀，那么與其共享成績信息就非常重要。”“但與其共享社會安全號碼就沒有任何意義，也不應共享。”

除此之外，賓夕法尼亞州印第安納大學還要求與之合作的所有云供應商都要通過簽訂正式的合同和服務水平協議(SLA)以符合數據隱私和安全性的行業標準。

巴林特說：“很少有高等教育機構能夠在其內部擁有專業知識來提供這些供應商所具有的功能，但這些供應商提供的服務對許多教育機構的生存越來越重要。” “教育行業必須繼續發展出自身的最佳做法，以保護敏感和機密數據。”

在新的移動應用程序中增加安全性

在2019年末，科羅拉多州宣布在myColorado移動應用程序中推出“科羅拉多數字身份證”，以改變居民與州政府之間的互動方式。該myColorado應用程序的愿景是為該州居民提供一種創新的、安全的和便捷的移動解決方案，使他們可以憑數字身份與政府服務建立聯系。

“我們的目標是通過一個中央移動平臺將本州居民與各項服務聯系起來，從而使他們更容易與州政府之間辦理業務，例如更新駕照，”科羅拉多州首席信息安全官黛博拉•布萊斯(Deborah Blyth)說。“這樣就不需要前往州辦公機構，從而節省了居民的時間和交通成本，并最終幫助實現客戶的滿意度。”

自去年10月公開推行以來，已超過30,000多名居民下載了myColorado應用程序。

布萊斯表示，州政府意識到，對于確保向居民提供的任何產品或服務被廣泛使用，獲取和維護來自公眾的信任是至關重要的，而實現這一點的優秀途徑是要確保安全性成為應用程序開發工作中的關鍵組成部分。

myColorado應用程序中的個人信息通過多重身份驗證和數據加密進行保護，以保證該應用程序的隱私性和安全性。另外，myColorado應用程序在多個級別上進行用戶身份驗證、確認和聯合身份驗證，以確保該用戶的身份，布萊斯說道。

“自myColorado應用程序還只是一個想法的時候，安全架構師就在應用程序設計團隊中扮演著不可或缺的角色，”布萊斯說。“從該項目開始時，就需要驗證移動用戶的身份，以使該用戶與該州系統中保存的相關信息匹配起來。”

其他需要考慮的因素包括確保通過適當的身份驗證才允許訪問用戶的信息，以防止未經授權進行訪問，以及評估和選擇一個支付服務提供商以安全地處理各項付款。

開發團隊進行了測試，以確保該移動應用程序和后端服務器不存在可能被利用的漏洞，從而導致敏感數據被泄漏。布萊斯表示，在開發過程中也采取了其他預防措施，以防止開發人員訪問敏感數據。

布萊斯表示，myColorado應用程序安全功能成功部署的一個關鍵因素是，在設計和構建該應用程序過程中，所有安全要求都得到大家一致認可，然后通過一個迭代過程被整合到應用程序中。

她說：“讓安全架構師作為創新團隊中一個積極和平等參與者，這就確保了從項目一開始就建立起重要的安全標準，而并非在開發周期結束時簡單地將其作為一個可選項。”

采用實驗性方法進行IT創新

O.C. Tanner公司會為客戶提供員工認同和獎勵服務，該公司正在利用人工智能、3D打印和DevOps等新技術或方法來開展一些項目。在此過程中，該公司遵循一系列的做法，以確保數據和系統的安全，并且隱私權得到保護，同時又不會扼殺創新。

最重要的一點是將新的IT舉措視為謹慎的科學實驗。O.C. Tanner公司會使用自己現有的流程和工具進行小型的技術試驗，而且這些工作與公司外部的實體是隔離開的。

“如果我們的某項實驗有漏洞或產生了漏洞，則我們現有的流程應該會發現該漏洞，”高級副總裁兼首席信息官Niel Nickolaisen說。“但如果情況并非如此，則該漏洞也不會使我們其他系統處于危險之中。”

有時，某一漏洞可能導致公司取消該實驗或想辦法進行補救或繞過此問題。“在某一案例中，我們當時正在試驗一項新技術，發現了一些問題，然后與(初創企業)提供商合作解決了這些問題，”Nickolaisen說。

Nickolaisen表示，由于實驗會經過某些驗證點，而這些驗證點是隨技術和實驗類型不同而存在差異的，同時“因為我們擁有實驗規模的生產價值標準，因此要求也變得更加嚴格”。“在我們的生產環境中發布任何東西之前，它必須符合我們的標準——這些標準包括安全性(和)隱私性。”

在一個案例中，O.C. Tanner公司相信自己擁有足夠多的數據，可以為客戶提供關于員工離職原因的一些見解。為了證明這一點，在必須保證客戶員工數據安全的情況下，公司需要使用這些數據來構建基于云端的人工智能/機器學習算法。

Nickolaisen說：“從小處著手，我們對一部分客戶數據進行匿名化，然后在云服務中進行了初步的概念驗證。”“其結果令人鼓舞，我們覺得應該將工作繼續推進。但在某些時候，我們會需要使用真實的而非匿名的數據。”

隨著O.C. Tanner公司對實驗規模的擴大，其還對可用的云端人工智能和機器學習服務的安全性和隱私流程進行了評估。“與此同時，我們與客戶合作，這樣他們也可以參與到我們對云提供商的安全性/隱私性實踐的評估工作中，” Nickolaisen說道。“我們需要他們和我們一樣對做出的選擇感到滿意。”

另一個示例涉及到公司正在使用的DevOps流程和工具。為了確保DevOps流程符合其安全標準，同時仍可以快速部署，O.C. Tanner公司希望創建一些自動化過程，這樣新服務和功能的創建者僅能夠自行部署那些預先批準的更改內容。

Nickolaisen說：“這需要使用我們所沒有的功能或工具。”O.C. Tanner公司找到了一款這樣的工具，但它來自一家剛起步的初創公司，因此存在一定的風險。他說：“我們對其工具進行了實驗，以評估其功能。”“在該實驗成功后，我們就開始應用自己的生產價值標準，然后發現了其產品中存在一些安全性和認證方面的缺陷。”

然后，O.C. Tanner公司與該公司進行合作，在該工具投入生產之前將這些問題解決掉。

優先考慮客戶體驗和數據保護

全球公共機構雇員保險(WAEPA)是一個團體定期人壽保險的提供商，其目標是超越競爭對手，超出普通聯邦雇員和退休人員的預期，為他們提供服務。

“隨著服務和數字工具的不斷發展，全球公共機構雇員保險公司意識到需要轉變和提升在用戶體驗中的每個平臺和接觸點，”首席信息官布蘭登·瓊斯(Brandon Jones)說道。

瓊斯表示，擁有強大的數字化影響力是實現這一愿景的基礎。為了增強其在線影響力，該組織首先進行了一項可用性研究，分析了客戶數字化體驗的當前狀態，進行了可用性測試和用戶訪談，然后對這些數據進行整合以找到在所收集到的信息中的趨勢、模式和共性。

該項研究和分析工作為他們提高服務的可用性提供了可能，讓全球公共機構雇員保險公司獲得了一系列的研究結果和建議。

然后，全球公共機構雇員保險公司啟動了一項“客戶旅程分析工作”，以確定客戶和潛在客戶在交易過程中所經歷的各個階段，他們在每一步中期望得到什么，在每一步中都遇到什么問題，以及在每一步中他們的感受如何。

瓊斯說：“這項工作讓我們能夠掌握會員們使用我們產品和服務的步驟，他們在這一過程中關聯的其他內容，我們需要改進的空間以及應該合并或拆分哪些步驟。”“通過系統地繪制我們會員所經歷的各個步驟，我們可將該項工作作為一個診斷工具。”

全球公共機構雇員保險公司開始利用之前在可用性研究和客戶旅程圖中的工作結果來建立一個新的網站和會員入口。該新網站的目標是更好地向用戶介紹產品和申請流程;提高整個網站的一致性和易用性;提供自助服務工具和信息，以便于用戶做出明智的決定;以及使客戶體驗“人性化”，幫助、指導在線用戶，使其更安心。

在整個工作過程中，保護客戶數據是首要考慮因素，同時安全性也已納入到新網站和支持基礎架構中。安全策略包括使用一些工具，例如冗余防火墻、虛擬專用網(VPN)、防止垃圾郵件和網絡釣魚，以及身份和訪問管理等。

通過采取以上及其他措施，全球公共機構雇員保險公司可以為其客戶營造更好的客戶體驗，同時提供了高度的安全性。