「技术架构」技术风险管理权威指南

简介: 「技术架构」技术风险管理权威指南

技术风险是任何潜在的技术失败,以中断您的业务,如信息安全事件或服务中断

  1. 介绍
  2. 关于技术风险你需要知道的
  3. 技术风险评估的好处
  4. 如何进行技术风险评估
  5. 深挖:临终管理
  6. 深挖:合规
  7. 深挖:复杂性
  8. 结论

技术风险管理导论

让我以一个令人震惊的例子开始,它说明了一个失控的IT风险事件是如何造成灾难性的影响的,就像发生在达美航空子公司Comair的事情一样。在一个繁忙的12月,科梅尔的机组调度系统出现了故障,因为它每个月只能处理一定数量的变化。该系统突然停止运行,导致近20万名乘客在圣诞节前夕滞留在美国各地。这一事件直接造成的收入损失估计为2 000万美元。最新的EA目录为您提供有关所有应用程序的信息,包括应用程序所基于的技术。这可以帮助您评估哪些应用程序可能处于风险之中,因为底层的IT组件不再受到支持,并且可以让您跟踪自己的技术标准。由于不支持的技术部件而发生的事故平均将花费公司约60万欧元。

在这个权威指南中,你将学习如何避免这种情况。

关于技术风险你需要知道的

大多数公司更擅长引进新技术,而不是淘汰它们。运行不受支持的技术的成本可能很高。IT中断和数据泄露的成本高达数百万美元。在技术的生命周期结束时,IT管理必须处理诸如集成问题、有限的功能、低服务水平、可用技能的缺乏以及缺少供应商的支持等挑战。

仅20家最大的技术供应商就提供了超过100万种不同的技术产品。相关的信息,比如生命周期,每天都在变化。

大多数公司更擅长引进新技术,而不是淘汰新技术。67%的CIO表示他们的技术风险管理是无效的。

如果您正在研究如何进行技术风CIO险评估,那么这个故事对您来说可能已经很熟悉了。这就是为什么我们创建了一个明确的技术风险评估指南。

技术过时-受益于技术百科生命周期目录以避免风险[白皮书]:学习如何管理技术风险,从生命周期到业务影响。»

技术风险格局正在迅速变化,这主要是由于区块链等新兴技术或微服务等新方法。如果不进行相应的处理,就会导致IT风险的增加,从而增加整个企业的风险。

根据毕马威的技术风险管理调查,技术风险管理需要发展,以准备这个新的、快节奏和颠覆性的世界。许多组织在数字运作时代不认为技术风险是一个价值中心,仍然停留在传统的、以合规性为中心的技术风险方法中,这些方法不能提供对技术资产、过程和人员的最佳控制——包括静态的定性度量、反应性风险决策和缺乏创新。

你知道吗? 72%的组织在技术风险问题已经出现时,会将技术风险团队带进项目,47%的组织甚至在没有进行风险评估的情况下就采用了移动应用程序和设备等技术。

技术风险评估的好处

这样做有很多好处。其中有:

降低成本

通过评估每个IT组件的功能适合度和业务临界性,找出最佳技术。这让您可以跨区域或办公室选择标准,从而减少冗余的应用程序和/或技术。例如,我们为什么要使用Oracle和MySQL?

当其中一项可能适合整个组织时,我们将支付两项费用。你可以在这里了解更多。

降低了风险

如果我们还没有把软件升级到最新版本会发生什么?或者更糟的是,为什么我们要使用五个不同的版本?这可能是由于底层技术。依赖于底层应用程序的其他应用程序可能最终导致整个组织内错误的滚雪球效应。识别和理解存在哪些底层技术、它们的生命周期和任何软件依赖关系是至关重要的。


图1:IT组件矩阵显示了IT组件关于其提供者和技术栈的生命周期。

提高敏捷性

大多数公司都在努力解决的一个问题是标准化。当我们没有明确的标准定义时,事情很快就会变得混乱。一旦定义了这些标准,我们还必须确保它们得到遵守。理想情况下,人们不应该挨家挨户地评估,例如,涉众遵守IT安全标准的程度。为了承认这一点,我们建议使用调查。你可以使用工具,比如Surveymonkey,或者使用LeanIX调查功能,它会自动将所有答案导入到工具中,准备好进行评估。


Image 2: LeanIX´ Survey showing how to efficiently do an IT-security assessment.

如何进行技术风险评估

现在我们已经确定了优点,您可能想知道创建全面技术评估的步骤。

我们的建议如下:

获取您使用的应用程序的完整列表

希望您在过去的一年里已经为您的应用程序编写了文档。如果没有,我建议先阅读应用程序合理化的9条规则和指导原则。

如果没有当前应用程序的概况,那么开始技术评估就没有意义。你不会在没有配料清单的情况下开始烤蛋糕,对吧?作为第一步,您需要收集当前在企业中使用的所有应用程序的列表。

评估正在使用的软件版本

下一步是找出正在使用的软件版本。

作为最佳实践,我们建议使用技术堆栈对软件进行分组。您还可以标记您的软件(手动或使用开箱即用的LeanIX标记),以便将来引用它们。在下面的截图示例中,您可以看到我们通过Candidate、Leading、Exception、Sunset模型对它们进行了标记。

评估正在使用的服务器和数据中心

下一步与前面的步骤相似。我们再次建议为每个服务器和数据中心分配一个技术栈。

在这个步骤中,您还应该验证数据。例如,您可以使用IT组件位置报告来检查服务器的位置。


Image 3: Report showing where IT-components are located.

将软件和服务器连接到应用程序

在前面的步骤中收集并验证了所有数据之后,现在创建软件、服务器和应用程序之间的链接非常重要。这使您以后能够理解这些对象之间的依赖关系,从而避免前面描述的情况。


Image 4: Free draw report showing dependencies between an application and its IT-components and technical stacks.

找出技术是如何影响你的业务的

你做到了最后一步。现在是时候找出技术风险对你的企业到底意味着什么了。现在是时候把这些片段放在一起了,例如,我们现在可以找出使用某些软件版本的应用程序的托管位置。

深挖:临终管理

技术风险管理中最重要的因素之一是寿命结束管理。

这是什么意思?与那些密切关注IT领域中元素生命周期的公司相比,那些不注意已部署的技术即将过时的公司将面临更多的安全风险和漏洞。此外,继续使用不再被支持的硬件或软件会使网络犯罪分子更容易访问系统和数据。

这个关键的话题经常被忽视,甚至政府机构也不能幸免。美国政府审计人员在2015年抨击美国国税局(IRS)未能在截止日期前升级Windows XP pc和运行Windows Server 2003的数据中心服务器,这两款服务器都已被微软淘汰。在Windows XP从微软的支持名单上跌落9个月后,该机构仍然无法计算1300台电脑的数量,约占其总数的1%,因此无法说明这些电脑是否已经被清除了这一古老的操作系统。国税局还必须支付微软的退休后支持合同,以提供关键的安全更新。


Figure 5 - Business impact of technology obsolescence.

深挖:合规

企业需要遵守从HIPAA到PCI和FISMA的许多规定。虽然遵从性确实需要花钱,而且就技术而言,需要对应用程序和技术有准确的看法,但不遵从性的成本通常较高。根据经验,专家表示,不遵守规定的成本比遵守规定的成本高2.5倍。

一个最新的EA库存不仅为您提供可靠的数据,您可以使用它来记录您遵守法规的情况。LeanIX调查插件还可以帮助您为适当的人员创建特别的或定期的调查,以维护有关应用程序使用敏感数据的准确信息。

当前用例是例如GDPR;我们可以评估我们的数据,以确定其隐私敏感性的级别,将其分类为公开/非机密、敏感、受限或机密。如果你使用的是专业的企业架构管理工具,比如LeanIX,你可以使用标签来添加更多的属性(例如。“GDPR限制”)一个数据对象或应用程序。这通常已经是您的内部安全流程的一部分,您在其中为数据分配机密性、完整性或可用性等属性。

您可以在这里了解关于如何建模的更多信息。

深挖:复杂性

复杂性是安全的敌人。当谈到老技术的退役时,CIO们必须小心地平衡这两个方面。一方面,他们需要“保持灯火通明”。首先,他们需要确保IT操作顺利运行。有句古老的谚语说:“如果没有坏,就不要修理它。”但这句CIO谚语写的时候并没有想到数字化转型。当然,这句话有一定的道理,因为更新技术的升级通常伴随着某种中断,但保持现状是以增加复杂性为代价的。


Figure 6: LeanIX dashboard illustrates which applications are at risk as the underlying IT components are out of the lifecycle.

过时和硬件维护,以及安全,是当今组织所面临的一些最紧迫的信息技术问题。到目前为止,不为技术的未来做计划是许多企业所犯的代价最大的IT错误之一。

结论:

大多数公司更擅长引进新技术,而不是淘汰它们。运行不受支持的技术的成本可能很高。IT中断和数据泄露的成本高达数百万美元。

技术风险管理是一个广泛而复杂的主题,无论您的团队多么优秀,都无法通过手工数据维护来解决。在LeanIX软件的帮助下,企业架构师可以快速获取最新的技术产品信息。在评估应用程序环境的风险,以及以智能的方式计划、管理和退役技术组件时,这些信息是必不可少的。

目录
打赏
0
0
0
0
110
分享
相关文章
十大主流联邦学习框架:技术特性、架构分析与对比研究
联邦学习(FL)是保障数据隐私的分布式模型训练关键技术。业界开发了多种开源和商业框架,如TensorFlow Federated、PySyft、NVFlare、FATE、Flower等,支持模型训练、数据安全、通信协议等功能。这些框架在灵活性、易用性、安全性和扩展性方面各有特色,适用于不同应用场景。选择合适的框架需综合考虑开源与商业、数据分区支持、安全性、易用性和技术生态集成等因素。联邦学习已在医疗、金融等领域广泛应用,选择适配具体需求的框架对实现最优模型性能至关重要。
519 79
十大主流联邦学习框架:技术特性、架构分析与对比研究
探索云原生技术:容器化与微服务架构的融合之旅
本文将带领读者深入了解云原生技术的核心概念,特别是容器化和微服务架构如何相辅相成,共同构建现代软件系统。我们将通过实际代码示例,探讨如何在云平台上部署和管理微服务,以及如何使用容器编排工具来自动化这一过程。文章旨在为开发者和技术决策者提供实用的指导,帮助他们在云原生时代中更好地设计、部署和维护应用。
深入解析Tiktokenizer:大语言模型中核心分词技术的原理与架构
Tiktokenizer 是一款现代分词工具,旨在高效、智能地将文本转换为机器可处理的离散单元(token)。它不仅超越了传统的空格分割和正则表达式匹配方法,还结合了上下文感知能力,适应复杂语言结构。Tiktokenizer 的核心特性包括自适应 token 分割、高效编码能力和出色的可扩展性,使其适用于从聊天机器人到大规模文本分析等多种应用场景。通过模块化设计,Tiktokenizer 确保了代码的可重用性和维护性,并在分词精度、处理效率和灵活性方面表现出色。此外,它支持多语言处理、表情符号识别和领域特定文本处理,能够应对各种复杂的文本输入需求。
50 6
深入解析Tiktokenizer:大语言模型中核心分词技术的原理与架构
DeepSeek背后的技术基石:DeepSeekMoE基于专家混合系统的大规模语言模型架构
DeepSeekMoE是一种创新的大规模语言模型架构,融合了专家混合系统(MoE)、多头潜在注意力机制(MLA)和RMSNorm归一化。通过专家共享、动态路由和潜在变量缓存技术,DeepSeekMoE在保持性能的同时,将计算开销降低了40%,显著提升了训练和推理效率。该模型在语言建模、机器翻译和长文本处理等任务中表现出色,具备广泛的应用前景,特别是在计算资源受限的场景下。
545 29
DeepSeek背后的技术基石:DeepSeekMoE基于专家混合系统的大规模语言模型架构
|
3月前
|
使用PaliGemma2构建多模态目标检测系统:从架构设计到性能优化的技术实践指南
本文详细介绍了PaliGemma2模型的微调流程及其在目标检测任务中的应用。PaliGemma2通过整合SigLIP-So400m视觉编码器与Gemma 2系列语言模型,实现了多模态数据的高效处理。文章涵盖了开发环境构建、数据集预处理、模型初始化与配置、数据加载系统实现、模型微调、推理与评估系统以及性能分析与优化策略等内容。特别强调了计算资源优化、训练过程监控和自动化优化流程的重要性,为机器学习工程师和研究人员提供了系统化的技术方案。
253 77
使用PaliGemma2构建多模态目标检测系统:从架构设计到性能优化的技术实践指南
YOLOv11改进策略【模型轻量化】| MoblieNetV3:基于搜索技术和新颖架构设计的轻量型网络模型
YOLOv11改进策略【模型轻量化】| MoblieNetV3:基于搜索技术和新颖架构设计的轻量型网络模型
122 10
YOLOv11改进策略【模型轻量化】| MoblieNetV3:基于搜索技术和新颖架构设计的轻量型网络模型
RT-DETR改进策略【模型轻量化】| MoblieNetV3:基于搜索技术和新颖架构设计的轻量型网络模型
RT-DETR改进策略【模型轻量化】| MoblieNetV3:基于搜索技术和新颖架构设计的轻量型网络模型
41 4
RT-DETR改进策略【模型轻量化】| MoblieNetV3:基于搜索技术和新颖架构设计的轻量型网络模型
架构/技术框架调研
本文介绍了微服务间事务处理、调用、大数据处理、分库分表、大文本存储及数据缓存的最优解决方案。重点讨论了Seata、Dubbo、Hadoop生态系统、MyCat、ShardingSphere、对象存储服务和Redis等技术,提供了详细的原理、应用场景和优缺点分析。
社交软件红包技术解密(六):微信红包系统的存储层架构演进实践
微信红包本质是小额资金在用户帐户流转,有发、抢、拆三大步骤。在这个过程中对事务有高要求,所以订单最终要基于传统的RDBMS,这方面是它的强项,最终订单的存储使用互联网行业最通用的MySQL数据库。支持事务、成熟稳定,我们的团队在MySQL上有长期技术积累。但是传统数据库的扩展性有局限,需要通过架构解决。
80 18
建筑施工一体化信息管理平台源码,支持微服务架构,采用Java、Spring Cloud、Vue等技术开发。
智慧工地云平台是专为建筑施工领域打造的一体化信息管理平台,利用大数据、云计算、物联网等技术,实现施工区域各系统数据汇总与可视化管理。平台涵盖人员、设备、物料、环境等关键因素的实时监控与数据分析,提供远程指挥、决策支持等功能,提升工作效率,促进产业信息化发展。系统由PC端、APP移动端及项目、监管、数据屏三大平台组成,支持微服务架构,采用Java、Spring Cloud、Vue等技术开发。
115 7

热门文章

最新文章