新的一年，谈谈CIO们的工作重点

又到一年末，相信各大CIO已经在着手为2022年制定规划。而前进的道路看似变幻莫测，但具有战略眼光的CIO们不妨重点考量以下三大核心领域，引导企业在新的一年内继续稳步向前：

建立纵深防御体系

多位CIO表示，网络安全将成为2022年发展计划的重中之重。如今网络攻击正变得愈发频繁、愈发复杂，遭受攻击后的修复成本也越来越高。所以除了继续对最终用户做好安全意识培训之外，建立起纵深防御体系也成为保障安全的必要手段。

首先，对公司的战略计划做出全面审查，例如是否有收购计划、是否会扩张业务、是否开拓新地区市场等，并有针对性地制定出重点关注基础安全知识的2022年网络安全路线图。

接下来，为系统安装最新补丁、部署强大的端点安全解决方案，同时建立并持续测试值得信赖的备份系统。最后，制定事件响应计划并定期组织演习，随时复盘并总结经验。

根据ISACA公布的能力成熟度集成模型（简称CMMI，如下图所示）审核整体准备情况，并制定计划以逐步解决并改进所有安全领域。另外，木桶理论在网络安全领域尤其重要，请先将各种能力的水平提升至3级，再考虑着重推进至更高水平。

数据来源 – ISACA CMMI: https://cmmiinstitute.com

市面上的种种新兴技术看似诱人，但企业在制定计划时还是应该脚踏实地、着眼于基础安全功能，保证系统不致沦陷于基本攻击之下。机器学习或者AI漏洞/威胁分析等高级功能当然酷炫，但如果没有基本的安全控制与流程存在，那么想象中的“锦上添花”只会变成“画蛇添足”。

时刻关注业务做出战略调整

在过去的两年时间里，新冠疫情的爆发彻底改变了CIO们的关注重点与应对策略。这两年间，IT团队一直在迅速转变以适应新的组织运营需求， 随着企业重新将注意力转回业务战略身上，CIO们也需要拿出相适应的IT战略。

现如今在业务方面，最基本的便是IT运营问题，明确IT计划的类型是维持业务还是需要改善与变革。维持IT业务代表着交付实际业务价值。其中包括通过清退陈旧技术和取消非必要项目等方式改善成本、速度与能力，同时有效减少技术债务。

对业务的重塑则必然涉及对创新方案的投入，帮助业务运用IT优势快速把握更多新机遇。这些努力才是真正面向未来的尝试，而任何不积极进取的IT部门在实质上都是在主动退步。换句话说，如果CIO只专注于IT运营，而忽略对其进行分析分类，就永远不可能成为合格的CIO。

后疫情时代人才最重要

自疫情以来，各大企业都在经历人才流失的问题，同时各种数据表明，大量中年人正在经历职业危机。特殊时期让IT领域的这个潜在问题被清晰放大，让企业意识到很多员工的技能和专业知识源自多年的积累与磨练，无法通过简单的培训课程快速弥补。

这就需要CIO在完成战略计划制定之后，对员工进行技能评估，明确员工与团队有哪些方面需要补足提升，并为其制定培训计划，组织线下或线上研讨会来深入讨论各类技术主题。这种方式既能增强员工个人的知识，也能培养出新兴领导者，提升团队竞争力。不妨最后，确保管理人员随时监控培训进度并让员工们对做出的承诺负责。

在一些无法通过内部培养获得的技术能力的领域，可以使用托管服务，但需要能够充分运用扩展条件并增强团队能力的托管，例如7*24全天候安全监控。目前市场对于网络安全专家的需求远远超过供应，所以虽然内部培养仍是个不错的选择，但往往需要几年时间才能开花结果。

与此同时，托管服务能为我们快速提供必要的技能、专业知识与覆盖范围。这种按需方法价格较高，但成本仍要低于其他替代性方案——例如不设置任何安全监控、或者由缺乏经验的员工勉强管理安全等。

此外，例如咨询台、打印机管理等硬件设备的设置也是一个值得关注的范围。

最后，在疫情的大环境下，在招聘人才方面要保持更灵活的雇佣方式。协调统筹本地与远程员工的配合，并为远程办公人员提供更灵活的工作制度。

展望未来，相信CIO只要能将这三大要素顺纳进自己的管理规划，就能在2022年开拓出一个全新的局面。