CIO如何充分利用IT预算

　　大多数CIO在支持业务方面可能投入过多，推动业务方面投入过少。这不足为怪，不过那些善于充分利用资金的公司，很可能把多出来的资金提供给旨在加快实现业务目标的新项目，从而提高IT对整个公司的总价值。

　　据调查，2007年IT开支的增长率只有6.6%，其背后隐藏着相当大的变数。降低成本的日常措施及新出现的技术潮流让许多企业忙碌起来，开始在整个企业实施重大变革。IT资金在今年也变得活跃起来，往往从一个项目转移到另一个项目。在这种情况下，CIO如何分配资源很有可能加大企业整体项目的成功机会，也很有可能严重影响整体项目。利害关系实在太大了，你不敢往项目的一个方面投入过多，因为担心会影响另一个项目的正常开展。

　　今年，大多数CIO在支持业务方面可能投入过多，推动业务方面投入过少。这不足为怪，不过那些善于充分利用资金的公司，很可能把多出来的资金提供给旨在加快实现业务目标的新项目，从而提高IT对整个公司的总价值。

　　《InfoWorld》对分析师、专家和业界领袖进行了调查，以了解在事关公司成败的项目中，哪些方面投入过多、哪些方面投入过少。这7个方面是：SOA、法规遵从、安全、虚拟化技术、协作、网络和应用开发。

　　1.编制预算，确保SOA成功。

　　在过去的几年里，由于许多公司力求发挥Web服务的潜力，从而提高现有IT资源的价值，公司上下都在呼吁采用面向服务的架构(SOA)。不过与SOA相关的大多数活动仅限于讨论、调查、规划及小规模项目。

　　由于早期采用者已经从概念证明(POC)实施阶段进入到更可靠的部署阶段，而且后期采用者接受架构的转变，SOA开支在2007年会出现大幅上涨。不过，要是缺乏洞察力和先见之明，许多企业会把太多的资金用于在确保SOA长远成功效果不大的方面。

　　首先，太多的钱会再度用于炒作上。结果会发现，许多企业在玩“盲目跟从潮流”或者“按照杂志上的方法来管理”的把戏，而事实上，它们应当把心思集中在确定自身需求上。这意味着把过多的钱用于各种指导委员会、会议和概念证明，以至于妨碍了实际工作的完成。

　　更糟的是，由于许多企业还没有弄清楚自己的需求，就求助于厂商提供“一揽子SOA”，结果这些资金过多地用在了早期阶段。换句话说，他们还不知道准备在何处建造房子，就买下了房子。今年，推销治理和企业服务总线(ESB)的厂商会赚个盆满钵满。

　　其次，侧重于战略咨询将是2007年投入过多的另一个方面。战略顾问往往并不提供详细的执行方案，战略规划固然很重要，但实际工作要从确定需求开始，包括从语义、流程和服务层面来了解整个企业。据IDC调查显示，咨询开支在2007年会翻一番，达到55亿美元。

　　要是公司把更多的资金用于培训，也许会得到更好的回报。SOA既是一种技术转变，更是一种文化转变，要求IT人员在这两方面都要精通。如果没有合适的人员，就会带来高昂的成本，而更高昂的代价是不得不招聘新员工。

　　第三，安全将再次成为后来才想到的因素。现在过度缩减安全开支弥补不了将来可能会出现的损失。安全政策管理是一种概念，又是一套技术，这两方面都需要加以关注。发布服务是SOA的魅力所在，不过这在节省成本的同时，也会造成许多破坏。

　　最后，很少有公司会投入足够费用来认真关注新兴的Web，特别是软件服务化(SaaS)和Web服务这两个市场。许多企业级应用可以外包，或者外包给SaaS提供商(可以通过Web来使用)，或者作为直接进行抽象处理后加入到SOA里面的一组服务。的确，在编制预算的所有方面当中，利用新兴的Web也许会带来最大的投资回报。

　　2.权衡法规遵从的成本。

　　从《萨班斯-奥克斯利法案》、《健康保险可携性及责任性法案》到支付卡行业数据安全标准(PCI/DSS)，贵公司很有可能受制于众多的法规遵从要求。这些法规的目标很崇高，你的安全预算中用来支持这些目标的那部分数额也相当大，而在有些情况下，却妨碍了实施更可靠、更具体的计算机安全保护措施。换句话说，为了遵从法律条文而投入大笔费用，却很有可能把贵公司置于险境。

　　安全机构SANS Institute的主管Stephen Northcutt同样认为：“IT人员非常重视法规遵从，这其实是为了应对审查，而不是应对安全。我们想方设法满足一系列审查要求，但这些要求到头来保证不了、也评估不了实际安全。审查要求和法规往往过于宽泛，存在空白和重叠的地方。第一次审查结束后，小组改而采用另一种全然不同的方式，以满足下一次审查的要求，而这需要不同的目标。”

　　大多数公司受制于好几部行业法规，这些法规对安全定义的描述过于宽泛。至于你有没有通过某项审查要求，那完全取决于外部的审查人员。取悦审查人员与可靠的安全做法往往没有多大关系，这不足为怪。

　　某银行的IT主管说：“第一个审查人员说我们要使用至少6个字符的密码，另一个人却说密码至少要8个字符，而且要复杂。有些审查人员注重账户封锁机制，有些人却并不注重，但谁也没有问到影响密码总体安全的其他所有因素。实际上，法规并没有规定密码要使用多少个字符，只是规定了要确保密码安全。”

　　Bon Secours Health Systems的信息安全官Robert W. Hodges说：“如果我们面对两部相互冲突或者相互重叠的法规，就会为了稳妥起见，采取最保守、最安全的方法，从而满足两部法规的要求。”但总是采取最保守的方法意味着开支比较大，在许多情况下，从整体安全的角度来看也没有这个必要。由于法规往往是雷声大雨点小，所以CIO在投资法规遵从项目时就要弄清楚如何划定界限。毕竟，为了遵从法规而从其他切合实际的安全项目抽调大量的资金和精力，会为将来埋下祸根。

　　“不过你要看清大势，不能让政府抓典型。”Hodges说。