如何推动C级高管进行预防性IT投资

对利润率的更严格审查意味着为灾难恢复等不能立即产生回报的预防性项目投资开绿灯是一件难事。首席信息官们可以从以下几个方面着手。

首席信息官们都知道，灾难恢复投资总是被公司董事会降低优先级——直到灾难发生。

首席信息官们希望为一些重要的、预防性的项目提供资金，但是在预算审批时却会发现这些项目被取消了优先级，灾难恢复只是其中的一个例子。

这类项目还包括针对零日攻击的准备工作、几乎所有与数据管理相关的工作以及IT培训和社会工程审计。

更糟糕的是，当预算紧缩时，这些项目几乎都会被董事会遗忘，即使根本问题依然存在，而且很可能因疏忽而变得更加复杂。

杰出副总裁分析师John-David Lovelock在报告中指出：“IT 支出将受到更多传统力量的驱动，如盈利能力、劳动力，以及持续的变革疲劳浪潮的拖累。”2024年看起来就是一个这样的年份。

随着对利润率和投资回报率的审查日益趋严，首席信息官们必须对开支精打细算，在当今的经济环境下，推动那些不能立即产生回报的预防性项目投资变得愈发困难。

尽管存在这些挑战，但制定有效的、与时俱进的灾难恢复计划，确保为新业务方向提供强大的网络、安全和系统支持框架，这些都是IT责无旁贷的工作——而且应该得到资金支持。

那么，如何才能为那些在产生有形的直接回报方面似乎乏善可陈的项目争取到支持呢？其中是有窍门的，而且最终你的组织会因此感谢你。

以下是完成这项工作的三种策略。

• 提出“万一”的恐惧因素

预防性项目的资金和优先级通常会因为其他更急迫的项目而落空，因为所预防的事件发生的概率很小。一旦出现这种情况，预防性的项目就会被推迟，有时候甚至是无限期地推迟，企业的风险就会增加。

首席信息官可以通过将灾难恢复等预防性项目纳入企业风险管理策略来改变这种想法。

例如，如果贵公司的IT遭到拒绝服务攻击，或者黑客要求支付数百万美元的赎金才解锁系统，该怎么办？即使这些事件都没有发生，你的公司和网络责任保险公司在阅读最新审计报告时发现你们已经两年多没有更新灾难恢复计划或投资加强网络安全时，你们可能要支付多少保费？

数据泄露的平均成本为464万美元，而在2022年，每三家中型企业中就有两家遭遇过勒索软件攻击，因此灾难恢复和企业安全问题非常严重。

这些领域最需要的预防性项目投资包括：灾难恢复计划的更新，以及对这些计划进行测试以确保有效的规定；故障转移机制，无论是转移到另一个数据中心还是另一个云；对安全软件、加固系统和零信任网络的投资，以及IT人员培训和/或人员补充。

• 将 IT 基础设施需求与企业战略结合起来

如果企业计划引入远程制造工厂或让更多员工转移到家庭远程办公来分散运营，这很可能会对 IT 产生影响。

然而，当远程设施计划（如员工家庭办公室）概念化时，其投资回报率主要集中在减少租赁的办公空间面积节省出的费用上。采用分散生产计划的时候，投资回报率通常会考虑税收/劳动力成本的降低或者运输成本的降低，因为新工厂将位于生产所需的原材料附近。

这些投资回报率的计算往往忽略了将IT网络和系统扩展到更多边缘位置，确保安全稳健所增加的成本。当这些额外成本出现时，原来的估算投资回报率的人就会不高兴。

首席信息官可以在早期阶段就参加企业分散运营的规划，这样就可以在计算投资回报率的时候将额外的IT强化成本纳入估算，以此来避免上述问题的出现。

IT可能需要的改进包括零信任网络和设备、额外的安全和可观察性软件、更多带宽，甚至是 SASE（安全访问服务边缘）。

• 选取指标凸显培训的重要性

在预算战场上，对IT人员和最终用户的培训往往最先被淘汰，这是一项重要的投资，但又很难通过有形的结果得到认可。然而，如果不进行培训，IT人员和最终用户就没有能力使用公司需要的新技术。

在培训方面，你通常无法计算投资回报率，但是你可以提高公司对员工因未经培训无法胜任工作的风险意识。

培训投资需要考虑的重要指标包括员工留存率、员工成长以及引入人才而非内部培养人才的成本。

LinkedIn的调查显示，2024 年有一半的美国人希望更换工作。替换一名员工的成本高达该员工6到9个月的工资，更不用说可能造成的项目延误或对员工士气的负面影响了。

首席信息官需要向董事会、首席执行官和其他C级高管指出这一点。换句话说，如果你的公司无法找到（或培训）员工来完成需要完成的工作，那么它将面临多大的商业风险？