IT专家经验谈：IT自动化的六大隐患

自动化越来越多被视为获得竞争优势的一项关键IT战略，但那些不注意预防措施的人就有可能会陷入陷阱。

自动化业务流程仍然是企业和IT组织的首要任务，因为他们正在寻找改进服务、削减成本和提高效率的方法。

根据2024年CIO状况调查，2024年推动组织进行最近IT投资的技术举措中，业务流程和IT自动化位列第二，仅次于安全管理。根据接受调查的875名IT领导者称，业务和IT流程自动化是IT组织变得更加以业务为驱动的一个首要方式。

为此，企业正在将机器人流程自动化（RPA）等自动化工具应用于管理、报告、客户支持和客户体验、数据迁移、数据分析等领域。

据研究公司Fortune Business Insights称，全球RPA市场规模预计将从2023年的138.6亿美元增长到2030年的505亿美元，复合年增长率为20%。

根据Fortune Business Insights在2023年10月发布的市场报告显示，各种规模的组织对RPA的采用正在增加，主要市场参与者正在推出基于人工智能（AI）、机器学习和云模型的新平台，以帮助满足不断增长的需求。

该报告称，越来越多的组织正在采用RPA来实现业务流程自动化，并处理日益复杂的数据。

然而，IT自动化可能会带来一些意想不到的风险。以下就是IT领导者们应注意的自动化策略最常见的一些缺点。

数据访问悖论

为员工提供安全访问工作所需的信息，这是企业的一个首要任务，但有时自动化会变成一个阻碍。

便利店运营商RaceTrac的企业数据和高级分析执行总监John Williams表示：“虽然IT自动化旨在简化流程并提高效率，但可能会无意中为获取高质量、可靠的数据设置障碍，而这些数据是做出明智业务决策的一个基础。”

“这一悖论凸显了IT环境中自动化的复杂性，在这种环境中，必须要平衡简化流程的好处与分散信息访问的风险，”他说。

Williams表示，IT自动化的一个重大风险是可能会在组织内强化或创造新的数据孤岛。他说：“当数据被划分在不同部门或系统中的时候，就会出现这些孤岛，使得组织的其他部分很难或者不可能有效地访问或使用这些数据。”

这些孤岛可能会带来运营挑战，包括数据处理不一致、运营流程效率低下，并最终对生产力和成本管理产生负面影响。

RaceTrac通过实施一种数据智能平台，把分散在整个企业中的元数据集中化，让信息更容易搜索和理解。Williams表示：“这让我们能够将数据源整合为单一的、明确的事实来源，这样我们就可以确保计算的一致性，提高报告的可靠性，重要的是，可以促进整个组织做出更明智的决策。”

新的网络安全威胁

不良行为者会寻找任何机会利用各种漏洞，而IT自动化举措会提供一些新的渗透途径。

连续测试和质量工程产品全球提供商Tricentis的首席信息安全官Jason Kichen表示：“自动化流程本质上是值得信赖的，而这种信任可能会被恶意行为者滥用，自动化流程通常需要提供受信任账户或者特权帐户，不幸的是，恶意行为者可以利用这些帐户。”

Kichen表示，当被滥用的帐户获得特权时，活动本质上是可信的，“这意味着它可能不会受到密切监控，并且自动化可能成为恶意行为者实现恶意目的的一个渠道。”

美国企业软件公司IFS的首席技术官Kevin Miller表示，IT自动化最大的隐藏风险之一，就是无法保护用于训练自动化系统的数据。“更进一步来说，自动化系统可能存在不良行为者可以利用的漏洞——甚至异常检测本身也可能被黑客攻击。”

Miller说，这使得企业很容易受到威胁自动传播的影响。“例如，如果攻击者控制了自动化流程，他们在系统中传播恶意代码、软件或活动的速度就比在非自动化环境中更快。”

他说，这可能会在启动检测和修复工作之前造成更快速、更广泛的损害。企业必须对系统进行全面的可见性和持续监控，以确定异常情况是否是由能够窃取有关资产、企业或其客户敏感数据的不良行为者引起。

被放大的数据管理问题

数据管理可能是IT自动化的一个重要组成部分，但团队在部署工具来实现流程自动化的时候可能并不会想到这一点，这就带来了问题。

安全公司Tanium的首席信息官Erik Gaston表示：“使用过时的数据——无论是按秒、分钟、小时还是天来计算——实现IT技术自动化，就像使用旧的、非当前的流量数据来呼叫Uber一样。”

“这不会起作用的，也不是一个好主意，如果没有实时数据，组织的扩展能力就会受到限制。更危险的是，当组织试图实现超出其可扩展范围的自动化时，可能会破坏关键流程。”

此外Gaston表示，在扩展自动化时缺乏实时数据可能会增加网络安全漏洞。“当自动化技术不使用实时数据的时候，就可能无法检测到关键威胁或零日漏洞，导致数据泄露长时间未被注意到，从而使不良行为者利用漏洞并获得对系统或数据未经授权的访问。”

RaceTrac公司的Williams表示，为了解决这些问题，RaceTrac公司制定了联合数据治理策略，为数据管理提供结构化的方法。他说：“这种方法的基石，是确保支持IT自动化的所有数据都经过了彻底的审查、符合相关法规以及符合最高质量标准。”

他说，联合数据治理策略在集中治理控制和分散访问的灵活性之间实现了微妙的平衡。他说：“这种方法允许进行自上而下的治理监督，同时赋予用户自助服务的自主权。”

Williams表示，这一战略让组织能够“充分利用IT自动化的潜力，确保他们的工作是建立在坚实的数据治理基础上的，并在面对不断发展的技术环境时具有弹性”。

自我满足

另一个风险是，任务一旦自动化，以后很可能就不会被IT部门再次审查了。

Kichen说：“在IT自动化方面，自我满足是一个非常现实的风险。当某些东西不需要太多人为干预就能发挥作用时，就有可能被忽略。IT团队可能会忘记或者忽视底层的流程步骤，这种思维方式会导致潜在的问题和风险，很容易在未被发现和解决的情况下出现。”

其中一个例子就是人力资源离职。“这个过程发生故障的可能性非常高，而且未被发现的问题很常见，因为每个人都倾向于认为一切都能按预期进行。”

如果自动化工作正常并且不会出现明显错误的话，IT团队可能会忘记它。Kichen说：“这意味着IT不会定期对其进行审查，以了解之前的安全或IT假设是否仍然正确。”

Kichen说，在创建之初这些决定可能是合理的，“但随着时间的推移，推动这些决策的基本假设发生了变化，如果IT团队没有相应的流程来定期审查自动化及其实施的话，就可能会面临严重的风险，这些风险在最初创建时可能并不存在，但现在已经存在并且是相互关联的。”

没有监控自动化系统，可能会导致企业不会去密切关注市场。“在接下来的几个月或几年里，可能会出现新的厂商，这些厂商开发了出产品能够更安全、更高效地完成团队最初的自动化工作。如果团队因为现有流程有效而没有关注这些技术进展的话，那么直到发生不好的事情时，他们才会开始重新考虑他们的方法，并意识到技术和供应商格局早已变化了。”

治理不是给定的

这听起来可能很矛盾，但IT需要监控和管理自动化带来的灵活性和自主性，否则事情可能会失控。

Gaston表示：“自动化最终是一个范围，意味着每个组织都需要确定个人的风险承受能力并采取相应的措施，虽然这种灵活性可能是有益的，但需要仔细规划、定期和实时监控、以及对IT人员进行持续培训，以确保他们拥有管理自动化系统和排除故障所需的技能。”

了解任何自动化工作流程的依赖性也很重要，可以保持可靠性和弹性。Gaston表示：“对于过时的遗留系统来说，这一点尤其重要，这些系统通常不能很好地适应变化，而且随着自动化而变得更加脆弱。”

控制自动化使用的一种解决方案，就是创建治理程序。Gaston说：“与任何新兴技术一样，有关自动化的法规和标准不断出现，许多组织尚未确定如何以最符合业务目标的方式采用自动化。”

他说：“即使我们使用一流的平台实现自动化，也必须检查工作流程和流程，并确保正确的护栏、依赖关系和操作是到位的，确保你可以建立一个现代化的组织，降低风险并将IT从管理转向创新。”

过度依赖自动化

是否存在过度依赖IT自动化的情况？如果这意味着其他领域的衰退，那么就是有可能的。

IFS的Miller表示：“严重依赖自动化可能会导致IT员工的技能萎缩，其中手动故障排除和干预技能可能会下降。当自动化系统遇到需要手动解决的意外问题时，这将成为一个重大风险。”

他表示，对自动化的过度依赖还可能导致组织丧失了对特定业务系统操作的复杂性的了解，从而使得在自动化流程之外进行适应或创新变得更加困难。