该文章强调了在安全性与韧性之间取得平衡的重要性。许多公司过度关注安全性而牺牲了运营韧性。文章提出了通过自动化响应、持续学习系统等方法来实现弹性且安全运营,并从收入保护、运营效率和创新保护三个维度衡量成功。
译自:Shifting IT Strategy To Balance Security and Resilience
作者:Cristina Dias
早在 2025 年 6 月的全球 IT 故障或 2024 年 7 月 扰乱各行业运营之前,问题就已经显现。多年来,各组织一直在向安全措施投入资源,同时可能忽略了运营的一个关键方面:韧性。企业应将这些事件视为警钟,重新考虑如何在运营策略中平衡这两个关键优先级。
安全与韧性的失衡
安全性和韧性不应是相互竞争的优先级,但许多 IT 组织正是这样对待它们的。当安全团队加强防御时,韧性往往退居次要地位。现代数字基础设施要求两者都是不可协商的组成部分。无法快速恢复的安全系统会成为负担,而存在安全漏洞的弹性系统会产生不可接受的风险。
最近的研究揭示了一个惊人的统计数据:86% 的高管承认,他们过分强调安全性,而牺牲了运营韧性。这并不是要降低安全性的重要性,而是要认识到安全性和韧性不是二选一的关系,而是必须共同支撑的两个支柱。
为什么平衡比以往任何时候都重要
有几个因素共同推动了这种战略再平衡:
- 系统复杂性增加: 现代数字运营跨越多个环境、无数微服务和错综复杂的依赖关系。
- 自动化的必要性: 事实证明,手动流程不足以管理现代基础设施。
- 不断提高的客户期望: 在我们这个永远在线的经济中,即使是微小的中断也可能对客户产生重大影响,从而对业务和品牌声誉产生负面影响。
- 经济压力: 各组织需要在最大化正常运行时间的同时优化资源利用率。
实现弹性且安全运营的途径
向更具弹性的运营转型不仅仅是转移对安全性的关注或简单地实施新工具。而是要更好地平衡这些互补的优先级,这需要重新构想组织如何应对运营挑战并从中学习。
领先的组织正专注于三个相互关联的支柱:
-
自动化响应能力: 由于毫秒级的时间比以往任何时候都重要,仅靠人工响应时间已不再足够。现代韧性需要:
-
持续学习系统: 最具韧性的组织是那些通过以下方式将每次事件转化为改进机会的组织:
衡量成功:价值的三个维度
随着组织不断改进其平衡安全性和韧性的方法,传统的可用性指标可能不再足够。具有前瞻性的组织正在跨三个关键维度跟踪价值:
- 收入保护: 此维度量化了中断期间的收入损失(对于关键服务,通常每小时损失数千美元),以及韧性和安全投资如何减少这些损失。通过控制事件的影响范围并实施更快的恢复机制,组织可以保护收入来源并保护客户交易。
- 运营效率: 此维度衡量事件响应的人力成本,从半夜升级到 L1 工程师和支持团队。通过跟踪团队规模、解决速度和事件期间的资源利用率的改进,组织可以量化运营节省。有效的策略减少了参与事件的人数并最大限度地减少了团队中断。
- 创新保护: 也许最容易被忽视的成本是对创新能力的影响。这反映了从事件管理中回收的工程时间如何重新用于核心业务计划。当开发人员不必 постоянно 救火时,路线图就会提前,技术债务就会减少。保护工程资源可以保持创新速度和竞争势头,因为团队专注于构建而不是修复。
展望未来
随着重大中断变得越来越频繁,并且每分钟的停机都会影响成千上万的人,适应和恢复的能力不仅仅是一种运营需要,更是一种业务需要。
当我们步入 2025 年之际,蓬勃发展的组织将是那些认识到卓越运营是安全性和韧性的成功平衡的组织。前进的道路是明确的:从一开始就将安全原则嵌入到韧性规划中,并将韧性考虑因素融入到安全策略中。
结果是什么?组织不仅能够承受中断,而且能够将运营挑战转化为竞争优势。
