不同於ㄧ般企業遭遇的IT挑戰,才剛接掌Blue Coat 的CIO職位,上任不到一年半時間的Chris Birrell,就得揹負起協助這家擁有超過1,400位員工的跨國公司,要更快速來提升全球7,500萬企業用戶的服務,包括提供企業內部使用Blue Coat網路安全及優化設備的服務與支援,面對這樣的跨國IT挑戰,Chris Birrell想要打造出一個全球的IT架構。
Chris Birrell早年畢業於澳洲科廷大學應用科學系,並擁有英國諾汀罕大學MBA學位,而靠著資安和軟體工程師基礎出身累積的經驗,先後在Dascom、IBM、Techpacific及iMagic等多家科技公司擔任過IT主管。
這段經歷也使得他在開始接掌Blue Coat的CIO職位後,馬上就能進入狀況,投入到IT部門管理和全球IT架構的建置。
在進入Blue Coat任職以前,Chris Birrell也曾擔任過E2open總經理。E2open是一家雲端運算服務解決方案廠商,在任職期間,他也協助公司IT部門與營運管理,此外,在擔任Ventyx (前身為Mincom)技術服務部門總經理期間,也負責推動Ventyx商業營運策略,並將技術部門予以轉型。
甚至,Chris Birrell後來還自行創辦The Software Grid公司,這是一家專門提供技術顧問及軟體開發服務的公司,而他則同時身兼了創辦人、總監及系統架構長數職。
也因為靠著過去累積了不同經驗,現在不管面對該公司執行長、業務長、行銷長,Chris Birrell都能輕鬆以執行長語言、業務長語言、行銷長語言和他們來面對面做溝通。
在Blue Coat的IT部門分工上,主要分為2個主要團隊,一個負責基礎建設,另一個則負責應用部份,而針對資安治理也設置有專案管理辦公室(PMO)及供應商管理辦公室(VMO)。
儘管IT部門主要設置在北美,後來也在馬來西亞首都吉隆坡設立有一個IT團隊,專門負責處理亞洲的產品用戶支援,提供24小時支援服務。
而在現有IT架構基礎上,Blue Coat也逐步採用新系統來汰換老舊系統。像是為了將行銷、業務、訂單及財務管理進行整合,該公司也採用了甲骨文(Oracle)財務和人資系統來協助系統整合,過程中也導入了Salesforce的客戶管理系統(CRM),提供管理和支援的服務。
而為擴大全球網路安全服務,打造一個國際級全球性IT架構,Chris Birrell也在公司併購4家新興安全技術公司後,靠著過去部署全球性架構所累積的IT經驗,短期內就運用網路擴張和防火牆,將這4間併購公司納入新的IT架構中。
而在後端系統架構整合過程中,Chris Birrell也要在總公司及併購公司內部導入同一套ERP系統與CRM客戶管理系統,加快公司後端系統整合速度,而這些標準化的系統也已經在10月正式上線。
Chris Birrell也說,現在要完成基礎設施建置,比以前更加容易,許多過去可能會遇到的問題,比如像是頻寬很窄等問題,現在都已經迎刃而解。
因此對於Blue Coat來說,要從傳統IT架構朝向往全球IT架構走,已經不是太大難題,這樣的挑戰目前只可能發生在硬體不足的地區,像是南美地區等,而就連亞洲現在也已經成為了Blue Coat用來部署全球IT架構的合適地點。
然而,除了一般CIO工作之外,Chris Birrell靠著過去累積的資安經驗,也負責執行不少資安專案,像是其中由他發起的「以身作則(Work The Talk )」專案,就是將Blue Coat資安產品作為公司內部安全防護機制,「要是連公司都不使用自家資安產品,又要如何讓其他客戶安心使用。」Chris Birrell說。
而在資安保護上,Chris Birrell亦採用了5個步驟,第一步驟是先找出資安治理(Governence)模式,第二則是建立資安架構,第三則是找到核心資安產品使用方式,例如,升級網路加速及防火牆的設備。
第四則是建立防禦威脅機制,像是在網路基礎架構導入SSL的能見度(visibility)、安全及惡意程式分析設備,第五則是加入整合進階持續性威脅(APT)的防護機制,以確保產品生命周期的安全防護。
企業要做好資安保護,更要有一個好的治理模式
以治理來說,Chris Birrell表示,一家企業不只要有好的資安技術、好的資安人員,更要有一個好的資安治理模式,若沒有一個好的治理模式,企業就無法獲知所需的資安技術產品是什麼,所以在購買產品前,企業必須找出公司需要的資安策略,才有助降低資安風險和企業營運成本。
目前,Blue Coat除了已取得ISO 27001資訊安全管理系統認證外,Chris Birrell也將「以身作則」的理念延伸至員工管理上,要求所有部門員工都必須具備有COBIT5認證。
這是一個個人具備企業IT治理知識及實務能力的認證,透過將這個認證落實在所有任務當中,舉凡像是部門開會、管理層及系統運作等大小事務,以此協助IT部門降低資安風險。
當然身為一名公司的CIO,Chris Birrell的任務並非成為一個只為捍衛資安而什麼事都拒絕的IT部門,而是希望透過IT技術加快公司業務成長。
因此,如何維繫資安保護和業務推動之間的平衡關係,就成了他上任後的一大挑戰。
然而,實務上要做到業務便利和資安平衡是很困難一件事。Chris Birrell也舉自帶裝置(Bring Your Own Device,BYOD)當例子,現在不少企業會開放員工使用BYOD登入公司網路,但若以CIO的角度來看,站在資安絕不能出現漏洞的基礎上,就會停止員工透過手機來上公司網路。
而Blue Coat則是透過雲端服務來解決這樣的問題,當要把應用傳送至行動裝置時,該公司會先透過雲端服務確保沒有惡意程式被傳送到行動裝置上,以此來解決應用便利和資安保護之間衝突的問題。
不過,他也認為,要取得一個好的平衡,企業就必須先有一個好的治理模式,「而Blue Coat在這方面就做得很好。」Chris Birrell說。
員工自帶裝置(BYOD)的專案,也是Chris Birrell近期投入較多人力和時間的一個大型專案,不過他也表示,目前尚在前導推動階段,到正式導入還需要一些時間完成。然而最終是否能完成導入企業內部,他也認為,這則和報酬率(Return On Investment,ROI)有很大的關係。
畢竟有時資安維護所花費成本,不一定比員工自帶裝置節省成本少,所以是否能達到一個好的報酬率,也是企業CIO推動BYOD不得不面對的挑戰。
不過,目前該公司的作法是,讓員工可以攜帶自有裝置來公司,然後透過在不同的信任網路區域,設置有不同的虛擬區域網路(VLAN)來讓員工使用裝置登入公司網路。
另外也會透過雲端服務來改善BYOD對企業本身基礎設施上的網路流量影響,以此來降低公司內部資安維護所花費的額外成本。
CIO的IT預算主控權,具有周期性變化
就如同其他臺灣企業CIO會遇到預算壓力一樣,Chris Birrell也認同IT主管的預算主控權有逐漸弱化的跡象,但他也解釋,這也是一個周期性的循環。
好比如說,現在可能5成預算不是由IT主管來掌控,但經過一段時間後,當公司高層發現當初未跟CIO商量,而導致IT預算的無謂浪費,之後就可能會重新增加CIO的IT預算主控權。
不過Chris Birrell也認為,不論預算是掌握在誰手中,CIO的角色都有其一定的重要性。
以Blue Coat作法來說,雖然是由公司主導需求的應用,但是在執行篩選的過程當中,也會讓CIO參與提供意見,像是他就會和公司業務部、行銷部等主管來聯絡及溝通,最後在共同來做決定。當然資安也是其中必須加以納入考慮的一環。
至於,在預算掌控方面,如果把IT預算限縮在前後端辦公室、處理系統、IT內部資安及架構等典型IT系統上的話,Chris Birrell也表示,現在仍能掌控9成的IT預算。
然而,其他像是雲端服務等基礎設施建置的預算,儘管也與IT息息相關,但就非屬於他所能掌控的預算範圍。
隨著雲端服務盛行大幅降低服務進入門檻,使得如行銷等部門也開始自行採購相關IT服務,造成不少被稱為隱形IT(Shadow IT)的預算,散落在公司各個部門,因而發生替公司帶進未經評估的新風險,以及因為沒有良好廠商管理,用了不划算價格購買產品或不知公司已獲得授權。
要避免隱形IT預算,建立完善廠商管理是關鍵
Chris Birrell也表示,在Blue Coat公司內部也存在有隱形IT預算問題,然而對他來說,要避免隱形IT預算並不困難。他的作法是,除了在部門底下設有專門人員,負責建立完整的廠商管理機制,例如,負責代理商或企業授權處理外,他也跟業務等部門合作,培養良好的夥伴關係,並提供員工完善的教育訓練。
這些都是可以用來減少隱形IT預算發生,而在他上任CIO後,公司內部存在的大多數隱形IT預算,也漸漸已獲得到控制。
Chris Birrell也認為,企業的CIO必須得跟業務部門時常保持良好的夥伴關係,不要害怕隱形IT預算,而是要去正面迎擊。此外也不要當獨裁者,而是要跟你的業務夥伴溝通並提供服務,比如說,教導他們如何管理風險或在採購上面給予建議,這些都是所有企業CIO應該要做的事情。
Blue Coat資訊長Chris Birrell說,面對隱形IT預算,企業CIO無須害怕,反而是要正面加以迎擊。
CIO小檔案
Chris Birrell
Blue Coat資訊長
學歷:英國諾汀罕大學MBA學位
經歷:早年曾分別在多家科技公司擔任IT主管職務,後來也擔任過E2open及Ventyx技術服務部門總經理,甚至還自行創辦一家軟體技術顧問公司,身兼了創辦人、總監及系統架構長數職,在科技產業更累積擁有超過25年的全球主管經驗,現為Blue Coat資訊長。
公司檔案
Blue Coat Systems
● 地址: www.bluecoat.com
● 成立時間:1996年
● 主要業務:網路安全防護、網路設備應用優化、行動裝置安全服務
● 總部:美國加州Sunnyvale市
● 員工數:超過1,400人
● 總資產:約8億美元(2011年)
● 年營收:約5億美元(2011年)
● 執行長:Gregory Clark
● 總裁:David Murphy
資訊部門檔案
● 資訊部門主管職稱:Blue Coat資訊長
● 資訊部門主管姓名:Chris Birrell
● IT預算:約占年營收2%
IT部門大事紀
● 2013~2014年:導入自帶裝置(BYOD)專案、以身作則(Walk The Talk)專案、併購新事業的IT架構整併、導入新一代ERP與CRM系統
● 2014年10月:ERP與CRM系統正式上線
熱門新聞
2024-12-27
2024-12-24
2024-11-29
2024-12-22
2024-12-20