Bilans cyfryzacji: porażki, pomyłki, potknięcia... i znowu do przodu

Temat październikowego spotkania brzmi pesymistycznie? Niekoniecznie, jeśli pamiętamy, że na porażkach można się uczyć. Oczywiście, najlepiej uczyć się na porażkach innych.

Punktem wyjścia do październikowej dyskusji Klubu CIO była obserwacja Ryszarda Bryły, CIO PKP Energetyka, Diamentu CIO 2018, że przedsięwzięcia cyfrowej transformacji stanowią wyjątkowo wdzięczny materiał materiał do obróbki propagandowej. Wszystkie projekty się udają, cyfryzacja idzie pełną parą, sukces goni sukces... A jak jest w istocie?

Teflonowa cyfryzacja

Kuluarową i pozamarketingową wiedzę o transformacjach cyfrowych można uogólnić do postaci twierdzenia, że

równie jak na propagandę, cyfryzacja podatna jest na porażkę.

Zadania ułożenia typologii porażek cyfryzacji podjął się Jacek Chmiel, CTO w IT Services Competence Platform, bazując na bogatym doświadczeniu z szerokiego spektrum projektów i programów cyfrowych - gdzie ryzyko porażki się zrealizowało lub jedynie zaświeciło w oczy.

Programy i projekty cyfryzacji są wyjątkowo wrażliwe na ryzyko spóźnionego sklonowania pomysłu konkurencji. Stworzenie nawet w krótkim czasie (metodami właściwymi dla ery cyfrowej) rozwiązania podobnego do tego, które przyniosło sukces konkurentowi nie gwarantuje niczego.

W erze cyfrowej, konkurent-pionier bazując na swoim sukcesie i zebranym doświadczenia gwałtownie przyspiesza. Klon nie ma szansy zebrać tego doświadczenia ani tym bardziej sukcesu - sklonowane rozwiązanie jest grupą rekonstrukcyjną historii, której prawdziwy bohater jest już zupełnie gdzie indziej.

Znakomitym źródłem porażki jest MVP -

wypaczenie idei podejścia Minimum Viable Product (MVP), do postaci w której "minimum" zawsze odnosi się do jakości, "viable" - sprowadza się do dostarczenia "dowodówki", doskonale wystarczającej wyłącznie do potrzeb komunikacji własnego działu marketingu, natomiast "product" zawsze oznacza w istocie prototyp.

Sfałszowany MVP szybko się upowszechnia i sprowadza firmę na ślepą ścieżkę beta culture - wszystkie usługi i produkty są półproduktami obarczonymi ciężkimi lub lżejszymi wadami. Kopernikańska zasada, że pieniądz gorszy wypiera lepszy doskonale sprawdza się wewnątrz firmy. A na zewnątrz? Klienci zbierają złe doświadczenie z kontaktu z produktami firmy, reputacja błyskawicznie eroduje a konkurencja - triumfuje i może przesłać kwiaty.

Na przeciwnym biegunie plasuje się kolejny typowy powód porażki, overengineering, który wynika z fetyszyzacji technologii;

realizacja prostych idei mających służyć człowiekowi przeładowanymi rozwiązaniami z nadmiarowymi funkcjonalnościami czy możliwościami nastręcza tylko problemów w użytkowaniu i zniechęca klientów.
Overengineering który zrodził się w segmencie produktów high-end i wysoko specjalizowanych, wymagających np. dodatkowych i nietypowych zabezpieczeń, gdzie mógł mieć uzasadnienie, staje się złotym cielcem w segmencie produktów które pokłonią się jednak wyłącznie twórcy - nie klienci ani użytkownicy.

W epoce cyfrowej typowym zjawiskiem jest także race to bottom - próba zbudowania przewagi konkurencyjnej i realizacji zysków, dzięki porzuceniu "balastu" jakości czy unikalności produktu w najbardziej niewygodnym momencie napotyka skuteczną z reguły kontrakcję czających się konkurentów.

Projekt uproszczony, zuberyzowany nakładem ciężkiej pracy, wyrzeczeń i upuszczania krwi doprowadza do ekspozycji na ryzyko skopiowania.
Mniejszy lub większy konkurent błyskawicznie potrafi skopiować i dostarczyć go jeszcze taniej.

Osobną kategorię stanowią projekty cyfrowego maskowania i lukrowania starych, skompromitowanych produktów.

Czy nowy interfejs zadziała jak opium i każe klientowi zaprzestać zadawania pytań o jakość podstawowej usługi, jej rzeczywistą funkcjonalność, sens i bezpieczeństwo?
To pytanie retoryczne, podobne do znanego z angielskiego przysłowia o śwince, która od nałożenia szminki nie przestanie być świnką.

Jacek Chmiel zwrócił uwagę na kwestię kryteriów porażki cyfrowej transformacji. I wyjaśnił przy okazji tajemnicę marketingowej teflonowej odporności projektów "cyfryzacyjnych" na przyleganie do nich miana porażki.

"Faktyczny, utrzymujący się hype cyfryzacyjny prowadzi do tego, że porażka moze zostać ogłoszona dopiero gdy strata biznesowa i utrata reputacji przewyższą sukces marketingowy przedsiębiorstwa. To algorytm doskonale pasujący do każdej bańki: failure = marketingSuccess < (damagedReputation + BusinesssLoss)"
- podsumował Jacek Chmiel.

Cyfryzacja bez hamulców

Osobną, znaczącą kategorię porażki w firmie przechodzącej cyfrową transformację są zaniedbania w dziedzinie bezpieczeństwa. Dochodzi do nich, gdy traktuje się bezpieczeństwo jako hamulcowego transformacji. O tym, jakie podejście do bezpieczeństwa warunkuje porażkę, a jakie sukces transformacji, opowiedzieli Artur Czerwiński, dyrektor ds. technologii w Cisco i Jakub Jagielak, dyrektor ds. rozwoju cyberbezpieczeństwa w Atende S.A.

Cyberbezpieczeństwo nabiera znaczenia w miarę zaawansowania w procesie cyfrowej transformacji. Z badania ilościowego przeprowadzonego przez Cisco na 18 rynkach wśród 3000 CxO, jak również na podstawie doświadczeń Atende w obsłudze klientów na polskim rynku, prelegenci wskazali 4 główne wyzwania związane z zarządzaniem bezpieczeństwem w firmie. Są to:

  1. 1. Budżetowanie rozwiązań dotyczących bezpieczeństwa
  2. 2. Integracja rozwiązań dostarczanych przez wielu dostawców
  3. 3. Pozyskanie odpowiednio wyszkolonych specjalistów do zespołów informatyków i menedżerów odpowiedzialnych za bezpieczeństwo
  4. 4. Współpraca pomiędzy poszczególnymi działami IT

Budżetowanie rozwiązań z zakresu bezpieczeństwa to częsty problem, zwłaszcza w firmach będących poza głównym nurtem transformacji cyfrowej. Ale

w ostatnim czasie można zaobserwować, że firmy z większą uwagą podchodzą do wydatków na bezpieczeństwo. Kluczowe staje się pytanie o poziom kosztów, jakie firma gotowa jest ponieść wskutek braku odpowiednich zabezpieczeń.
Staje się ono tym ważniejsze, że coraz więcej elementów infrastruktury jest podłączonych do transmisji danych, a przez to podatnych na cyberatak. Widać to szczególnie wyraźnie w środowisku Internetu Rzeczy

Rozwiązania poprawiające bezpieczeństwo sprzedają się głównie dwóch momentach: gdy wchodzą w życie regulacje prawne, które zobowiązują firmy do wprowadzenia rozwiązań w zakresie bezpieczeństwa i gdy dochodzi do incydentów bezpośrednio dotykających organizację. Skala incydentu rozstrzyga o zakresie działań podjętych w obszarze bezpieczeństwa

„Ponad 40% respondentów traktuje rozwiązania w zakresie bezpieczeństwa jako zabezpieczenie przed stratami finansowymi. Dla innych bezpieczeństwo jest traktowane jako zarządzanie ryzykiem, czyli wirtualne koszty, które mogą się pojawić ale nie muszą. Wysokie ryzyka wystąpienia incydentu są przez zarządy akceptowalne gdyż w ogólnym rozrachunku nie ponoszą wysokich kosztów. Okazuje się jednak, że nawet z pozoru niskie ryzyko wystąpienia incydentu warto zaadresować ponieważ może doprowadzić do wysokich strat” mówi Jakub Jagielak.

Dobry przykład stanowi firma, w której zadbano o bezpieczeństwo w sposób wzorcowy. Wyodrębniono w niej osobną komórkę odpowiedzialną za cyberbezpieczeństwo, która podlegała bezpośrednio zarządowi i miała wpływ na procesy w całej organizacji. Ale nastąpiło to dopiero po tym, gdy firma poniosła stratę w wysokości 150 mln USD wskutek braku zabezpieczeń.

Gdy już są pieniądze na rozwiązania cyberbezpieczeństwa, trzeba dobrze je wydać. Nie jest to łatwe w sytuacji, gdy firma korzysta z oferty wielu dostawców, a wybrane rozwiązania trzeba uspójnić, by efektywnie reagować na pojawiające się zagrożenia przy ograniczonym zespole specjalistów. Ujednolicenie rozwiązań może się dokonać na bazie odpowiedniej architektury – ten zabieg stosuje szereg firm. W efekcie

firmy ograniczają liczbę narzędzi do cyberbezpieczeństwa. Dziś coraz więcej firm stosuje do 10 narzędzi, podczas gdy 2-3 lata temu stosowały od 20 do 30 narzędzi.

Zaawansowane w procesie transformacji organizacje osiągają stan

security gap, który polega on na tym, że firmy dodają do swojego ekosystemu bezpieczeństwa kolejne elementy takie jak Anty DDoS , IDS/IPS, czy PAM ale poziom ich bezpieczeństwa nie wzrasta.
Pojawiają się problemy w zarządzaniu licznymi punktami zagrożonych incydentami. Rekomendacją w takim przypadku może być tworzenie ekosystemu opartego na rozwiązaniach jednego dostawcy. W przypadku dużej liczby elementów pomocne są systemy typu Security Managemant np. SIEM, które pierwotnie były dostępne tylko dla dużych firm. Dziś mogą z nich korzystać również firmy średnie i małe.

W warunkach cyfrowej zmiany rośnie rola CISO.

„Każdy projekt związany z transformacją lub transmisją danych wymaga obecności CISO”
– zauważył Artur Czerwiński. Jak podkreśla: „Każdy produkt zawiera dziś jakiś moduł bezpieczeństwa. Doskonale zdają sobie z tego sprawę firmy dostarczające produkty IoT. Odbiorcy tych produktów oczekują spełnienia wysokich wymagań w zakresie cyberbezpieczeństwa. CISO jest pod coraz większą presją, która wynika ze złożoności technologii i rosnących wymagań, by aplikacje działały bez przerwy, a także z niepewności, którą rodzi świadomość nowych zagrożeń, przed którymi firewalle nie stanowią już ochrony”.

„Mamy narzędzia, ale pozostajemy ślepi, nie wiemy, gdzie, w jaki sposób, przez kogo i dlaczego będziemy zaatakowani”
– dodał Jakub Jagielak. I wyjaśnia dlaczego tak się dzieje: „Nie ma jednego poziomu ataku. W złożonych systemach i organizacjach potrzebne będą narzędzia, które będą wymieniały ze sobą informacje. Statystyka się nie zmienia: my będziemy się cały czas bronili, a po drugiej stronie cyberagresor będzie wymyślał nowe sposoby ataku”.

Zdaniem Artura Czerwińskiego potrzeba dziś stworzyć architekturę, w którą „wpiszą się” wszystkie procesy w firmie. Jednym ze sposobów jest system wszechstronnej kontroli dostępu do zasobów. Chodzi o możliwość nałożenia takiej polityki, która realizuje zasadę „zero trust”, czyli braku zaufania do kogokolwiek bez sprawdzenia i potwierdzenia uprawnień. W praktyce nie jest to łatwe, wymaga wielkich nakładów w rozwój kompetencji pracowników lub automatyzację na bazie usług chmurowych.

Temat roli CISO wywołał dyskusję. Tomasz Matula, członek Kapituły Klubu CIO, powiedział, że CISO powinien zmieniać organizację i uświadamiać pracowników. W tym celu CISO musi być zaangażowany w każdy proces. Musi być zaangażowany w myślenie agile i równoważenie ryzyka. Dziś CISO często są zbyt pasywni, bo tak im jest wygodnie. Tezę o pasywności CISO poparł Artur Czerwiński, podając jako przykład praktyki CISO z organizacji niekomercyjnych.

CISO na pewno potrzebuje błogosławieństwa zarządu firmy. Zarząd powinien włączyć się w myślenie o bezpieczeństwie, potwierdzając w ten sposób kluczowe znaczenie bezpieczeństwa dla organizacji. Za cyberbezpieczeństwo odpowiadają wszyscy. Warunkiem determinującym większą troskę o bezpieczeństwo firmy jest kultura organizacyjna. W firmach, w których pracownicy potrafią przyznać się, że jest problem – a więc zachowują pokorę – łatwiej zachować ostrożność, a w przypadku wystąpienia incydentu sprawnie zareagować.

Malowanie cyfryzacji na zielono

W podsumowującej dyskusji udział wzięli Ryszard Bryła, Tomasz Matuła i Jacek Chmiel. Do dyskusji chętnie włączali się uczestnicy spotkania. Jak wygląda katastrofa transformacji cyfrowej? Katastrofa dotyczy z reguły poszczególnych projektów, zdarzają się spektakularne przykłady. Ze względów wizerunkowych nikt nie pozwoli sobie na odwołanie albo wstrzymanie programów cyfryzacji. Prędzej można będzie usłyszeć o ich sukcesie, wynikającym z marketingowych kryteriów albo o tym, że sukces nadchodzi, tylko że się nieco spóźnia...

Kluczowe jest bowiem, kto będzie robił bilans cyfryzacji?

Dopóki jest to przedsięwzięcie wizerunkowe, służące przekonaniu publiczności o nowoczesności firmy, dopóty tolerancja dla cyfrowych eksperymentów będzie się utrzymywała.
Takie podejście nie wymaga zbyt sformalizowanych ram, mogłyby one wręcz przeszkadzać. Dlatego być może dwie trzecie ankietowanych w badaniu redakcyjnym CxO twierdzi, że w firmie nie ma roli / jasno przypisanej odpowiedzialności za transformację cyfrową.

Dwie trzecie ankietowanych twierdzi też, że największym wyzwaniem jest kultura organizacyjna.

Wyjaśnienie i zaangażowanie w cyfryzacji wymaga jednak potraktowanie jej przede wszystkim jako realnej zmiany modelu biznesowego, prowadzonej z biznesową dyscypliną, celami.
A kiedy skończy się malowanie trawy na zielono, wtedy można spodziewać się, że częściej usłyszymy otwarcie o porażkach - dlatego, że będzie można z nich wyciągać lekcje i przekuwać na końcowy sukces.


TOP 200
Na ten temat
Wydarzenia
Magazyny CXO
Partnerzy Klubu CIO
O Klubie

Klub CIO to niezależna organizacja, która istnieje od 2003 roku. Powstał z inicjatywy International Data Group Poland S.A., amerykańskiego wydawnictwa, które prowadzi Kluby CIO w wielu różnych krajach.

Stworzony dla dyrektorów IT Klub CIO, to przede wszystkim dwie wartości najczęściej podkreślane przez samych członków Klubu. Po pierwsze - poszerzanie zakresu swojej wiedzy oraz - po drugie - możliwość spotkania się w swobodnej atmosferze, w gronie znakomitych menedżerów i porozmawianie o tym, co ważne dla każdego CIO.

Jak działa Klub CIO?
  • regularne spotkania w gronie kilkudziesięciu CxO (w większości CIO)
  • 2,5 godziny programu merytorycznego plus 1-2 godziny networkingu
  • spotkania w Warszawie i innch miastach (Gdańsk, Wrocław, i in.)
  • komunikacja w ramach grupy Klub CIO na LinkedIn
  • serwis cxo.pl – służy wymianie wiedzy, doświadczeń, przedstawia historie i dokonania członków Klubu CIO
  • udział w badaniach i dostęp do ich wyników – unikalne źródło wiedzy o opiniach i doświadczeniach innych CIO
Warto brać udział w Klubie CIO, aby
  • rozwijać wiedzę o dobrych praktykach zarządzania IT
  • wymieniać doświadczenia z najlepszymi CIO
  • zyskać uznanie na forum firmy i w społeczności IT
  • poprawiać własną skuteczność w realizacja celów IT i firmy
  • budować lepsze zrozumienie roli i zadań nowoczesnego CIO
  • uzyskać realny wpływ na strategię firmy