轉型與變革

COVID-19 的疫情進一步地加速了全球數位轉型的腳步，按微軟 CEO Satya Nadella 所述1「當前兩個月所獲得的數位轉型進展是過去需要兩年才能達到的成果」。數位轉型透過數位的力量為客戶帶來更好的使用經驗，提升企業競爭力的同時，也進一步地擴大了可被攻擊的接觸面積，根據 Ponemon2 的 2020 研究報告指出，受訪者中有 82% 表示其數位轉型項目至少經歷一次資料外洩的問題。另外，為了能夠更了解客戶，提供更完善的服務，資料的收集與應用更是當前商業競爭的重中之重，然而隨著日漸提升的資料隱私保護意識，與相關規範的建立與落實，資訊安全已然無法視為NICE TO HAVE的選項，而是MUST TO HAVE的因子。因此，在考慮數位轉型策略的同時，將安全納入考量，並且雙軌併行，才是當前企業所應該考量的作法。 鑑於此，筆者認為企業把資訊安全融入數位轉型中，有五個關鍵步驟！ 1. 了解組織的資訊安全能力 唯有了解自身當前的狀況，才能知道與需求之間的落差! 在規劃數位轉型計畫的同時，誠實地面對組織當前實施安全的現況與能力，才能夠了解與期待之間的落差，並且建構可行的路徑。所謂可行的路徑，便是逐步地將安全工具、驗證能力、與安全文化逐步地與數位工具與商業服務進行融合。也只有透過一開始便考量安全，才能夠務實地將安全融入數位轉型的過程中。 數位轉型所涉及的層面包含了工具採用、文化和流程變更、與人才培養，過程必然對組織裡的每個人產生衝擊。如果將安全作為轉型成功後，才進一步加強的目標。可以想見的是安全將永遠會是拖慢並且減損轉型成果的障礙！ 2. 將所屬產業的安全需求納入規劃 企業經營自然無法自外於當地法規對於所屬產業的要求，也無法無視消費者對於企業的期待。因此，數位轉型絕非暫緩合規要求的理由，相反的是一開始便將合規需要納入轉型中，才是事半功倍的最佳途徑。試想當組織內的成員好不容易適應新作法後，卻要立即地面對加入額外要素的作法變更。調適與落實所產生的成本將會是企業無法承受之重。 對於並無具體法規規範的產業來說，基於自動化工具所採用的安全規範與指引，將會是比較直覺且成本較低的選擇，比方說 NIST 與 OWASP。

隨著 COVID-19 疫情的發展，數位轉型不再是個猶豫與曖昧不清的選項。 當昔日可選項變成必選題時，企業不得不細細思量轉變所帶來的意義與價值，以便在市場、利害關係人、公司永續與競爭力之間取得平衡。綜觀這幾年台灣企業在數位轉型議題上多半圍繞在新技術與工具的採用，這樣直觀且具體的作法的確為企業帶來了短期且明顯的改變與效益，不過這樣的效益卻很難延續與擴大，甚至有時還會與企業原有制度和流程產生衝突。或許過往的小打小鬧，還能期待透過時間來找尋解套的方法，但在轉變的需求強勢叩門時，企業需要一個具備系統性的指引方法，來協助自身透過重新審視治理的方式來確保目標達成的同時，還能提供組織應變市場快速腳步的能力! 從資訊部門到全組織 大部分企業內的資訊部門所肩負的多半為企業內部系統，主要的工作在於除錯與維穩，因此資訊系統的管理著重於資訊部門內部… 「穀倉效應」在指出組織內部由於各自責付功能與利益的不同，而產生協同困難，價值流不效率的問題。我們可以在近似領域的不同職責單位 (如，同屬技術領域的維運、安全、開發等各單位) 觀察到這樣的現象，而在不同領域(如技術與商務單位)這樣的問題也就更為嚴重。得助於雲端運算，企業有機會採用數位的方式，更有效地為客戶提供服務。 但是，如果服務管理仍只限於資訊部門，那將會有怎樣的結果呢? 試著思考以下的問題： 1. 如果資料安全僅在資訊部門，資料安全真的安全嗎? 2. 心急如焚的顧客上線尋找協助，需要轉幾手才能安撫顧客，提高滿意度呢? 3. 資訊部門在採用大量開源工具時，如何確保智財與法務上的安全? 4. 當引入新的工具與技術，如何知道它為公司帶來哪些效益呢? 如何知道錢花在刀口上呢? 5. 如何確保上線的新服務，不僅能為公司帶來利潤，同時也符合當地政府的期待呢? ... 那麼，數位時代下的服務是什麼呢?

General Electric (奇異公司,以下會統一使用GE2來稱呼) 為一個跨國且跨不同產業領域的產業巨擘，2008 年，在 Jeff Immelt3 的支持下開始了轉型之旅，期間各種閃耀的成果與報導不斷，是討論轉型時不能錯過的案例，尤其在討論仍處於熱潮的工業 4.0 時，更應該看看他們的歷程與故事。或許屬於 GE 的最終烏托邦尚未浮現，然而它們的故事仍會繼續，並且探索新的價值。 紀事 2013 年, GE 開始使用自家所打造的工業物聯資料分析平台,Predix，來分析運行於實際場域的機器。 2014 年, GE 聲稱透過 Predix 平台實現了超過 10 億美元利潤4，並且在同年，Jeff 於推特上的一則發文，開始了它們更加積極的數位轉型之旅。 "If you went to bed last night as an industrial company you're going to wake up a software & analytics company.

追求獲利與永續是企業的基本訴求，而數位轉型則是企業希望能夠達成訴求的手段。如果將數位轉型比喻成一支箭，那麼箭頭代表著解決客戶需求的產品、服務、與解決方案，而企業的技術、工具、與能力則代表著箭桿，至於箭羽則是價值、信念、與原則！ 箭桿是箭的主要組成，它的各種特質(撓度、長度等)影響著與弓的適配和行徑，左右了搭弓和飛行，然而缺乏對於目標的理解，搭配錯誤的箭頭，則會降低箭的破壞力。正如數位轉型，目標的確立是一切的開始，這樣才能使用正確的箭頭，正中客戶的口味，實現客戶價值。技術、工具、以及組織各項能力，相對於客戶來說，則如同箭桿一樣，具有各種特質，卻是單一而統整的存在。它構成箭的基礎，需要的是各項特質恰到好處的配合。 不要在鋪陳了！到底什麼時候要講箭羽？ 還有轉型最愛提的組織文化呢？ 箭羽的最主要功能是 — 為飛行的箭提供穩定度。風為箭的飛行增加了不確定性，影響箭是否能夠準確地射中目標，而箭羽能夠透過重量與羽毛(或類似羽毛的構造)，在多變的風中，穩定箭的飛行，而對比到企業，則與企業的核心價值、信念、與原則所帶來的功能一致。 轉型 vs. 組織文化 討論數位轉型時，不免會提到「端到端的價值」。這邊的價值更準確地說是客戶價值，然而能夠 正確且有效地 傳遞客戶價值，靠的則是企業的核心價值。核心價值說來抽象，讓我們換個角度，試著用問句來思考一下！ "這個產品的主要解決了什麼問題？" "這個產品與其他產品的差異是什麼？重點是什麼？" 我想上面的問題應該一點也不陌生，它的核心議題是目標、願景、解決的問題等。讓我們再想想其他的問句… "哪些要素持續激勵著目標的達成？" "哪些事情讓我們更容易成功？" "有哪些考量，是交付時不能夠妥協的？" 這些問題所勾勒的價值，便是企業的核心價值。因此，除了「客戶價值」之外，核心價值則扮演著穩定的要素。說到這邊，不免惹人疑問的是，核心價值高高掛，但可能說比做更好聽… 「信念」根據維基百科的解釋2 — 信念是反應個人見識正確與否的思想意識。相比於核心價值，信念是關於人根據過往經驗對於現況環境的假設，它更多是反應感性方面與經驗的累積。 抽象而顯性的價值與具體卻難以清楚解釋的信念，構成企業內做事的原則，而原則左右著做事的方式。 文化是透過組織成員基於組織內成文與不成文原則下，通過行為而具體可見(註3)。 文化很抽象，但透過拆解，可以由核心價值、信念、與原則來更進一步地了解它。回到轉型議題上，當討論轉型，不免立馬想到一些最佳實踐，比方說 SCRUM、SAFe 等。這些實踐都很好，不過更多時候應該作為發想的起點與參考，而不是單純的照單全收。因為實踐最直接的對應是「做事的方式」，具體的作法或許能夠帶來顯著的變化，然而卻會讓「實踐者」忽略了這些實踐背後所體現的價值與信念。當改變後「做事的方式」與原來的「價值和信念」發生不一致時，轉型成果則更傾向曇花一現，甚至是失敗作收。