轉型與變革

VeriSM™ 與導入十步驟 在當前數位化的時代，綜觀全球企業發展趨勢，企業數位轉型已經是大勢所趨。但「數位轉型」一詞本身的概念卻存在著嚴重的混淆不清。首先，數位轉型並不是一個技術問題，而是一個如何透過全新的商業模式交付價值的問題。很多人錯誤地將其認定為 IT 專案或者是一套新的 IT 系統。數位轉型是以價值為導向，並且結合了全新的管理實務作法和新興技術的全新商業模式。因此，必將為組織帶來結構、文化、與人才能力方面的創新。 VeriSM™ 不但定義了什麼是數位轉型，同時為組織數位轉型提供理論框架、指導原則、管理模型、與實際落地的案例。 作為國際數位能力基金會（International Foundation of Digital Competence）發佈的數位轉型與創新管理的核心知識系統。VeriSM™ 在拉丁文中的含意是「真理」。如同「VUCA」為縮寫所構成，VeriSM™ 實際上為六個英文詞組的縮寫，分別為： V — Value Driven (價值驅動) E — Evolving (持續演進） R — Responsive（響應變化） I — Integrated（整合各家之長與實際需求） S — Service（服務, 包含產品本身） M — Management（管理）

COVID-19 的疫情進一步地加速了全球數位轉型的腳步，按微軟 CEO Satya Nadella 所述1「當前兩個月所獲得的數位轉型進展是過去需要兩年才能達到的成果」。數位轉型透過數位的力量為客戶帶來更好的使用經驗，提升企業競爭力的同時，也進一步地擴大了可被攻擊的接觸面積，根據 Ponemon2 的 2020 研究報告指出，受訪者中有 82% 表示其數位轉型項目至少經歷一次資料外洩的問題。另外，為了能夠更了解客戶，提供更完善的服務，資料的收集與應用更是當前商業競爭的重中之重，然而隨著日漸提升的資料隱私保護意識，與相關規範的建立與落實，資訊安全已然無法視為NICE TO HAVE的選項，而是MUST TO HAVE的因子。因此，在考慮數位轉型策略的同時，將安全納入考量，並且雙軌併行，才是當前企業所應該考量的作法。 鑑於此，筆者認為企業把資訊安全融入數位轉型中，有五個關鍵步驟！ 1. 了解組織的資訊安全能力 唯有了解自身當前的狀況，才能知道與需求之間的落差! 在規劃數位轉型計畫的同時，誠實地面對組織當前實施安全的現況與能力，才能夠了解與期待之間的落差，並且建構可行的路徑。所謂可行的路徑，便是逐步地將安全工具、驗證能力、與安全文化逐步地與數位工具與商業服務進行融合。也只有透過一開始便考量安全，才能夠務實地將安全融入數位轉型的過程中。 數位轉型所涉及的層面包含了工具採用、文化和流程變更、與人才培養，過程必然對組織裡的每個人產生衝擊。如果將安全作為轉型成功後，才進一步加強的目標。可以想見的是安全將永遠會是拖慢並且減損轉型成果的障礙！ 2. 將所屬產業的安全需求納入規劃 企業經營自然無法自外於當地法規對於所屬產業的要求，也無法無視消費者對於企業的期待。因此，數位轉型絕非暫緩合規要求的理由，相反的是一開始便將合規需要納入轉型中，才是事半功倍的最佳途徑。試想當組織內的成員好不容易適應新作法後，卻要立即地面對加入額外要素的作法變更。調適與落實所產生的成本將會是企業無法承受之重。 對於並無具體法規規範的產業來說，基於自動化工具所採用的安全規範與指引，將會是比較直覺且成本較低的選擇，比方說 NIST 與 OWASP。

隨著 COVID-19 疫情的發展，數位轉型不再是個猶豫與曖昧不清的選項。 當昔日可選項變成必選題時，企業不得不細細思量轉變所帶來的意義與價值，以便在市場、利害關係人、公司永續與競爭力之間取得平衡。綜觀這幾年台灣企業在數位轉型議題上多半圍繞在新技術與工具的採用，這樣直觀且具體的作法的確為企業帶來了短期且明顯的改變與效益，不過這樣的效益卻很難延續與擴大，甚至有時還會與企業原有制度和流程產生衝突。或許過往的小打小鬧，還能期待透過時間來找尋解套的方法，但在轉變的需求強勢叩門時，企業需要一個具備系統性的指引方法，來協助自身透過重新審視治理的方式來確保目標達成的同時，還能提供組織應變市場快速腳步的能力! 從資訊部門到全組織 大部分企業內的資訊部門所肩負的多半為企業內部系統，主要的工作在於除錯與維穩，因此資訊系統的管理著重於資訊部門內部… 「穀倉效應」在指出組織內部由於各自責付功能與利益的不同，而產生協同困難，價值流不效率的問題。我們可以在近似領域的不同職責單位 (如，同屬技術領域的維運、安全、開發等各單位) 觀察到這樣的現象，而在不同領域(如技術與商務單位)這樣的問題也就更為嚴重。得助於雲端運算，企業有機會採用數位的方式，更有效地為客戶提供服務。 但是，如果服務管理仍只限於資訊部門，那將會有怎樣的結果呢? 試著思考以下的問題： 1. 如果資料安全僅在資訊部門，資料安全真的安全嗎? 2. 心急如焚的顧客上線尋找協助，需要轉幾手才能安撫顧客，提高滿意度呢? 3. 資訊部門在採用大量開源工具時，如何確保智財與法務上的安全? 4. 當引入新的工具與技術，如何知道它為公司帶來哪些效益呢? 如何知道錢花在刀口上呢? 5. 如何確保上線的新服務，不僅能為公司帶來利潤，同時也符合當地政府的期待呢? ... 那麼，數位時代下的服務是什麼呢?

General Electric (奇異公司,以下會統一使用GE2來稱呼) 為一個跨國且跨不同產業領域的產業巨擘，2008 年，在 Jeff Immelt3 的支持下開始了轉型之旅，期間各種閃耀的成果與報導不斷，是討論轉型時不能錯過的案例，尤其在討論仍處於熱潮的工業 4.0 時，更應該看看他們的歷程與故事。或許屬於 GE 的最終烏托邦尚未浮現，然而它們的故事仍會繼續，並且探索新的價值。 紀事 2013 年, GE 開始使用自家所打造的工業物聯資料分析平台,Predix，來分析運行於實際場域的機器。 2014 年, GE 聲稱透過 Predix 平台實現了超過 10 億美元利潤4，並且在同年，Jeff 於推特上的一則發文，開始了它們更加積極的數位轉型之旅。 "If you went to bed last night as an industrial company you're going to wake up a software & analytics company.