يثير مشروع القانون المقترح في كولورادو سؤالاً أكبر بكثير حول إدارة تكنولوجيا المعلومات للمؤسسات في جميع أنحاء البلاد. التشريع، مشروع قانون الولاية SB26-090، يحمل عنوان “إعفاء البنية التحتية الحيوية من الحق في الإصلاح” – وهو يفعل ذلك بالضبط. وإذا تمت الموافقة عليه من قبل مجلسي النواب والشيوخ في كولورادو، فإنه سيؤدي إلى اقتطاع “البنية التحتية الحيوية” من متطلبات حق الإصلاح في الولاية، مما يحد من من يمكنه خدمة وصيانة الأنظمة الرئيسية.
الأساس المنطقي مألوف: تقييد الوصول إلى المعدات الحساسة للحد من المخاطر الأمنية. أنصار الاقتراح يجادلون بأن الرقابة الأكثر صرامة على الإصلاح والصيانة من شأنها حماية سلامة النظام؛ ومن بين هؤلاء الداعمين البائعين Cisco وIBM.
ولكن بالنسبة لمديري تكنولوجيا المعلومات، فإن الأهمية تتجاوز بكثير دولة واحدة أو سياسة واحدة. إنه يمس قضية أعمق: من يتحكم في النهاية في البنية التحتية للمؤسسة بمجرد نشرها – ومن يقرر كيف ومتى يتم إصلاحها؟
ديفيد لينثيكوم، مؤسس شركة Linthicum Research
وقال ديفيد لينثيكوم، خبير السحابة والذكاء الاصطناعي ومؤسس شركة Linthicum Research: “هذا جزء من تحول أوسع”. “على مدى السنوات العديدة الماضية، حاول كبار موردي التكنولوجيا الحفاظ على رقابة أكثر صرامة على الأجهزة والبرامج والدعم وحتى البيانات التي تولدها تلك الأنظمة.”
وهذا التحول يظهر الآن في السياسة. وبينما يحدث ذلك، فإنه يفرض إعادة النظر في الافتراض القديم في مجال تكنولوجيا المعلومات في المؤسسات: وهو أن ملكية النظام تعني ضمناً السيطرة على تشغيله.
السيطرة، أعيدت صياغتها كأمن تكنولوجيا المعلومات
خلال معظم العقد الماضي، ركزت استراتيجية تكنولوجيا المعلومات في المؤسسة على المرونة. قامت المؤسسات بتنويع البائعين، واعتمدت منصات سحابية وبنيت بنيات مصممة لتجنب الاعتماد على أي مزود واحد. وحتى في حالة وجود تقييد للبائع، فقد تم التعامل معه باعتباره خطرًا يجب إدارته.
يقدم الجدل حول الحق في الإصلاح إطارًا مختلفًا. لا يتعلق الأمر بالقفل. يتعلق الأمر بالأمن. ومع ذلك، يمكن أن تبدو النتيجة متشابهة: تشديد الرقابة على البائعين حول كيفية صيانة الأنظمة، ومن يمكنه الوصول إليها، وما هي الخيارات المتاحة عندما يحدث خطأ ما.
وقال لينثيكوم إنه يرى تقاربا في الحوافز وراء هذا التحول. وأضاف: “الأمن هو مصدر قلق حقيقي، خاصة في البنية التحتية الحيوية”. “لكن البائعين يعلمون أيضًا أن التحكم في الإصلاح يخلق سيطرة على عقود الخدمة ودورات الترقية وقطع الغيار والاعتماد على العملاء.”
شكك نيل نيكولايسن، مستشار رواد التكنولوجيا في VLCM ورئيس مجلس مديري تكنولوجيا المعلومات في FC Centripetal، في كل من الإطار والقصد. “ما هي المشكلة التي يحاولون حلها؟” سأل. “إذا تمكنوا من توضيح ذلك بوضوح وإحكام لتحديد من سيؤثر عليه، فإن شكوكي ستتقلص”.
وفي غياب هذا الوضوح، فإن السياسات تخاطر بإعادة تشكيل هياكل السيطرة على نحو يتجاوز أغراضها الأصلية – للأفضل أو للأسوأ.
حيث تظهر المخاطر فعليًا
تعتمد حالة تقييد الوصول إلى الإصلاح على تقليل احتمالية التلاعب أو التكوين الخاطئ. من الناحية النظرية، انخفاض عدد الأيدي التي تلمس الأنظمة المهمة يعني فرصًا أقل للتوصل إلى تسوية. لكن النقاد يقولون إن النظرية بعيدة عن الواقع.
وقال لينثيكوم: “من الناحية العملية، غالبًا ما يكون تأخير الوصول هو الخطر التشغيلي الأكثر إلحاحًا”. “معظم الشركات لديها بالفعل ضوابط صارمة حول من يمكنه الوصول إلى الأنظمة الحساسة. ولكن عندما يفشل شيء ما، يكون التوقف عن العمل حقيقيًا ومكلفًا وعلنيًا.”
إذا كان الإصلاح يقتصر على القنوات المعتمدة من قبل البائع، فستعتمد أوقات الاستجابة على القدرة الخارجية، مثل قوائم انتظار الدعم، وتوافر الأجزاء، وقيود الجدولة. يمكن أن يؤدي هذا التأخير إلى تحويل المشكلة المحتواة إلى اضطراب أوسع نطاقًا.
وقال نيكولايسن إنه يرى مخاطر على كلا الجانبين، لكنه يتساءل عما إذا كانت مراقبة البائعين تقللها بشكل ملموس. وقال: “لدينا عمليات وأدوات لتقليل وإدارة الوصول إلى أنظمتنا”. “إذا كان لدى الشركة المصنعة حق الوصول، فكيف يمكنني فحص موظفيها والسيطرة عليهم؟ هل أحتاج إلى تضمينهم في عمليات الامتثال الخاصة بي؟”
وأشار أيضًا إلى التحدي العملي المتمثل في الحجم. “كيف تقوم الشركة المصنعة بتوظيف فريق الدعم لتزويد كل عميل من عملاء المؤسسة بالدعم الذي يحتاجه في حالة انقطاع الخدمة؟” ” قال نيكولايسن. “إذا كانوا سيسيطرون، ما هي ضمانات مستوى الخدمة التي سيحصلون عليها؟”
وبدلا من القضاء على المخاطر، فإن هذا التحول يعيد توزيعها، ويقدم تبعيات جديدة حتى في الوقت الذي يسعى فيه إلى الحد من تلك القائمة.
ملكية بدون سلطة
وفي قلب المناقشة هناك سؤال أكثر جوهرية: ماذا يعني امتلاك البنية التحتية للمؤسسات؟ تقليديًا، تقوم المؤسسات بنشر الأنظمة وتتحمل مسؤولية كيفية صيانتها وتشغيلها. يقدم البائعون التحديثات والدعم، لكن المؤسسات هي التي تقرر متى وكيف تحدث هذه التدخلات.
السياسات التي تقيد حقوق الإصلاح تبدأ في زعزعة هذا النموذج.
وقال نيكولايسن: “يتحمل عميل المؤسسة مسؤولية تقييم التصحيحات والترقيات وتحديد ما سيتم نشره ومتى”. “يبدو أن هذا ينتهك تلك الحدود.”
إذا اكتسب البائعون – أو السياسات التي تشكلها أولويات البائع – سيطرة أكبر على الصيانة، فإن تلك السلطة تتغير. إن القرارات المتعلقة بالتوقيت وتحديد الأولويات والتخفيف قد لا تكون موجودة بالكامل داخل المنظمة.
وقد صاغ لينثيكوم التأثير من الناحية العملية: “التغيير الأكبر هو فقدان المرونة التشغيلية”. “ترتفع التكاليف، ويمكن أن تسوء أوقات الاستجابة، وتتراجع الرافعة المالية للتفاوض. لكن المشكلة الحقيقية هي أن مديري تكنولوجيا المعلومات لديهم خيارات أقل.”
تكون هذه الخيارات أكثر أهمية أثناء الاضطرابات، عندما تكون القدرة على التصرف بسرعة هي التي تحدد النتيجة. وبدونها، تصبح الملكية رمزية أكثر منها حقيقية.
العواقب غير المقصودة
وقد تكون التأثيرات الأطول أمدا لهذا التحول أقل وضوحا، ولكنها ليست أقل أهمية. وفي حين أن التأثير الكامل لم يتضح بعد، يتوقع الخبراء ظهور العديد من التعقيدات الجديدة نتيجة لهذا النوع من التشريعات.
وأشار Linthicum إلى انخفاض المنافسة في دعم الطرف الثالث، وارتفاع تكاليف دورة الحياة وزيادة الضغط لاستبدال الأنظمة بدلاً من إصلاحها. وقال: “بمرور الوقت، يمكن أن يقلل ذلك من المرونة بدلا من تحسينها”. “إذا لم تتمكن المنظمات من التصرف بسرعة وبشكل مستقل أثناء انقطاع الخدمة، يصبح النظام أكثر هشاشة.”
وتمتد اهتمامات نيكولايسن إلى الحكم والمساءلة. وتساءل عن كيفية تفاعل القيود الجديدة مع الأطر التنظيمية القائمة وما إذا كانت ستخلق التزامات متداخلة. كما أثار مسألة عملية: المسؤولية عندما تسوء الأمور.
“من المسؤول عن انتهاكات مستوى الخدمة، وبأي ثمن؟” سأل. “كيف يمكنني “طرد” الشركة المصنعة عندما تكون لديها سيطرة على صيانة البنية التحتية الخاصة بي؟ هل يجب علي استبدال البنية التحتية الخاصة بي للخروج من تلك العلاقة؟”
هذه ليست حالات الحافة. إنهم يذهبون إلى جوهر كيفية إدارة تكنولوجيا المعلومات في المؤسسة وكيفية إدارة الفشل.
نيل نيكولايسن، رئيس مجلس مديري تكنولوجيا المعلومات، FC Centripetal
تحول أوسع في السيطرة
وقد يكون اقتراح كولورادو أحد الأمثلة، ولكنه يشير إلى اتجاه أوسع. ومع ازدياد أهمية البنية التحتية الرقمية وتعقيدها، فإن الضغوط الرامية إلى تأمينها سوف تستمر في النمو. وكذلك الأمر بالنسبة للحوافز التي تدفع البائعين إلى وضع أنفسهم باعتبارهم المشرفين الأكثر أمانًا على تلك البنية التحتية. والسؤال هو إلى أي مدى يمتد هذا المنطق.
يشير مشروع قانون كولورادو على وجه التحديد إلى “البنية التحتية الحيوية”، ولكن هذا التعريف غير ثابت. ومع تزايد عدد الأنظمة التي أصبحت ضرورية للعمليات التجارية، يمكن أن يتوسع نطاق ما هو مؤهل. إذا تزايدت القيود المفروضة على الإصلاح جنبا إلى جنب مع تلك التعريفات، فإن التأثير يمكن أن يصل إلى ما هو أبعد من القطاعات المستهدفة في البداية.
بالنسبة لمديري تقنية المعلومات، لا يتمثل التحدي في الاستجابة للسياسات الفردية فحسب، بل يكمن أيضًا في إدراك التحول الأساسي واتخاذ الخطوات اللازمة لتقليل تأثيره. إن المناقشة حول الحق في الإصلاح لا تتعلق بالإصلاح بقدر ما تتعلق بالسيطرة: فمن يملك السلطة للتصرف، وتحت أي ظروف، وبأي قيود؟
وقال نيكولايسن: “أنا متشكك في التشريع الذي يرعاه ويحركه مصنعو التكنولوجيا”. “لم يسبق لي أن رأيت أي شيء يفيد العملاء. وأنا أقصد ذلك أبداً“.
