För att lyckas som startup gäller det att vara snabbrörlig, förändra strukturerna och bygga nytt från grunden. Men för en cio på ett etablerat företag är verkligheten mer komplicerad när det kommer till vilka risker som är värda att ta. Det kan handla om tusentals eller kanske rentav miljontals kunder som litar till företagets infrastruktur. Om en förändring gör att exempelvis en internetbank går ner kan det leda till stora förluster.

Vår amerikanska systersajt CIO har listat några råd till dem som vill lyckas med innovation utan att strunta i riskerna.

1. Skyddsnät med riktiga backuper

Säkerhet är självklart en av de viktigaste delarna för att minska riskerna. Dataintrång är fortsatt en stor utmaning och it-säkerhet är topprioriterat. Men glöm inte backuper.

Föreställ dig att dina utvecklare tagit fram ett sätt att öka effektiviteten och att testerna gått bra. Men när ni väl går live så visar det sig att dina data skadas utan att någon förstår varför. Har du då backup – ja, då klarar du dig. Men om du inte har verifierat att dina backuper fungerar som de ska så utsätter du din organisaton för en allvarlig risk.

– En otestad backup är ingen backup. It-infrastruktur justeras, ändras och uppdateras ständigt och förändringar som ser orelaterade ut kan påverka backuperna, säger konsulten David Colgan, som arbetar med tillförlitlighet i saas-tjänster.

Läs också: Nytt år, nya hot. Här är de största utmaningarna för it-säkerheten.

– Jag har sett en backupprocess som slutade fungera helt under tre veckor för att vi installerade nya servrar som gjorde att backupens schema kraschade utan att varna för något fel. Om vi inte hade upptäckt det innan vi verkligen behövde backuper så hade vi hamnat i verklig knipa. Det tar fem minuter att kolla att backuperna fungerar och genom att göra det regelbundet kan man undvika en stor mängd fel.

Automatisk testning är inte helt pålitlig. Det är viktigt att också göra verkliga tester för att se att backupriskerna hanteras rätt. Och om du har företagskritiska leverantörer så kan det vara ett bra drag att ibland kolla deras ”gröna” statusrapporter.

2. Se till att dina riskhanteringsverktyg hänger med

Övervakningsverktyg spelar en avgörande roll för att du ska hållas informerad om risker och incidenter i verksamheten. Men de har begränsningar – speciellt om miljön förändras. Om ni har börjat använda ny teknik som exempelvis containrar så kan övervakningsprocessen missa viktiga risker.

Antonio Piraino, cto på Sciencelogic som levererar övervakningsprodukter, konstaterar att många verktyg inte klarar att integrera med moderna applikationer och förstå de komplexa beroendemönstret mellan dem.

– Övergången till containrar och multicloudsystem bidrar enormt till detta och gör det omöjligt för många traditionella övervakningsverktyg att hänga med, säger han.

För att se hur dina övervakningsverktyg klarar jobbet så är det bra att experimentera, exempelvis genom att stänga av och sätta på vissa tjänster för att se om det rapporteras som det ska.

3. Håll koll på de löpande molnkostnaderna

I takt med att företag allt mer använder sig av molnet gäller det att ha koll på vad man köper in så man inte överraskas av att de löpande kostnaderna exploderar.

– Att kunna skala en applikation i molnet har sina ekonomiska för- och nackdelar, säger Vijay Raghavan, cto på Lexisnexis Risk Solutions.

Läs också: GDPR: Här är allt du behöver veta om EU:s nya dataskyddsregler

– Fördelen är att en storskalig pilot kan köras i molnet utan att man måste göra en stor investering. Men en potentiell nackdel är att om man inte ser upp så kan piloten börja autoskala över tusentals noder i flera dagar och skapa oförutsedda löpande kostnader som rakar i höjden.

För att komma undan det krävs robust leverantörshantering, rapportering och it-kontroller.

4. Var medveten om inlåsningsrisken

Risken att låsas in hos en leverantör är en utmaning för it, och molnet komplicerar det ytterligare. Från början när molntjänster handlade om enkla saker som lagring av filer så var det enkelt att byta leverantör. Men med allt mer sofistikerade tjänster blir det allt svårare att byta molnleverantör och risken för inlåsning ökar.

Vijay Raghavan pekar på Amazon som exempel. Det är oerhört enkelt att bygga och distribuera tjänster inom AWS med en uppsjö av AWS-proprietära verktyg för utvecklare, och det gör det extremt svårt att flytta applikationer till en annan molnleverantör.

Att hantera inlåsningsrisken är svårt. En del väljer helt enkelt att ta risken och hoppas på det bästa. Andra använder sig av flera leverantörer.

5. It-revisioner är dina vänner

Kom ihåg att det finns andra berörda parter som kan hjälpa till när det gäller riskhantering. Internrevisorer som fokuserar på risk och it-granskningar kan hjälpa till med att skriva kontrakt och se över planer för att hantera it-risker. Även kunderna kan driva på revision av it-riskerna.

– När vi arbetar med stora företag har våra kunder mycket att säga till om när det gäller hur vi arbetar med vår säkerhet och regelefterlevnad. En del av dem oroas över vår migration till AWS. säger Mark Goldin, cto på Cornerstone Ondemand.

– Vi försöker hålla ner den risken på flera sätt: Genom att lägga till AWS i vår revision, uppdatera alla policyer och rutiner för att inkludera tjänster som används vid AWS och använda oss av hög säkerhet som avancerad kryptering för att öka vår säkerhetsberedskap i AWS-miljön.

Läs också: När projektet spårar ur – här är 3 tips hur du får tillbaka det på banan

6. Prioritera datakvalitet

För att kunna få användbara resultat från big data och dataanalys krävs att de data som används är pålitliga.

– Det största hotet mot innovation är dåliga data. Därför måste företag lägga kraft på att se till att de data de samlar in är av hög kvalitet och pålitliga, säger Antonio Piraino.

Se till att tidigt skapa en arbetsgrupp som tittar på datakvalitet och styrningsfrågor. Senare kan du utse en chef som ansvarar för de frågorna.

7. Håll balansen

Kom ihåg att verkligt bra riskhantering lägger ingen märke till. Få personer märker frånvaron av krascher. Men lyckas du med riskhanteringen kan du i gengäld köpa dig den trovärdighet som krävs så att du kan investera mer i innnovation.