Despite unprecedented investment in artificial intelligence, most enterprises have hit an integration wall. The technology works in isolation. The proofs of concept impress.

But when it comes time to deploy AI into production that touches real customers, impacts revenue and introduces legitimate risk, organizations balk–for valid reasons: AI systems are fundamentally non-deterministic.

Unlike traditional software that behaves predictably, large language models can produce unexpected results. They risk providing confidently wrong answers, hallucinated facts and off-brand responses. For risk-conscious enterprises, this uncertainty creates a barrier that no amount of technical sophistication can overcome.

This pattern is common across industries. In my years helping enterprises deploy AI technology, I’ve watched many organizations build impressive AI demos that never made it past the integration wall.  The technology was ready. The business case was sound. But the organizational risk tolerance wasn’t there, and nobody knew how to bridge the gap between what AI could do in a sandbox and what the enterprise was willing to deploy in production. At that point, I came to believe that the bottleneck wasn’t the technology. It was the talent deploying it.

A few months ago, I joined Andela, which provides technical talent to enterprises for short or long-term assignments. From this vantage point, it remains clearer than ever that the capability that enterprises need has a name: the forward-deployed engineer (FDE). Palantir originally coined the term to describe customer-centric technologists essential to deploying their platform inside government agencies and enterprises. More recently, frontier labs, hyperscalers and startups have adopted the model. OpenAI, for example, will assign senior FDEs to high-value customers as investments to unlock platform adoption.

But here’s what CIOs need to understand: this capability has been concentrated with AI platform companies to drive their own growth. For enterprises to break through the integration wall, they need to develop FDEs internally.

What makes a forward-deployed engineer

The defining characteristic of an FDE is the ability to bridge technical solutions with business outcomes in ways traditional engineers simply don’t. FDEs are not just builders. They’re translators operating at the intersection of engineering, architecture and business strategy.

They are what I think of as “expedition leaders” guiding organizations through the uncharted terrain of generative AI. Critically, they understand that deploying AI into production is more than a technical challenge. It’s also a risk management challenge that requires earning organizational trust through proper guardrails, monitoring and containment strategies.

In 15 years at Google Cloud and now at Andela, I’ve met only a handful of individuals who embody this archetype. What sets them apart isn’t a single skill but a combination of four working in concert.

• The first is problem-solving and judgment. AI output is often 80% to 90% correct, which makes the remaining 10% to 20% dangerously deceptive (or maddeningly overcomplicated). Effective FDEs possess the contextual understanding to catch what the model gets wrong. They spot AI workslop or the recommendation that ignores a critical business constraint. More importantly, they know how to design systems that contain this risk: output validation, human-in-the-loop checkpoints and deterministic fallback responses when the model is uncertain. This is what makes the difference between a demo that impresses and a production system that executives will sign off on.

• The second competency is solutions engineering and design. FDEs must translate business requirements into technical architectures while navigating real trade-offs: cost, performance, latency and scalability. They know when a small language model (with lower inference cost) will outperform a frontier model for a specific use case, and they can justify that decision in terms of economics rather than technical elegance. Critically, they prioritize simplicity. The fastest path through the integration wall almost always begins with the minimum viable product (MVP) that solves 80% of the problem with appropriate guardrails. The solution will not be the elegant system that addresses every edge case but introduces uncontainable risk.

• Third is client and stakeholder management. The FDE serves as the primary technical interface with business stakeholders, which means explaining technical mechanics to executives who often lack significant experience with AI. Instead, these leaders care about risk, timeline and business impact. This is where FDEs earn the organizational trust that allows AI to move into production. They translate non-deterministic behavior into risk frameworks that executives understand: what’s the blast radius if something goes wrong, what monitoring is in place and what’s the rollback plan? This makes AI’s uncertainty legible and manageable to risk-conscious decision makers.

• The fourth competency is strategic alignment. FDEs connect AI implementations to measurable business outcomes. They advise on which opportunities will move the needle versus which are technically interesting but carry disproportionate risk relative to value. They think about operational costs and long-term maintainability, as well as initial deployment. This commercial orientation—paired with an honest assessment of risk—is what separates an FDE from even the most talented software engineer.

The individuals who possess all of these competencies share a common profile. They typically started their careers as developers or in another deeply technical function. They likely studied computer science. Over time, they developed expertise in a specific industry and cultivated unusual adaptability and the willingness to stay curious as the landscape shifts beneath them. Because of this rare combination, they’re concentrated at the largest technology companies and command high compensation.

The CIO’s dilemma

If FDEs are as scarce as I’m suggesting, what options do CIOs have?

Waiting for the talent market to produce more of them will take time. Every month that AI initiatives stall at the integration wall, the gap widens between organizations capturing real value and those still showcasing demos to their boards. The non-deterministic nature of AI isn’t going away. If anything, as models become more capable, their potential for unexpected behavior increases. The enterprises that thrive will be those that develop the internal capability to deploy AI responsibly and confidently, not those waiting for the technology to become risk-free.

The alternative is to grow FDEs from within. This is harder than hiring, but it’s the only path that scales. The good news: FDE capability can be developed. It requires the right raw material and an intensive, structured approach. At Andela, we’ve built a curriculum that takes experienced engineers and trains them to operate as FDEs. Here’s what we’ve learned about what works.

Building your FDE bench

Start by identifying the right candidates. Not every strong engineer will make the transition.  Look for experienced software engineers who demonstrate curiosity beyond their technical domain. You want people with foundational strength in core development practices and exposure to data science and cloud architecture. Prior industry expertise is a significant accelerant. Someone who understands healthcare compliance or financial services risk frameworks will ramp faster than someone learning the domain from scratch.

The technical development path has three layers. The foundation is AI and ML literacy: LLM concepts, prompting techniques, Python proficiency, understanding of tokens and basic agent architectures. These are table stakes.

The middle layer is the applied toolkit. Engineers need working competency in three areas that map to the “three hats” an FDE wears.

• First is RAG, or retrieval-augmented generation, knowing how to connect models to enterprise data sources reliably and accurately.
• Second is agentic AI, orchestrating multi-step reasoning and action sequences with appropriate checkpoints and controls.
• Third is production operations, ensuring solutions can be deployed with proper monitoring, guardrails and incident response capabilities.

These skills are developed through building and shipping actual systems that have to survive contact with real-world risk requirements.

The advanced layer is deep expertise: model internals, fine-tuning, the kind of knowledge that allows an FDE to troubleshoot when standard approaches fail. This is what separates someone who can follow a playbook from someone who can improvise when the playbook doesn’t cover the situation. It is also someone who can explain to a skeptical CISO why a particular approach is safe to deploy.

Professional capabilities are equally as important as technical training and can be harder to develop. FDEs must learn to reframe conversations, to stop talking about technical agents and start discussing business problems and risk mitigation. They must manage high-stakes stakeholder relationships, including difficult conversations around scope changes, timeline slips and the inherent uncertainties of non-deterministic systems. Most importantly, they must develop judgment: the ability to make good decisions under ambiguity and to inspire confidence in executives who are being asked to accept a new kind of technology risk.

Set realistic expectations with your leadership and your candidates. Even with a strong program, not everyone will complete the transition. But even a small cohort of FDE-capable talent can dramatically accelerate your path to overcoming the integration wall. One effective FDE embedded with a business unit can accomplish more than a dozen traditional engineers working in isolation from the business context. That’s because the FDE understands that the barrier was never primarily technical.

The stakes

The enterprises that develop FDE capability will break through the integration wall. They’ll move from impressive demos to production systems that generate real value. Each successful deployment will build organizational confidence for the next. Those that don’t will remain stuck, unable to convert AI investment into AI returns, watching more risk-tolerant competitors pull ahead.

My bet when I joined Andela was that AI would not outpace human brilliance. I still believe that. But humans have to evolve. The FDE represents that evolution: technically deep, commercially minded, fluent in risk and adaptive enough to lead through continuous change. This is the archetype for the AI era. CIOs who invest in building this capability now won’t just keep pace with AI advancement; they’ll be the ones who finally capture the enterprise value that has remained stubbornly hard to reach.

This article is published as part of the Foundry Expert Contributor Network.
Want to join?

I remind CIOs, “You will always be transforming.” Every two years, new business drivers emerge, such as the pandemic from 2020-2022 and automation-driven efficiencies from 2023-2024. We’re now in the gen AI era, where most CIOs are under pressure to shift from driving broad experiments to delivering business value and ROI.

As a result, CIOs need to refocus their strategies and communicate an updated vision for transformation. My 2025 article on what’s in and out for digital transformation stressed the importance of developing transformational leaders and AI-ready employees while avoiding AI moonshots and ending lift-and-shift cloud migrations.

In 2026, experts suggest that CIOs must transform IT, transition AI to customer experience (CX) opportunities, and double down on data governance and security.   

In: Reengineering IT’s digital operating model

In 2025, I wrote about how AI is the end of IT as we know it and how CIOs are rethinking IT for the agentic AI era. World-class IT organizations are setting higher expectations, partnering with departments on AI change management, and committing to lifelong learning.

With all the AI innovations impacting IT, CIOs will need to refocus their digital operating models to deliver more capabilities faster, at lower cost, and with higher resiliency.

Sesh Tirumala, CIO at Western Digital, says, “Velocity gets us ahead, resilience keeps us steady, and adaptability ensures we stay ahead. Direction matters, and in 2026, velocity is the real currency of success.”

How can CIOs aim higher when CEOs and boards are demanding ROI from AI? Jay Upchurch, CIO at SAS, says the best and brightest CIOs will snap up commercial responsibilities. “Top CIOs will sell customers and their divisional peers on technology like CMOs, and answer the constant call to do more with less like CFOs.”

I expect many CIOs will reorganize IT in 2026. Some will be mandated to reduce costs and headcount, while others will drive efficient collaboration in their product management, agile, and DevOps practices. Top CIOs will seek opportunities to guide reorganization across the enterprise as agentic AI creates new workflow patterns and cross-department collaboration opportunities.

“CEOs will conclude that AI adoption is no longer a technology problem but a workforce and management problem,” says Florian Douetteau, co-founder and CEO of Dataiku. “Instead of selling cloud migrations and data platforms, consultants will start selling organizational rewiring to prepare for AI-run operations. This shift creates tension inside enterprises because it surfaces the real blocker: leadership culture, not technology.”

Raja Roy, senior managing partner in the office of technology excellence at Concentrix, adds, “The new priority: operating models that support rapid learning, collaboration, and real-time evolution, keeping the human/AI balance aligned to the right tasks, whether an interaction calls for a human touch or machine efficiency.”

Recommendation: CIOs should review IT’s structure and agile practices to increase the effectiveness of delivering AI innovations and improve operational resilience.

Out: Underinvesting in data governance

Data governance is a critical function in global regulated enterprises, where governance, risk, and compliance (GRC) are critical top-down mandates. Midsize organizations are catching up, as they evolve to data-driven organizations and centralize data for AI initiatives.

While governing relational databases and warehouses is a relatively mature process, deploying agentic AI capabilities requires new tools and practices to extend data governance to unstructured data sources. 

“Unstructured data now moves too fast for manual oversight, and organizations can finally govern it as it’s created instead of cleaning it up later,” says Felix Van de Maele, CEO of Collibra. “In 2026, human judgment still matters, but AI-assisted systems, not spreadsheets or static controls, will carry the day-to-day load.”

Van de Maele suggests that AI-powered metadata generation for unstructured data, with integrated data practices for building reliable AI at scale is in, while CIOs should move away from manual tagging, siloed datasets, and one-time compliance efforts.

Additionally, many data governance leaders must get more granular controls on who gets access to what data. Authorizing users to full datasets and file systems is no longer sufficient as more organizations deploy AI agents on top of whatever data an employee can access.  

“Many organizations do not know where their sensitive data lives, who can access it, or how much is exposed across cloud and SaaS systems,” says Yair Cohen, co-founder and VP of product at Sentra. “Leaders in 2026 will treat governance as an engineering practice by embedding classification, tagging, and access rules directly into data pipelines, warehouses, and AI workflows.”

Recommendation: CIOs should be paranoid about data risks, take a sponsorship role in data governance, and ensure that improving data quality is prioritized in every AI initiative.

In: Targeting AI for growth and UX

In 2025, I warned CIOs about promoting AI as a driver of productivity and efficiency. Eventually, the CFO wants to see ROI, and this is one reason we saw significant technology layoffs in 2025.

I compiled over 50 expert predictions around 2026 on AI, from agentic workflows improving operations through gen AI embedded in customer experiences. I believe AI will have its Uber and Airbnb moment in 2026, as startups revolutionize customer experiences and disrupt slower-moving business-to-consumer (B2C) enterprises.

One easy way to embrace AI-enabled customer experiences is to upgrade call centers and chatbots without major infrastructure investments. Rob Scudiere, CTO at Verint, says, “Brands can layer an AI-powered chatbot onto their existing application instead of replacing an outdated telephony system and interactive voice response (IVR).”

When considering improving customer experiences, Pasquale DeMaio, VP of Amazon Connect, says to embrace systems that leverage AI and human strengths. “In customer support, agentic AI will manage routine requests while human agents will address complex issues with empathy and nuance, guided by AI insights and recommendations.”

CIOs should recognize a paradigm shift in UX, as data entry forms, customer journeys, and prescriptive reports get replaced with agentic AI capabilities. Focusing on AI in customer support is an easy entry point, as the entire customer experience, especially in ecommerce and SaaS tools, requires redesigning with AI capabilities.

“AI agents will become the frontend of the company as the primary starting point for any and all external contact,” says Antoine Nasr, head of AI at Forethought. “End-users will no longer have to try and navigate to the correct department and tool to get the help or information they need — they will simply interact with the company’s public AI agent in natural language. With that, agent design will become a key concern for several functions, not just customer support.”

Recommendation: Product-based IT organizations are a step ahead in anticipating how AI will evolve CX, and they should plan to segment and learn from early AI adopters.  

Out: AI experimentation without paths to short-term business value

Several research reports in 2025 highlighted how few AI experiments are being deployed into production and delivering business value. CEOs and boards will demand that CIOs narrow the portfolio of AI experiments and have real plans to deliver ROI from AI investments.

Conal Gallagher, CISO and CIO at Flexera, says in the next era of AI, execution matters more than experimentation. “CIOs will only continue to face bigger challenges and pressure to move beyond the AI experimentation phase and deliver clear, actionable, and measurable business outcomes.”

AI agents from top enterprise SaaS and security companies follow common patterns. These AI agents focus on a primary employee workflow, connect to multiple data sources, and aim to do more than complete tasks. CIOs will have to demonstrate the business value of how these AI agents guide employees in making smarter, faster decisions and the financial impacts of AI-revolutionized workflows.

“Agentic AI delivers measurable ROI in months, not years, because it replaces entire processes, not just parts of them,” says Luke Norris, co-founder and CEO of KamiwazaAI. “Each successful deployment accelerates the next, creating a self-funding innovation loop. More and more enterprises will be realizing this compounding ROI in the coming 6-12 months.”

Experts offer guidance on transitioning from an experimental to an outcome-based mindset. Kerry Brown, transformation evangelist at Celonis, says after years of big AI investment, it’s time to rethink end-to-end processes rather than just adding more automation on top.

“Leaders need to empower employees with visibility into how work really happens, and give them ownership in redesigning it,” says Brown. “When teams have that context and agency, they become true drivers of transformation and help create a faster, more direct path to ROI.”

Ed Frederici, CTO at Appfire, adds, “What’s out in 2026 is treating AI as a standalone, isolated initiative, and the next wave of digital transformation moves beyond scattered pilots to full operational integration. CIOs will treat AI as core business infrastructure rather than a special project — holding it to the same expectations for accuracy, security, and performance as every other critical system.”

Recommendation: Organizations with too many independently running AI experiments should revisit their AI governance strategy, communicate clear objectives, and prioritize where to build AI delivery plans. 

In: Implementing security before AI deployments

Nearly every transformational technology started with a gold rush to deliver innovations, and bolting on security afterward. CIOs will face pressure to move last year’s AI experiments into production this year, and we’ll have to see to what extent security will be implemented in initial deployments.

Many experts chimed in on where CIO’s need to get ahead of the curve. Here are three recommendations:

• Implement agentic AI observability and trust verification frameworks. “2026 marks a major shift in the threat landscape as agentic commerce takes hold, and in turn, AI-driven deception accelerates,” says Gavin Reid, CISO at HUMAN Security. “CIOs need visibility into how and what AI agents operate across their environments and deploy trust verification frameworks that continuously validate identity, intent, and behavior in real-time.”
• Establish security by design, especially around identity. “A unified identity layer is now a prerequisite for effective AI security implementation and is an urgent priority for any organization making AI investments,” says Ev Kontsevoy, CEO and co-founder of Teleport. “Organizations that embed these secure-by-design practices across development, delivery, and operations, and treat infrastructure security as a necessary mandate, will be best prepared for the transformational changes that AI will introduce.”
• Extend data loss prevention to AI-powered browsers. “AI-powered browsers like OpenAI’s Atlas and Perplexity’s Comet are one of the biggest blind spots in enterprise security,” said Rohan Sathe, co-founder and CEO at Nightfall. “Employees use them to research deals, draft customer outreach, and summarize strategy docs, giving agents with memory and sync direct access to logged-in Gmail, CRM, and code repos. Legacy data loss prevention cannot see this, since it was built for files, not browser-level activity, prompts, or clipboard moves.”

Recommendation: CIOs must partner with CISOs, legal, and risk management to clearly define AI security non-negotiables, platforms, and implementation requirements.

CIOs should expect the unexpected in 2026, whether driven by volatile economic conditions, new AI capabilities, or headline-making security incidents. My back-to-basics recommendations for digital transformation in 2026 aim to guide CIOs toward growth opportunities while improving operational resiliency.

네이버는 이번 C레벨 리더십 체계 개편을 통해 AI 에이전트부터 피지컬 AI, 웹3 등 변화하는 글로벌 환경에 보다 기민하게 대응하고, 신규 사업 모델 발굴과 전략적 글로벌 파트너십 확대에 속도를 낼 계획이다. 아울러 AI를 비롯한 기술의 사회적 영향력이 확대되는 흐름에 맞춰, 기업의 사회적 책임을 한층 강화해 나간다는 방침이다.

먼저, 네이버 주요 서비스 전반에 AI 에이전트 적용을 가속화하고 검색 및 데이터 기술 플랫폼의 통합·고도화를 추진하기 위해 김광현 검색 플랫폼 부문장이 CDO(Chief Data & Contents Officer, 최고 데이터·콘텐츠 책임자)로 선임될 예정이다. 김광현 CDO는 네이버 전반에 축적된 사용자 데이터와 콘텐츠를 유기적으로 결합해 네이버 앱과 주요 서비스 전반에 차별화된 AI 에이전트 경험을 구현하고, 중·장기적인 서비스 경쟁력 강화를 이끌 계획이다.

또한 유봉석 정책/RM 부문장은 신임 CRO(Chief Corporate Responsibility Officer, 최고 책임경영 책임자)로서 급변하는 대외 환경 속에서 회사 전반의 정책 및 리스크 관리 체계를 총괄한다. 이를 통해 네이버가 이해관계자와 사용자 신뢰를 기반으로 사회적 책임을 다하는 플랫폼으로 지속 성장할 수 있도록 관련 정책 운영과 안정적인 서비스 환경 구축을 추진할 예정이다.

아울러 회사와 구성원의 성장을 지원하는 인사 운영 체계를 마련하기 위해 황순배 HR 부문장이 CHRO(Chief Human Resources Officer, 최고 인사 책임자)로 선임될 예정이다. 황순배 CHRO는 기술 환경과 업무 방식 변화에 대응해 전사 인사 전략과 조직 운영 체계를 총괄하며, 중장기 인사 정책 수립과 AI 시대에 부합하는 조직 경쟁력 강화를 주도할 계획이다.

네이버는 보도자료를 통해 “앞으로 C레벨 리더십 중심의 책임경영 체제 하에서 쇼핑, 금융, 클라우드, AI 등 다양한 사업 및 기술 영역에서 ‘팀 네이버’의 역량을 유기적으로 결합해 ‘에이전트 N’을 중심으로 AI 경쟁력을 한층 고도화하고, 새로운 글로벌 사업 기회 발굴과 도전을 이어갈 것”이라고 밝혔다.

한편, 새롭게 선임되는 C레벨 리더는 오는 2월 1일자로 공식 취임하며, 새로운 리더십 체계에 따른 세부 조직 개편은 순차적으로 진행될 예정이다.
jihyun.lee@foundryco.com

수십 년 동안 IT 운영 매뉴얼은 대개 50페이지 분량의 빽빽한 PDF 문서였다. 사람이 만들고 사람이 읽도록 설계된 문서는, 감사가 필요해질 때까지 디지털 저장소 어딘가에서 방치되는 경우가 대부분이었다. 그러나 2026년에 접어든 지금, 전통적인 SOP는 사실상 수명을 다한 상태다. 이제 이 매뉴얼의 주된 사용자가 사람이 아니기 때문이다.

시스템은 점점 더 에이전트 기반으로 진화하고 있다. 단순히 대시보드를 감시하는 수준을 넘어, 스스로 사고하고 계획하며 인프라 내 변경을 실행하는 자율형 에이전트가 배치되고 있다. 이들 에이전트는 PDF 문서를 읽을 수 없고, 법률 용어로 작성된 보안 정책의 취지를 해석하지도 못한다. 자율형 IT 시대에 통제력을 유지하려면 고정된 규칙에 머무르지 않고 ‘에이전트 헌법’, 즉 앤트로픽이 제시한 ‘헌법 중심 AI(Constitutional AI)’를 기업 환경에 적용해야 한다. 이는 AI의 문제점을 AI가 스스로 검증하고 고치기 위한 시스템을 의미한다.

문서 속 정책에서 코드로 구현된 정책으로

과거 IT 거버넌스는 사후 대응만 가능한 ‘체크리스트’ 방식이었다. 그러나 오늘날 기업은 정책을 코드로 구현하는 ‘PaC(Policy as Code)’로의 전환이 필요하다.

• 전전두엽 역할: 에이전트 헌법은 자율 시스템 기계가 읽을 수 있는 기본 원칙 집합이다.
• 운영 경계: 에이전트가 수행할 수 있는 작업 범위와 절대 넘지 말아야 할 윤리적 한계를 규정한다.
• 실행 가능한 규칙: 코드로 구현된 강제 규칙의 예로는 ‘피크 시간대에는 인간 개입 토큰 없이는 운영 데이터베이스를 수정하지 않는다’와 같은 원칙이 있다.
• LLM 이해 가능성: 이러한 규칙은 실행 가능하며, 오케스트레이션을 담당하는 LLM이 이해하고 활용할 수 있다.

이런 전환은 근본적인 변화를 의미한다. IT 전문가의 역할은 ‘운영자’에서 ‘의도 설계자’로 변화하고 있다. IT 직원은 더 이상 시스템을 직접 조작하는 사람이 아니라, 자율 시스템이 따라야 할 행동 규칙을 설계하는 주체가 되고 있다.

IT 운영을 위한 자율성 계층 구조

기업이 ‘킬 스위치’에 대한 통제권을 유지하면서 AI 역량을 확장하려면, ‘자율성의 계층 구조’에 초점을 맞출 필요가 있다. 이는 1978년 연구자 토머스 셰리던와 윌리엄 버플랭크의 기초 연구에서 제시된 프레임워크에 기반한 개념이다.

1단계: 완전 자율화 영역(가장 쉽게 도입할 수 있는 영역)

• 이는 사람이 개입하는 비용이 해당 작업의 가치보다 더 큰 업무를 의미한다.
• 사례
  • 자동 확장
  • 로그 로테이션
  • 기본 티켓 라우팅
  • 캐시 정리
• 거버넌스: 사전에 정의된 임계값 조건에 따라 동작하는 통제된 자동화 영역(sandbox of trust)에서 관리된다.

2단계: 감독형 자율화 영역(사전 확인 구간)

• 에이전트가 데이터 수집과 문제 원인 분석, 해결 방안 도출 등 핵심 작업을 수행하지만, 최종 실행 단계에서는 사람의 승인, 즉 확인 절차가 필요한 단계다.
• 사례
  • 시스템 패치
  • 사용자 계정 프로비저닝
  • 비중요 설정 변경
• 거버넌스: 에이전트는 해당 조치를 왜 수행하려는지에 대한 판단 근거, 즉 추론 과정을 관리자에게 제시해야 한다.

3단계: 사람 전용 영역

• 어떤 상황에서도 에이전트가 자율적으로 수행해서는 안 되는, 시스템의 존립과 직결된 핵심 작업을 의미한다.
• 사례
  • 데이터베이스 삭제
  • 핵심 보안 설정 우회
  • 에이전트 헌법 자체에 대한 수정
• 거버넌스: 다단계 인증(MFA) 또는 복수 인원의 이중 승인과 같은 강력한 통제 절차를 적용한다.

숨겨진 공격 표면 줄이기

중앙화된 헌법 체계를 구현하면, 중앙 IT의 관리 및 감독 없이 배포되는 섀도우 AI 에이전트로 인한 리스크를 완화할 수 있다.

• 통합 API: 모든 에이전트는 핵심 인프라와 상호작용하기 전에 해당 운영 원칙 체계에 따라 인증을 거쳐야 한다.
• 컴플라이언스 이력: 이를 통해 SOC2나 EU AI 법과 같은 규제 대응에 활용할 수 있는 중앙화된 감사 이력이 생성된다.
• 검증 가능한 의사결정: 자율적으로 내려진 판단과 실행에 대한 검증 가능한 기록을 축적할 수 있다.

기계 중심 세계 속 사람의 목소리

이른바 ‘헌법’은 코드가 아니라, 엔지니어의 경험과 판단이 집약된 사람의 문서다. 따라서 사람의 역할은 여전히 중요하다.

• 의도 설계자: IT 전문가의 역할은 ‘운영자’에서 ‘의도의 설계자’로 변화하고 있다.
• 문화적 전환: IT 팀은 개인이 나서서 문제를 해결하는 방식에서 벗어나, 시스템 중심의 거버넌스 문화로 전환해야 한다.

‘헌법 제정 회의’를 시작할 때

2020년대 후반에도 PDF 형식의 기존 SOP에 의존한다면, IT 운영은 비즈니스의 발목을 잡는 병목으로 전락할 가능성이 크다.

지금 바로 취해야 할 단계는 다음과 같다.

• 레드라인 정의: 수석 아키텍트를 중심으로 3단계 영역의 경계를 명확히 설정한다.
• 자동화 성과 도출: 즉시 자동화가 가능한 1단계 업무를 식별한다.
• 전략에 집중: 사람은 봇을 감시하는 데 시간을 쓰는 대신, 전략과 혁신에 집중하도록 방향을 전환한다.

dl-ciokorea@foundryco.com

우동 브랜드 마루가메제면 등을 운영하는 일본 외식 기업 트리도르홀딩스는 글로벌 시장 확장을 목표로 디지털과 IT 기반의 경영 혁신에 속도를 내고 있다. 이 과정에서 시스템 전면 현대화와 조직 개편, SaaS·AI 활용까지 직접 이끌어 온 CIO 이소무라 야스노리(磯村康典)가 벤더 경험과 경영 시각을 바탕으로 변화에 강한 기업 기반을 구축하는 전략과 철학을 제시했다.

Q(CIO재팬) : 지금까지의 경력에 대해 설명해 달라.
A(이소무라 야스노리) : 커리어는 후지쓰에서 시작했다. 약 7년 동안 주로 공공 부문 시스템을 담당하는 시스템 엔지니어로 일하며 현장에서 기술 역량을 다져왔다.

이후 2000년 소프트뱅크(현 소프트뱅크그룹)로 이직했다. 당시 손정의 회장이 “앞으로는 인터넷 시대”라고 강조하던 시기로, 사내에서는 인터넷 관련 벤처가 잇따라 출범하고 있었다. 그중 하나가 전자상거래 사업으로, 현재의 세븐넷쇼핑이다. 나는 시스템 책임자로 사업 출범에 참여해 약 8년 동안 사업 성장을 뒷받침하는 역할을 맡았다.

다음으로 도전한 곳은 외식 IT 벤처 갈프넷이다. 트리도르홀딩스를 비롯한 주요 외식 체인을 고객으로 둔 회사로, 이곳에서 4년 동안 개발 책임자로 시스템을 이끌었을 뿐 아니라 영업 책임자 역할도 경험했다. 기술뿐 아니라 비즈니스 현장을 직접 움직이는 어려움과 재미를 체감할 수 있었던 점은 큰 수확이었다.

이후 투자회사 오크캐피탈(현 UNIVA·오크홀딩스)로 자리를 옮겨 약 8년간 투자 기업에 핸즈온으로 관여했다. 경영 재건과 기업 가치 제고를 추진했고, 경우에 따라서는 직접 대표이사를 맡는 등 경영 전반에 깊이 관여하는 경험을 쌓았다. 이 시기에 형성된 ‘사업을 어떻게 재정비하고 성장으로 이끌 것인가’라는 관점은 지금의 중요한 자산이 되고 있다.

그리고 2019년 트리도르홀딩스 CIO로 부임했다. 어느덧 6년이 지난 현재, 벤더로서 축적한 지식과 사업회사에서의 경험, 경영자로서의 시각을 모두 활용해 사업 성장을 견인하는 CIO로서 도전을 이어가고 있다.

Q : 지금까지의 경력 가운데 특히 인상에 남는 일은 무엇인가.
A : 돌아보면 각 업종과 역할마다 큰 도전이 있었다. 처음 SI 업무를 맡았을 때는 얼마나 큰 규모의 프로젝트를 운영할 수 있는지가 성장의 기준이었다. 당시 20대에 800인월(人月, 여러 인력이 수개월 이상 투입돼, 인력 수×투입 개월 수를 합산하면 800에 이르는) 규모의 프로젝트를 맡았는데, 지금 생각해 보면 젊은 시절에 상당히 큰 책임을 맡길 만큼 기회를 주던 회사였다고 느낀다.

소프트뱅크에서는 처음으로 ‘비즈니스를 만든다’는 일에 도전했다. 담당한 것은 현재의 세븐넷쇼핑으로 이어지는 전자상거래 사업이다. 매출이 전혀 없는 상태에서 출발해, 시스템 책임자로서 사업이 약 200억 엔 규모로 성장하는 과정을 뒷받침했다. 단순한 시스템 개발이 아니라, 비즈니스 성장과 직접적으로 연결된 경험이었다는 점에서 커리어 전반에 매우 큰 의미를 남겼다.

현직인 트리도르홀딩스 CIO로서 처음 맡은 큰 과제는 전사 시스템의 전면적인 현대화였다. 부임 이후 약 6년에 걸쳐 추진해 왔고, 이제 모든 교체 작업이 마무리 단계에 이르고 있다.

당초에는 3년 내 완료를 목표로 했지만, 사내 사정과 기존 구조를 세심하게 고려하며 진행할 필요가 있었다. 그 결과, 속도보다 완성도를 택해 시간이 걸리더라도 확실히 끝내는 방향으로 추진하게 됐다.

프로젝트의 출발점은 ‘시스템이 몇 개나 있는지를 파악하는 것’이었다. 처음 점검했을 때 약 180개의 시스템이 존재했고, 이후 업무 목적에 따라 재정리하며 통합을 진행했다. 그 결과 현재는 약 40개 수준까지 대폭 줄일 수 있었다.

이 과정을 돌아보면, 시스템 자산 정리부터 현대화까지 전 과정을 직접 이끌어 온 경험은 CIO로서 가장 처음에 도전하기에 걸맞은 과제였다고 생각한다.

Q : 가장 어려웠던 경험은 무엇인가.
A : 가장 신경을 많이 쓴 일은 트리도르홀딩스에서 추진한 업무 조직 개편이었다. 구체적으로는 트리도르그룹의 본사 업무를 지주회사와 쉐어드서비스 회사(그룹 공통 관리·운영 업무를 통합 수행하는 조직)로 역할을 나눠 재구성했다. 이후 회계·인사·IT 운영 등 반복적인 관리 업무를 내부 조직이 아닌 외부 전문 위탁업체(Business Process Outsourcing, BPO)에 맡기는 방식으로 운영 구조를 바꿨다.

사내에서 수행하던 업무를 외부로 옮기는 과정은 대담하면서도 매우 섬세한 조정이 필요한 프로젝트였다. 우선 IT 부문부터 착수했는데, 이 과정이 가장 어려웠다.

당시 나는 쉐어드서비스 회사의 대표를 겸임하며 최대 약 180명의 인력을 이끌고 있었다. 이 조직에는 IT 운영팀뿐 아니라 회계 기장을 담당하는 재무 조직, 급여 계산을 맡은 인사 조직 등 이른바 오퍼레이션 기능이 집약돼 있었다. 전략 수립은 지주회사가 맡고, 일상적인 오퍼레이션은 하나로 묶어 관리하는 체제를 갖추고 있었으며, 이 가운데 일부 업무를 단계적으로 분리해 외부로 이전하는 것이 당시 맡은 역할이었다.

당연히 기존 업무를 수행하던 인력의 다음 커리어를 어떻게 설계할지가 큰 과제가 됐다. 트리도르는 효고현 가코가와시에서 창업해 이후 고베시에 본사를 두고 있었고, 당시 쉐어드서비스 회사의 거점 역시 고베에 있었다.

시부야 본사로 이동이 가능한 인력에게는 지주회사 업무를 제안했지만, 가정 사정 등으로 전근이 어려운 경우도 적지 않았다. 이런 경우에는 BPO 벤더로 전적해 기존과 같은 업무를 이어가도록 하거나, 트리도르그룹 매장으로 활동 무대를 옮기는 방안을 제시했다. 나는 구성원 한 사람 한 사람과 면담을 거듭하며 다음 진로를 함께 결정해 나갔다.

물론 이 과정은 혼자서 감당할 수 있는 일이 아니었다. 부장과 관리직의 협조를 얻어 직원들과 진지하게 대화를 이어가며 추진했다. 최종적인 목표는 각자가 새로운 환경에서도 장기간 역량을 발휘할 수 있도록 하는 것이었다. 회사 차원의 방침은 분명했지만, 최대한 구성원들이 납득할 수 있는 결론에 이르는 것이 당시 스스로에게 주어진 가장 큰 책임이었다고 본다.

Q : 특히 기억에 남는 말이나 사건이 있는가.
A : 크게 두 가지가 있다. 첫 번째는 세븐넷쇼핑 출범에 관여하던 시기의 경험이다. 당시 세븐&아이홀딩스 회장이었던 스즈키 도시후미의 말을, 당시 상사이자 회장의 아들인 스즈키 야스히로로부터 전해 들은 적이 있다.

한 번은 “사람들 앞에서 이야기할 때 어떻게 하면 긴장하지 않을 수 있느냐”고 물었는데, “무리해서 잘난 척하지 말고, 모르는 것은 이야기하지 않으며, 알고 있는 것만 말하면 긴장하지 않는다”는 답을 들었다. 모르는 것은 모른다고 말하면 된다는 이야기였다. 있는 그대로, 과장하지 않고 말하는 사람이야말로 결국 성과를 만들어 간다는 점을 강하게 느꼈다.

두 번째는 같은 시기, 세븐넷쇼핑이 야후의 자회사 사업이었을 때의 경험이다. 당시에는 인터넷이 아직 본격적인 비즈니스로 자리 잡기 전이었고, 일본에서는 야후가 앞서 있었으며 구글이 막 진입하던 시기였다.

이용자가 급증하면서 서버가 혼잡해지고 시스템이 한계에 부딪히는 상황이 자주 발생했는데, 그때 당시 야후 대표였던 이노우에 마사히로로부터 “인터넷 비즈니스에서는 사용자가 늘어나면 서버를 증설하는 것이 기본 원칙”이라는 말을 들었다. 그 한마디에 큰 깨달음을 얻었다.

기존 엔터프라이즈 환경에서는 값비싼 자원을 어떻게 최적화해 끝까지 활용할 것인가가 기본적인 사고방식이었다. 나는 역시 제한된 자원을 효율적으로 쓰는 것이 당연하다고 여겨 왔다.

하지만 인터넷의 세계에서는 저렴한 서버를 추가해 확장하는 것이 자연스러운 선택이었다. 투자를 전제로 한 스케일아웃 문화가 뿌리내려 있었고, 추가 투자가 불가능하다면 인터넷 비즈니스 자체가 성립하지 않는다는 인식이 자리 잡고 있었다.

이러한 사고방식의 차이는 매우 충격적이었다. 엔터프라이즈 기술과 인터넷 기술 사이의 본질적인 차이를 분명하게 체감한 순간이었고, 그 간극은 지금도 완전히 메워지지 않은 채 남아 있다고 느끼고 있다.

Q : CIO로서 어떨 때 보람을 느끼는가.
A: 회사의 방향성을 빠르게 실현할 수 있는 기반을 마련할 때 CIO로서의 보람을 느낀다. 그런 면에서 트리도르의 목표는 고객에게 감동적인 경험을 제공하는 것이다. 그 최전선에는 매장에서 일하는 직원과 이를 뒷받침하는 매니지먼트가 있다. 다만 사람의 힘에만 의존하는 데에는 한계가 있기 때문에, 이들을 뒤에서 어떻게 지원할지가 중요하다. 변화에 신속히 대응할 수 있는 비즈니스 기반을 갖추는 것이야말로 CIO로서의 가장 큰 보람이다.

IT 부서가 자체 논리만으로 움직여서는 의미가 없다. 중요한 것은 IT가 비즈니스에 얼마나 기여하고 있는지, 그리고 변화에 얼마나 유연하게 대응할 수 있는 기반을 구축했는지다.

예를 들어 사업 확장을 고민할 때는 업태가 늘어날 경우 하나의 구조로 대응할지, 여러 구조를 조합할지에 대한 설계 판단이 필요하다. 서버를 늘릴 것인지, 한 대를 대형화할 것인지와 같은 스케일아웃과 스케일업 선택도 마찬가지다. 이런 아키텍처를 검토하는 과정 자체가 매우 흥미로운 영역이다.

또 지금처럼 변화가 잦은 시대에는 경영진이 기존 방침을 바꾸는 일도 발생한다. 이때 대규모 투자를 이유로 시스템을 포기하지 못하는 상황은 바람직하지 않다. 그래서 가능한 한 구독형 서비스, 즉 SaaS를 적극 활용하고 있다. 특히 유연성이 요구되는 백오피스 영역은 SaaS를 조합하는 편이 리스크를 줄일 수 있다.

이러한 판단을 뒷받침하는 것은 엔지니어로서의 경험과 사업 경영에 직접 관여했던 경험이다. 기술을 충분히 이해하지 못하면 최적의 선택을 할 수 없고, 경영 관점이 없으면 비즈니스를 어떻게 지원할지에 대한 답도 나오지 않는다. 이 두 가지를 함께 활용해 사고할 수 있다는 점이 CIO 역할의 가장 큰 즐거움이다.

사실 IT 벤더 시절부터 앞으로는 SaaS가 필수가 될 것이라고 생각해 왔다. 당시에는 제안하더라도 사용자 기업이 채택하지 않으면 실행으로 이어지지 않았지만, CIO가 된 이후에는 스스로 결정해 실행할 수 있다는 점을 실감했다. 이는 매우 큰 차이이며, 사업회사로 자리를 옮겼기에 가능해진 도전이다.

트리도르그룹은 변화를 두려워하지 않고 진화를 거듭해 온 기업이다. 그 덕분에 급성장을 이뤘고, 격변하는 환경 속에서도 대응해 올 수 있었다. 이 강점은 반드시 지켜야 한다고 보고, 시스템 기반을 전면적으로 SaaS 중심으로 전환하는 작업을 추진해 왔다.

SaaS 벤더의 제품 뒤에는 수많은 뛰어난 엔지니어가 존재한다. 관점에 따라서는 이들이 모두 회사를 뒷받침하는 외부 인력이라고도 볼 수 있다. 자사 역량에만 의존하지 않고 외부의 힘을 어떻게 조합할지 설계하는 것, 그것이 CIO의 역할이며 나에게 가장 큰 보람이다.

Q : AI 활용에 대해서는 어떻게 보고 있는가.
A: 최근 생성형 AI에 대한 관심이 높아지고 있지만, 트리도르그룹이 집중하고 있는 것은 현장의 생산성을 높이는 AI 활용이다. 생성형 AI는 화이트칼라 업무의 효율화에는 효과적이다. 다만 사업과 직접 맞닿아 있는 현장 업무에서는 즉시 실행 가능하고 실효성이 분명한 AI 활용이 필요한 것 같다.

그 대표적인 사례가 수요 예측이다. 매출과 방문객 수를 AI로 예측함으로써 다음 날 필요한 인력 규모나 식자재 발주량을 보다 효율적으로 산정할 수 있다. 이를 통해 매장 운영 계획이 한층 수월해졌고, 현장의 부담도 크게 줄었다.

또 하나는 얼굴 인식을 활용한 근태 관리다. 트리도르그룹에는 파트타임과 아르바이트 직원이 많아 출퇴근 기록 관리가 중요한 과제였다. 기존의 지문이나 정맥 인식 방식은 물을 자주 사용하는 환경이나 추운 날씨로 인해 예외가 발생하는 경우가 많았지만, 얼굴 인식으로 전환한 이후에는 예외가 거의 발생하지 않고 있다. 인식 속도도 빠르고 마스크를 착용한 상태에서도 즉시 인식할 수 있어, 현장에서는 근태 관리가 훨씬 수월해졌다는 반응이 나온다.

화려해 보이는 기술은 아닐지 모르지만, 이런 접근이 현장의 생산성을 꾸준히 끌어올리고 있다. 이것이 트리도르그룹이 지향하는 AI 활용의 본질이라고 본다.

Q : CIO에게 필요한 자질은 무엇이라고 보는가.
A : 가장 중요하다고 생각하는 것은 ‘각오’다. 물론 한 번 정한 일을 끝까지 해내는 것도 중요하지만, 그에 앞서 무엇을 목표로 하는지 분명히 제시해야 한다. 미래의 모습을 그린 뒤 “이 방향으로 회사를 이끌겠다”고 선언하는 것 자체가 CIO에게는 각오의 표현이라고 본다.

나 역시 DX 비전을 외부에 공개하면서 “이제는 반드시 해내야 한다”는 결심이 섰다. 그렇게 해야 직원과 벤더 모두가 트리도르그룹이 어떤 모습을 지향하는지 이해하고, 같은 방향을 바라보게 된다. 이는 매우 큰 의미를 가진다.

CIO에게는 목표로 하는 모습을 하나의 그림으로 제시하고, 그 비전을 향해 흔들림 없이 나아가는 추진력이 필요하다. 이때 중요한 것이 백캐스트(backcast) 사고, 즉 최종 목표에 도달하기 위해 지금 무엇을 해야 하는지를 거꾸로 계산해 나가는 방식이다. 포어캐스트(forecast) 방식, 다시 말해 현재 상태를 출발점으로 삼아 과제를 하나씩 해결하는 방식만으로는 새로운 가치를 만들어내기 어렵다.

물론 일정 수준의 안정기에 들어서면 포어캐스트 방식의 개선으로 충분한 경우도 있다. 하지만 큰 변화를 만들어야 할 때는 백캐스트 관점에서 과감하게 방향과 경로를 그려야 한다.

그리고 그 과정에서 예상과 현실 사이에 큰 간극이 생긴다면, “이건 아니다”라고 판단하고 과감하게 방향을 전환할 수 있는 결단력까지 갖추는 것, 이것이 CIO에게 요구되는 핵심 자질이라고 본다.

Q : CIO를 꿈꾸는 직원에게 필요한 역량은 무엇인가.
A : 나는 팀원들에게 늘 “장차 CIO나 CTO, 혹은 CDO 같은 역할을 맡을 수 있는 인재로 성장하길 바란다”고 이야기하고 있다. 일본에는 아직 그런 인재가 충분히 많지 않다. 그렇기 때문에 디지털을 비즈니스와 연결하는 가교 역할을 할 수 있는 사람을 더 늘려야 한다고 본다. 젊은 시절부터 이 역할을 목표로 커리어를 쌓아 가길 바란다.

이를 위해 필요한 역량은 크게 세 가지다. 첫 번째는 기초적인 기술 역량이다. 코드를 직접 작성하지 않는 IT 리더도 있지만, 할 수 있다면 그 편이 훨씬 낫다. 나 역시 중학생 때부터 코드를 써 왔다. 프로그래밍 언어도 하나만 아는 것보다 두 가지 이상을 익히면 비교가 가능해지고 이해의 깊이도 달라진다. 이는 이직을 통해 새로운 시야가 열리는 것과 비슷하며, 여러 관점을 갖는 것이 중요하다고 생각한다.

두 번째는 아키텍트로서의 역량이다. 사용자 기업의 CIO는 기존 기술을 어떻게 조합해 자사 비즈니스에 가장 적합한 구조를 만들 것인지를 끊임없이 고민해야 한다. CTO의 역할과 맞닿아 있는 부분도 있지만, 네트워크나 인프라, 클라우드 같은 기초를 이해하지 못하면 최적의 조합을 판단할 수 없다. 시스템 아키텍트로서의 지식과 사고는 필수적이다.

마지막은 커뮤니케이션 역량이다. 프로젝트가 실패하는 이유는 기술 부족보다 소통 부족에서 비롯되는 경우가 훨씬 많다. 나는 평소 일대일 대화를 자주 하는데, 대화 상대는 대표부터 그룹사 임원, 사업회사 경영진까지 다양하다. 이들이 무엇을 하고 싶은지 이해하지 못하면 장기적인 관점의 시스템 설계는 불가능하고, 신뢰할 수 있는 조언자가 되지 못하면 성과도 나오기 어렵다. 이런 역량은 나뿐 아니라 부장급 구성원에게도 요구하고 있다.

기초적인 기술 역량, 아키텍트로서의 설계 역량, 그리고 커뮤니케이션 역량. 이 세 가지는 CIO를 목표로 할 때 반드시 갖춰야 할 자질이다. 특히 B2B 기업일수록 파트너 기업과의 관계가 중요하기 때문에, 젊은 시절부터 이를 강하게 의식하길 권하고 싶다.

Q : 앞으로의 목표는?
A: 우리는 ‘글로벌 푸드 컴퍼니’를 기업 비전으로 내세우고 있다. 목표는 유명한 햄버거 체인이나 커피 체인과 어깨를 나란히 하는, 일본 최초의 ‘세계에서 통하는 외식 기업’이 되는 것이다.

트리도르그룹은 이미 30개국 이상에 진출해 있지만, 모든 국가에서 일본과 동일한 품질을 구현하고 있느냐고 하면 아직 과제가 남아 있다. 이 수준을 어떻게 끌어올릴지가 앞으로의 큰 과제다. 디지털의 힘으로 기준을 맞추고, 새로운 국가로도 보다 쉽게 확장할 수 있는 환경을 만드는 것이 사업 가속으로 이어진다고 본다.

지금까지는 일본 시장에 집중해 왔지만, 앞으로는 글로벌 자회사와 프랜차이즈 파트너에 대해서도 보다 적극적으로 지원해 나갈 생각이다.

물론 모든 것을 일률적인 구조로 적용하는 것은 현실적이지 않다. 제조업처럼 전 세계에 동일한 시스템을 적용하는 방식도 있지만, 외식 산업은 현지 소비자가 실제로 먹어야 가치가 생긴다. 일정한 자율성을 유지하면서도, 트리도르그룹으로서 반드시 지켜야 할 기준을 어떻게 정착시킬지가 중요하다.

이 과정에서 효과적인 수단이 디지털 기반이다. 기준을 시스템에 녹여 두면, 의식하지 않아도 자연스럽게 품질과 운영 기준이 유지된다. 이런 구조를 앞으로 더 늘려 가고자 한다.

다만 과도하게 적용하면 ‘손으로 만들고 갓 조리한다’는 우리의 운영 철학이 약해질 위험도 있다. 그 균형을 어디에 둘 것인지는 쉽지 않은 과제지만, 오히려 그 지점에 재미가 있다고 느낀다.

본사 경영진과 각 사업 책임자들과 지속적으로 논의하며, 각 지역에 맞는 최적의 균형점을 찾아가는 작업을 전 세계로 확대해 나가고 싶다.
dl-ciokorea@foundryco.com

*이 기사는 CIO 재팬에 게재된 원문을 바탕으로 재구성한 것입니다. 원문은 여기서 확인할 수 있습니다.

CIO의 ‘희망 목록’은 늘 길고 비용도 많이 든다. 하지만 우선순위를 합리적으로 세우면, 팀과 예산을 소진하지 않으면서도 급변하는 요구에 대응할 수 있다.

특히 2026년에는 IT 운영을 ‘비용 센터’가 아니라 손익 관점에서 재정의하면서, 기술로 비즈니스를 재창조하는 접근이 필요하다. 액센추어(Accenture)의 기술 전략·자문 글로벌 리드 코엔라트 셸포트는 “최소한의 투자로 ‘불만 꺼지지 않게 유지’하는 데서 벗어나, 기술로 매출 성장을 견인하고 새로운 디지털 제품을 만들며, 새 비즈니스 모델을 더 빠르게 시장에 내놓는 쪽으로 초점을 옮겨야 한다”라고 권고했다.

다음은 CIO가 2026년에 우선순위 상단에 올려야 할 10가지 핵심 과제다.

1. 사이버 보안 회복탄력성과 데이터 프라이버시 강화

기업이 생성형 AI와 에이전틱 AI를 핵심 워크플로우 깊숙이 통합하면서, 공격자 역시 같은 AI 기술로 워크플로우를 교란하고 지식재산(IP)과 민감 데이터를 노릴 가능성이 커졌다. 소비자 신용평가 기업 트랜스유니언(TransUnion)의 글로벌 제품 플랫폼 담당 수석부사장 요게시 조시는 “그 결과 CIO와 CISO는 나쁜 행위자들이 동일한 AI 기술을 활용해 워크플로우를 방해하고, 고객 민감 데이터와 경쟁우위에 해당하는 정보·자산을 포함한 IP를 탈취하려 할 것임을 예상해야 한다”라고 지적했다.

조시는 디지털 전환 가속과 AI 통합 확대로 리스크 환경이 크게 넓어질 것으로 보고, 2026년 최우선 과제로 ‘보안 회복탄력성’과 ‘데이터 프라이버시’를 꼽았다. 특히, “민감 데이터 보호와 글로벌 규제 준수는 협상 대상이 아니다”라고 강조했다.

2. 보안 도구 통합

AI의 효과를 제대로 끌어내려면 기반을 다시 다져야 한다는 주장도 있다. 딜로이트의 미국 사이버 플랫폼 및 기술·미디어·통신(TMT) 산업 리더 아룬 페린콜람은 “필수 조건 중 하나는 파편화된 보안 도구를 통합·연동된 사이버 기술 플랫폼으로 묶는 것인데, 이를 ‘플랫폼화(platformization)’라고 부른다”라고 설명했다.

페린콜람은 통합은 보안을 ‘여러 포인트 솔루션의 누더기’에서 빠른 혁신과 확장 가능한 AI 중심 운영을 위한 민첩하고 확장된 기반으로 바꿀 것이라며, “위협이 정교해질수록 통합 플랫폼이 중요해지며, 도구 난립을 방치하면 오히려 분절된 보안 태세가 공격자에게 유리하게 작동해 위험이 커진다”라고 지적했다. 또 “기업은 날로 증가하는 위협에 직면할 것이며, 이를 관리하기 위해 보안 도구가 무분별하게 확산될 것이다. 공격자가 이렇게 파편화된 보안 태세를 악용할 수 있으므로, 플랫폼화를 늦추면 위험만 증폭될 것”이라고 덧붙였다.

3. 데이터 보호 ‘기본기’ 재점검

조직이 효율·속도·혁신을 위해 새로운 AI 모델 도입 경쟁에 나서고 있지만, 민감 데이터 보호를 위한 기본 단계조차 놓치는 경우가 적지 않다는 경고도 나온다. 데이터 프라이버시·보존 전문업체 도노마 소프트웨어(Donoma Software)의 최고전략책임자 파커 피어슨은 “새 AI 기술을 풀기 전에 민감 데이터를 보호하기 위한 기본 조치를 하지 않는 조직이 많다”라며 2026년에는 “데이터 프라이버시를 긴급 과제로 봐야 한다”라고 강조했다.

피어슨은 데이터 수집·사용·보호 이슈가 초기 학습부터 운영까지 AI 라이프사이클 전반에서 발생한다고 설명했다. 또 많은 기업이 “AI를 무시해 경쟁에서 뒤처지거나 민감 데이터를 노출할 수 있는 LLM을 도입하는 두 가지 나쁜 선택지 사이에 놓여 있다”라고 진단했다.

핵심은 ‘AI를 할 것인가’가 아니라 ‘민감 데이터를 위험에 빠뜨리지 않으면서 AI 가치를 최적화하는 방법’이다. 피어슨은 특히 “데이터가 ‘완전히’ 또는 ‘엔드 투 엔드’로 암호화돼 있다”는 조직의 자신감과 달리, 실제로는 사용 중 데이터까지 포함해 모든 상태에서 연속적으로 보호하는 체계가 필요하다고 주장했다. 프라이버시 강화 기술을 지금 도입하면 이후 AI 모델 적용에서도 데이터 구조화·보안이 선행돼 학습 효율이 좋아지고, 재학습에 따른 비용·리스크도 줄일 수 있다는 설명이다.

4. 팀 정체성과 경험에 집중

2026년 CIO 과제로 ‘기업 정체성’과 직원 경험을 재정비해야 한다는 목소리도 있다. IT 보안 소프트웨어 업체 넷위릭스(Netwrix)의 CIO 마이클 웻젤은 “정체성은 사람들이 조직에 합류하고 협업하고 기여하는 기반”이라며, “정체성과 직원 경험을 제대로 잡으면 보안, 생산성, 도입 등 다른 모든 것이 자연스럽게 따라온다”라고 말했다.

웻젤은 직원들이 직장에서 ‘소비자급’ 경험을 기대한다고 진단했다. 내부 기술이 불편하면 사용하지 않고 우회하게 되며, 그 순간 조직은 보안과 속도를 동시에 잃는다는 지적이다. 반대로 ‘정체성에 뿌리를 둔 매끄러운 경험’을 구축한 기업이 혁신 속도에서 앞서갈 것이라고 내다봤다.

5. 값비싼 ERP 마이그레이션 대응 방안 마련

ERP 마이그레이션은 2026년에도 CIO를 강하게 압박할 전망이다. 인보이스 라이프사이클 관리 소프트웨어 업체 바스웨어(Basware)의 CIO 배럿 쉬위츠는 “예를 들어 SAP S/4HANA 마이그레이션은 복잡하고, 계획보다 길어지면서 비용이 증가하는 경우가 많다”라고 지적했다. 쉬위츠는 업그레이드 비용이 기업 규모와 복잡도에 따라 1억 달러 이상, 많게는 5억 달러까지 뛸 수 있다고 말했다.

또한, ERP가 ‘모든 것을 하려는’ 구조인 만큼, 인보이스 처리처럼 특정 업무를 아주 잘 해내는 데에는 한계가 있다고 말했다. 여기에 수많은 애드온 커스터마이징이 더해지면 리스크가 커진다. 시위츠는 이에 대한 대안으로는 SAP가 강점을 갖는 핵심은 그대로 두고, 주변 기능은 베스트 오브 브리드 도구로 보완하는 ‘클린 코어(clean core)’ 전략을 제시했다.

6. 혁신을 확장할 수 있는 데이터 거버넌스

2026년 혁신을 지속 가능하게 만들려면, 모듈형·확장형 아키텍처와 데이터 전략이 핵심이라는 의견도 나왔다. 컴플라이언스 플랫폼 업체 삼사라(Samsara)의 CIO 스티븐 프란체티는 “혁신이 확장 가능하고 지속 가능하며 안전하게 이뤄지도록 하는 기반을 설계하는 것이 중요한 우선순위 중 하나”라고 말했다.

프란체티는 느슨하게 결합된 API 우선 아키텍처를 구축 중이며, 이를 통해 더 빠르게 움직이고 변화에 유연하게 대응하면서 솔루션 업체와 플랫폼 종속을 피할 수 있다고 설명했다. 워크플로우·도구·AI 에이전트까지 더 역동적으로 바뀌는 환경에서 ‘강하게 결합된 스택’은 확장에 한계가 있다는 판단이다. 또한 데이터는 AI뿐 아니라 비즈니스 인사이트, 규제 대응, 고객 신뢰를 위한 장기 전략 자산이라며, 데이터 품질과 거버넌스, 접근성을 전사적으로 강화하고 있다고 덧붙였다.

7. 인력 전환 가속화

AI 시대 인력 전략은 ‘채용’만으로 해결되지 않는다. 임원 서치·경영 컨설팅 기업 하이드릭 앤 스트러글스(Heidrick & Struggles)의 파트너 스콧 톰슨은 “업스킬링과 리스킬링은 차세대 리더를 키우는 핵심”이라며, “2026년의 기술 리더는 제품 중심의 기술 리더로서, 제품·기술·비즈니스를 사실상 하나로 묶어야 한다”라고 강조했다.

톰슨은 ‘디지털 인재 공장’ 모델을 제안했다. 역량 분류 체계(기술 역량 분류), 역할 기반 학습 경로, 실전 프로젝트 순환을 구조화해 내부에서 인재를 키우는 방식이다. 또한 AI가 활성화된 환경에 맞춰 직무를 재설계하고 자동화로 고도의 전문 노동 의존도를 줄이며, ‘퓨전 팀(fusion teams)’으로 희소 역량을 조직 전반에 확산해야 한다고 설명했다.

8. 팀 커뮤니케이션 고도화

기술 조직에서 불확실성이 커질수록 불안이 확산되고, 그 양상은 개인별로 다르게 나타난다. CompTIA의 최고 기술 에반젤리스트 제임스 스탠저는 “기술 부서에서 불확실성이 미치는 1차 효과는 불안”이라며, “불안은 사람마다 다른 형태로 드러난다”라고 지적했다. 스탠저는 팀원과의 밀착 소통을 강화하고, 더 효과적이고 관련성 높은 교육으로 불안을 관리해야 한다고 제안했다.

9. 민첩성·신뢰·확장성을 위한 역량 강화

AI 자체뿐 아니라, 이를 운영할 수 있는 역량도 2026년 핵심 과제 중 하나다. 보안 솔루션 업체 넷스코프(Netskope)의 CDIO 마이크 앤더슨은 “AI를 넘어 2026년 CIO 우선순위는 민첩성, 신뢰, 확장성을 이끄는 기반 역량을 강화하는 것”이라고 말했다.

앤더슨은 제품 운영 모델(product operating model)이 전통적 소프트웨어 팀을 넘어, IAM, 데이터 플랫폼, 통합 서비스 같은 엔터프라이즈 기반 역량까지 포함하는 형태로 확장될 것이라고 내다봤다. 이때 직원·파트너·고객·서드파티·AI 에이전트 등 ‘인간/비인간 ID’를 모두 지원해야 하며, 최소 권한과 제로 트러스트 원칙을 바탕으로 한 안전하고 적응형 프레임워크가 필요하다고 강조했다.

10. 진화하는 IT 아키텍처

2026년에는 현재의 IT 아키텍처가 AI 에이전트의 자율성을 감당하지 못하는 ‘레거시 모델’이 될 수도 있다. 세일즈포스의 최고 아키텍트 에민 게르바는 “효과적으로 확장하려면 기업은 새로운 에이전틱 엔터프라이즈로 전환해야 한다”라며, 데이터 의미를 통합하는 공유 시맨틱 계층, 중앙화된 지능을 위한 통합 AI/ML 계층, 확장 가능한 에이전트 인력의 라이프사이클을 관리하는 에이전틱 계층, 복잡한 크로스 사일로 워크플로우를 안전하게 관리하는 엔터프라이즈 오케스트레이션 계층 등 4개 계층을 제시했다.

게르바는 이 전환이 “엔드 투 엔드 자동화를 달성한 기업과 에이전트가 애플리케이션 사일로에 갇힌 기업을 가르는 결정적 경쟁력”이 될 것이라고 강조했다.
dl-ciokorea@foundryco.com

2026년을 앞두고 CISO와 끊임없이 진화하는 사이버 공격자 간의 대결이 다시 한 번 격화되는 가운데, 공격자보다 한발 앞서 주도권을 유지하기 위해서는 치밀하게 기획된 강력한 사이버 보안 프로젝트가 효과적인 대응책일 수 있다.

데이터 거버넌스부터 제로 트러스트까지, 향후 1년 동안 모든 CISO가 도입을 검토해볼 만한 핵심 사이버 보안 프로젝트 7가지를 정리했다.

1. AI 시대를 위한 아이덴티티 및 접근 관리 전환

AI와 자동화 기술이 진화하면서 직원의 접근 권한뿐 아니라 AI 에이전트와 머신 프로세스의 아이덴티티까지 관리하는 것이 이제 필수적인 사이버 보안 요소로 자리 잡고 있다. 딜로이트 미국 사이버 아이덴티티 부문 리더인 앤서니 버그는 이러한 변화를 보안의 핵심 과제로 짚었다.

버그는 “특히 에이전틱 AI를 중심으로 한 AI의 빠른 발전이 많은 보안 리더로 하여금 아이덴티티 관리 전략을 다시 생각하게 만들고 있다”라며 “사람과 비인간 아이덴티티를 모두 아우르는 보다 정교한 아이덴티티 거버넌스에 대한 요구가 CISO와 CIO로 하여금 차세대 디지털 전환을 대비한 보안 프레임워크를 재구성하도록 이끌고 있다”라고 설명했다.

그는 생성형 AI와 에이전틱 AI가 새로운 비즈니스 모델과 더 높은 수준의 자율성을 가능하게 하는 만큼, 조직이 아이덴티티 및 접근 관리(IAM) 프로그램을 선제적으로 현대화하는 것이 중요하다고 언급했다. 모든 디지털 아이덴티티 전반의 접근을 보호하는 것은 민감한 데이터 보호와 규제 준수, 운영 효율성 확보를 위해 필수적이라는 설명이다.

버그는 라이프사이클 관리, 강력한 인증, 정밀한 역할 및 정책 기반 접근 제어와 같은 IAM 역량을 고도화하면 비인가 접근을 차단하고 탈취된 자격 증명으로 인한 위험을 줄일 수 있다고 밝혔다.

또한 이러한 통제를 비인간 아이덴티티까지 확장하면 시스템이나 데이터와 상호작용하는 모든 주체를 적절히 관리할 수 있으며, 정기적인 접근 권한 검토와 지속적인 교육을 병행할 경우 정보 보호 수준을 높이고 고도화된 AI 기술을 보다 안전하게 도입하는 데 도움이 된다고 설명했다.

2. 이메일 보안 강화

카네기멜론대학교 CISO인 메리 앤 블레어는 피싱이 여전히 자격 증명을 탈취하고 피해자를 속이는 주요 공격 경로로 활용되고 있다고 설명했다. 그는 위협 행위자들이 메일 서비스 제공업체의 탐지 기능을 효과적으로 회피할 수 있을 만큼 점점 더 정교한 피싱 공격을 만들어내고 있다고 경고했다.

블레어는 “기존의 다중요소 인증 기법은 이제 반복적으로 무력화되고 있으며, 공격자들은 침투에 성공한 이후 이를 빠르게 수익화하는 단계로 이동하고 있다”라고 언급했다.

이처럼 갈수록 대응이 어려워지는 이메일 보안 환경 속에서 블레어는 CISO가 보안 프로젝트를 추진하는 과정에서 외부 전문 조직의 지원을 검토할 필요가 있다고 조언했다. 실제로 그가 접촉한 여러 벤더는 제안요청서(RFP)에 응답하는 한편, 최신 보안 역량을 시험 적용할 수 있도록 테스트 환경을 제공하고 있다고 전했다.

3. AI를 활용한 코드 취약점 탐지

시스코 AI 연구원 아만 프리얀슈는 자원이 제한된 환경에서도 효과적으로 동작할 수 있는 소형 언어 모델(SLM)을 활용해 자율적으로 취약점을 탐색하는 에이전트를 개발하고 있다.

프리얀슈는 사이버 보안이 본질적으로 긴 맥락을 다뤄야 하는 영역이라고 설명했다. 최신 대규모 언어 모델(LLM)이 이를 처리할 수는 있지만, 비용이나 지연 시간 측면에서 상당한 부담이 따른다는 것이다. 그는 “조직의 코드베이스는 보통 수천 개 파일과 수백만 줄의 코드로 구성된다”라며 “특정 취약점을 찾아야 할 때 모든 코드를 대형 모델에 입력하면 감당하기 어려울 정도로 비용이 커지거나, 아예 맥락 한계를 초과하는 문제가 발생한다”라고 밝혔다.

프리얀슈는 이 프로젝트가 대부분의 보안 분석가가 취약점을 찾는 방식과 유사한 접근을 구현하는 데 목적이 있다고 설명했다. 잠재적인 취약 지점을 추론한 뒤 해당 영역을 탐색하고, 관련 코드를 가져와 분석하는 과정을 반복해 약점을 찾아내는 방식이다. 그는 “연구를 통해 이 접근법이 효과적이라는 점은 이미 확인했다”라며 “2026년에는 이를 확장해 실제 환경에서의 적용 가능성을 실질적으로 검증하고자 한다”라고 전했다.

이미 침투 테스터와 보안 연구원들은 생성형 AI를 취약점 탐색에 활용해 왔으며, AI 기반 버그 헌팅은 취약점 발견 속도를 높이는 동시에 그 접근성을 확대하는 흐름을 보이고 있다. 이는 효과적인 버그 바운티 프로그램을 설계하는 기준에도 변화를 주고 있다.

4. 기업 전반의 AI 거버넌스 및 데이터 보호 강화

AI 리스크와 자율형 위협이 사이버 보안 환경을 재편하는 가운데, AI 기반 커뮤니케이션 및 협업 솔루션 기업 고투(GoTo)의 CISO인 아틸라 퇴뢰크는 조직 내 모든 AI 도구를 안전하게 관리·모니터링하는 한편, 승인되지 않은 플랫폼을 차단해 데이터 유출을 방지하는 데 주력하고 있다.

퇴뢰크는 “설계 단계부터 보안을 내재화하는 원칙을 적용하고 사이버 보안을 비즈니스 전략과 정렬함으로써 회복력과 신뢰, 규제 준수를 동시에 구축하고 있다”라며 “이러한 요소는 AI 시대의 핵심적인 차별화 요인”이라고 설명했다. 다만 그는 여느 대규모 보안 이니셔티브와 마찬가지로, 특정 조직이나 부서에 국한된 접근으로는 성공할 수 없다고 경고했다.

그는 “현재와 미래의 성공을 보장하는 실행 방식을 정립하기 위해서는 전사 모든 부서와의 협업이 필요하다”라고 언급했다.

5. 보안 운영 강화를 위한 AI 우선 전략

세일즈 성과 관리 기업 잭틀리(Xactly)의 CISO 매슈 샤프는 수치 분석 결과와 위협 환경 변화 모두가 AI 신뢰를 최우선 과제로 삼아야 함을 보여주고 있다고 설명했다. 그는 자사 보안 운영을 대상으로 크리스텐슨식 분석을 수행한 결과, 증적 수집과 경보 검증, 규제 준수 보고와 같은 업무를 포함해 전체 기능적 작업의 약 67%가 기계적 성격을 띠며 자동화가 가능하다는 점을 확인했다고 밝혔다.

샤프는 “공격자들은 이미 머신 속도로 AI를 활용해 공격하고 있다”라며 “인간의 속도로 대응하는 방식으로는 AI 기반 공격을 방어할 수 없다”라고 지적했다. 이어 “AI 신뢰를 보안 운영에 적용하면, 기계가 더 효율적으로 수행할 수 있는 작업을 인간 분석가가 처리해야 하는 상황을 피할 수 있고, 동일한 방식으로 대응 역량을 끌어올릴 수 있다”라고 설명했다.

AI가 방어 수단으로서 실질적인 도구로 자리 잡으면서, CISO들은 조직 내 보안 팀 운영 방식 역시 AI의 잠재력을 최대한 활용할 수 있도록 재검토하고 있다.

6. 기본값으로서의 제로 트러스트 모델 전환

소프트웨어 개발 기업 유리스틱(Euristiq)의 CTO 파블로 트히르는 2026년 핵심 프로젝트로 자사 내부 개발과 고객 개발 전반에 제로 트러스트 아키텍처를 구현하는 작업을 꼽았다. 그는 “보안이 중요한 기업과 오랫동안 협력해 왔지만, 2026년에는 시장과 규제 요구 수준이 크게 높아지면서 ‘제로 트러스트 기본값’ 모델로의 전환이 전략적 필수 과제가 될 것”이라고 설명했다.

트히르는 이 프로젝트가 단순히 자사 보안을 강화하는 데 그치지 않는다고 밝혔다. 그는 “고부하 엔터프라이즈 시스템부터 데이터 무결성이 중요한 AI 기반 솔루션에 이르기까지, 고객을 위한 보다 안전한 플랫폼을 구축할 수 있게 될 것”이라며 “인프라와 개발, CI/CD, 내부 도구 전반에 제로 트러스트를 적용함으로써 통합된 보안 기준을 마련하고, 이를 고객 아키텍처에도 이전할 계획”이라고 전했다.

이 이니셔티브는 특정 보안 사고를 계기로 시작된 것은 아니라고 트히르는 설명했다. 그는 “위협 모델이 그 어느 때보다 빠르게 변화하고 있다는 점을 확인했다”라며 “공격은 더 이상 경계에서만 발생하는 것이 아니라, 라이브러리 취약점이나 API, 취약한 인증 메커니즘, 잘못 설정된 권한 등 내부 요소를 통해 점점 더 많이 발생하고 있다”라고 분석했다. 이러한 변화가 접근 방식을 근본적으로 재검토하게 만든 계기라고 밝혔다.

7. 전사 차원의 데이터 거버넌스 강화

엔터프라이즈 데이터·AI·데이터 패브릭 솔루션 기업 솔릭스 테크놀로지스(Solix Technologies)의 총괄 배리 쿤스트는 2026년 우선 과제로 모든 전사 시스템에 걸친 통합 데이터 거버넌스 및 보안 프레임워크 구축을 제시했다. 그는 이 이니셔티브가 많은 조직이 여전히 겪고 있는 섀도 데이터 문제와 일관되지 않은 접근 통제, 규제 준수 공백을 해소하기 위한 목적도 함께 담고 있다고 설명했다.

쿤스트는 “모든 환경에서 데이터 분류와 보호, 모니터링 방식을 표준화하면 추적되지 않는 민감 데이터라는 가장 큰 보안 허점을 줄일 수 있다”라며 “이 프로젝트는 가시성을 높이고 정책 기반 통제를 강화해 멀티클라우드 환경에서의 노출을 줄이는 방식으로 보안 수준을 끌어올릴 것”이라고 언급했다.

그는 고객들이 급격한 데이터 증가와 새로운 규제 요구에 압도되는 상황을 목격한 이후 이번 프로젝트를 추진하게 됐다고 밝혔다. 현재 보안 및 클라우드 엔지니어링 팀이 주요 기술 파트너와 협력하고 있으며, 2026년 3분기 도입을 목표로 준비가 진행 중이라고 전했다.
dl-ciokorea@foundryco.com

For decades, the IT operations manual was a dense, 50-page PDF — a document designed by humans, for humans, and usually destined to gather digital dust until an audit required its retrieval. But as we enter 2026, the traditional standard operating procedure (SOP) is officially on life support. Humans are no longer the primary users of their own manuals.

Our systems are becoming agentic, deploying autonomous agents that don’t just monitor dashboards but actively “think,” plan, and execute changes within our infrastructure. These agents cannot read a PDF, nor can they “interpret the spirit” of a security policy written in legalese. If you want to maintain control in an era of autonomous IT, you must move beyond static guardrails and adopt an Agentic Constitution, which is the enterprise application of Constitutional AI, a term pioneered by Anthropic.

From policy on paper to policy as code 

In the past, IT governance was a reactive “check-the-box” exercise. The modern enterprise must shift toward Policy as Code (PaC).

• The pre-frontal cortex: An Agentic Constitution is a machine-readable set of foundational principles for your autonomous systems.
• Operational boundaries: They define what an agent can do and the ethical boundaries it must never cross.
• Actionable rules: An example of an encoded hard rule is: “Never modify production data during peak hours without a human-in-the-loop token”.
• Understandable by LLMs: These rules are actionable and understandable by the models powering your orchestration.

This shift represents a fundamental transformation: the role of the IT professional is moving from “Operator” to “Architect of Intent”. IT professionals are no longer the ones turning the wrenches; they are the ones writing the rules of engagement.

The hierarchy of autonomy: A framework for IT ops 

To scale AI capabilities without ceding total control of the “kill switch”, enterprises should adopt a hierarchy of autonomy, a framework credited to the foundational work of Thomas Sheridan & William Verplank (1978).

Tier 1: Full autonomy (the low-hanging fruit) 

• Description: Tasks where the cost of human intervention exceeds the value of the task.
• Examples: 
  • Auto-scaling 
  • Log rotation 
  • Basic ticket routing 
  • Cache clearing 
• Governance: Defined by threshold-based triggers within a “sandbox of trust”.

Tier 2: Supervised autonomy (the ‘check-back’ zone) 

• Description: Agents perform heavy lifting — gathering data and identifying fixes — but require a “human nod” before final execution.
• Examples: 
  • System patching 
  • User provisioning 
  • Non-critical configuration changes 
• Governance: Agents must present a “reasoning trace” to the admin explaining why the action is being taken.

Tier 3: Human-only (the red line) 

• Description: “Existential” actions that no agent should ever perform autonomously.
• Examples: 
  • Database deletions 
  • Critical security overrides 
  • Modifications to the Agentic Constitution itself 
• Governance: Multi-factor authentication (MFA) or multi-person “dual-key” approvals.

Reducing the ‘hidden attack surface’ 

Implementing a centralized constitution helps mitigate the risks of shadow AI agents — autonomous tools deployed without central IT oversight.

• Unified API: Any agent must “authenticate” against the constitution before it can interact with core infrastructure.
• Compliance history: This creates a centralized audit trail invaluable for compliance frameworks like SOC2 or the EU AI Act.
• Verifiable decision-making: You are building a verifiable history of autonomous decision-making.

The human voice in a machine world 

The “Constitution” is a human document representing the collective wisdom of your engineers.

• Architects of intent: The role of the IT professional shifts from “Operator” to “Architect of Intent”.
• Cultural shift: IT teams must move away from “hero culture” firefighting toward a culture of systemic governance.

Conclusion: Starting your constitutional convention 

If you rely on human-readable SOPs in the second half of the decade, your IT operations will become a bottleneck for the business.

Steps to take this quarter:

• Identify red lines: Gather lead architects to define your Tier 3 boundaries.
• Map automated wins: Identify Tier 1 tasks for immediate automation.
• Focus on strategy: Ensure humans focus on strategy and innovation, not babysitting a bot.

This article is published as part of the Foundry Expert Contributor Network.
Want to join?

I’m not normally fond of year-end technology retrospectives, but 2025 was indeed a year of quantum leaps in the art of the possible and it has filled us all with measured optimism paired with some healthy and well-earned skepticism where AI is concerned. When I put architecture in perspective, I’m inclined to take a longer view of automation in all its variations over a decade. That’s why 2025 feels more like a footnote in a long series of events culminating in the perfect storm of opportunities we’ve been contemplating for some time now.

The composable infrastructure revolution

We’ve been moving toward self-aware, composable infrastructure in architecture for a while now and infrastructure-as-code was merely the first major inflection.

Let’s be honest, the old way of building IT infrastructure is breaking down. As an enterprise architect, the vicious cycle is very familiar. Tying agentic architecture demand-patterns to legacy infrastructure without careful consideration is fraught with peril. The old pattern is really predictable now: You provision systems, maintain them reactively and eventually retire them. Rinse and repeat.

That model is now officially unsustainable in the age of AI. What’s taking its place? Composable and intelligent infrastructure that can proactively self-assemble, reconfigure and optimize on the fly to match what the business needs.

For IT leaders, this shift from rigid systems to modular, agent-driven infrastructure is both a breakthrough opportunity and a serious transformation challenge. And the numbers back this up: the global composable infrastructure market sits at USD $8.3 billion in 2025 and is projected to grow at 24.9% annually through 2032.

What’s driving this hyper-accelerated growth? Geopolitical disruptions, supply chain chaos and AI advances are reshaping how and where companies operate. Business environments are being driven by reactive and dynamic agentic experiences, transactions and digital partnerships everywhere, all the time. Static infrastructure just can’t deliver that kind of flexibility based on marketing exercises that describe solution offerings as “on-demand,” “utility-based,” “adaptive” and “composable.” These are little more than half-truths.

A 2025 Forrester study commissioned by Microsoft found that 84% of IT leaders want solutions that consolidate edge and cloud operations across systems, sites and teams. As an architect in the consumer goods space, I found that our IT team would produce endless slide decks about composable enterprises ad nauseam, but infrastructure-as-code was the level of actual capability for some time.

Leaders wanted composable architecture that can pull together diverse components without hyperextended interoperability efforts. IBM’s research reinforces this, showing that companies with modular architectures are more agile, more resilient and faster to market — while also reducing the technical debt that slows everyone down.

The problem has been one of capacity and fitness for purpose. Legacy infrastructure and the underlying systems of record simply weren’t designed with agentic AI patterns in mind. My conversations with pan-industry architecture colleagues reflect the same crisis of expectation and resilience around agentic architectures.

Consider McKinsey’s 2025 AI survey that demonstrated 88% of organizations now use AI regularly in at least one business function and 62% are experimenting with AI agents. But most are stuck in pilot mode because their infrastructure can’t scale AI across the business.

If there are any winners in this race, they’ve broken apart their monolithic systems into modular pieces that AI agents can orchestrate based on what’s actually happening in real time.

AI agents: The new orchestration layer

So, what’s driving this shift? Agentic AI — systems that understand business context, figure out optimal configurations and execute complex workflows by pulling together infrastructure components on demand. This isn’t just standard automation following rigid, brittle scripts. Agents reason about what to assemble, how to configure it and when to reconfigure as conditions change.

The adoption curve is steep. BCG and MIT Sloan Management Review found that 35% of organizations already use agentic AI, with another 44% planning to jump in soon. The World Economic Forum reports 82% of executives plan to adopt AI agents within three years. McKinsey’s abovementioned State of AI research further highlights agentic AI as an emerging focus area for enterprise investment and describes AI agents as systems that can plan, take actions and orchestrate multi-step workflows with less human intervention than traditional automation.

As McKinsey puts it: “We’re entering an era where enterprise productivity is no longer just accelerated by AI — it’s orchestrated by it.” That’s a fundamental change in how infrastructure works.

IBM is betting big on this future, stating that “the future of IT operations is autonomous, policy-driven and hybrid by design.” They’re building environments where AI agents can orchestrate everything — public cloud, private infrastructure, on-premises systems, edge deployments — assembling optimal configurations for specific workloads and contexts. The scope of automation ranges from helpful recommendations to closed-loop fixes to fully autonomous optimization.

What composable architecture actually looks like

I recall no shortage of Lego-induced architecture references to composability over the last decade. Sadly, we conflated them with domain services and not how business capabilities and automation could and should inform how the Legos are pieced together to solve problems. Traditional infrastructure comes as tightly integrated stacks — hard to decompose, inflexible and reactive. The new composable model flips this, offering modular building blocks that agents can intelligently assemble and reassemble dynamically based on what’s needed right now.

Composability demands modularity and responsive automation

The foundation is extreme modularity — breaking monolithic systems into discrete, independently deployable pieces with clean interfaces. Composable infrastructure lets you dynamically assemble and disassemble resources based on application demands, optimizing how pooled resources get allocated and improving overall efficiency.

This goes far beyond physical infrastructure to include services, data pipelines, security policies and workflows. When everything is modular and API-accessible, agents can compose complex solutions from simple building blocks and adapt in real time.

Bringing cloud and edge together

Enterprise organizations are no longer treating cloud and edge as separate worlds requiring manual integration. The new approach treats all infrastructure — from hyperscale data centers to network edge — as a unified resource pool that agents can compose into optimal configurations.

McKinsey identifies edge-cloud convergence as essential for agentic AI: “Agents need real-time data access and low-latency environments. Combining edge compute (for inference and responsiveness) with cloud-scale training and storage is essential.” They further highlight how Hewlett Packard Enterprise (HPE) expanded its GreenLake platform in late 2024 with composable infrastructure hardware for hybrid and AI-driven workloads — modular servers and storage that let enterprises dynamically allocate resources based on real-time demand.

Agents running the show

Even IBM with its storied fixed-infrastructure history is all-in on agentic AI infrastructure capabilities — including agents and Model Context Protocol (MCP) servers — across its portfolio, making infrastructure components discoverable and composable by AI agents. These agents don’t just watch the infrastructure state; they actively orchestrate resources across enterprise data and applications, creating optimal configurations for specific workloads.

Management interfaces across IBM cloud, storage, power and Z platforms are becoming MCP-compatible services — turning infrastructure into building blocks that agents can reason about and orchestrate. Vendor-native agentic management solutions introduced similar AI-driven orchestration enhancements in 2024, letting large enterprises dynamically allocate resources across compute, storage and networking.

Self-aware and self-correcting infrastructure

Instead of manually configuring every component, composable architectures enable intent-based interfaces. You specify business objectives — support 10,000 concurrent users with sub-100ms latency at 99.99% availability — and agents figure out the infrastructure composition to make it happen.

Emerging intelligent infrastructure player Quali describes this as “infrastructure that understands itself” — systems where agentic AI doesn’t just demand infrastructure that keeps up, but infrastructure built from composable components that agents can understand and orchestrate.

Getting scale and flexibility in real time

Traditional infrastructure forces a choice: optimize for scale or build for adaptability. As architects, there are clear opposing trade-offs we must navigate successfully: Scale relative to adaptability, investment versus sustaining operations, tight oversight versus autonomy and process refactoring versus process reinvention.

Composable architectures solve this by delivering both. The dual nature of agentic AI — part tool, part human-like — doesn’t fit traditional management frameworks. People are flexible but don’t scale. Tools scale but can’t adapt. Agentic AI on composable infrastructure gives you scalable adaptability — handling massive workloads while continuously reconfiguring for changing contexts.

Self-composability and evolved governance

Agent-orchestrated infrastructure demands governance that balances autonomy with control. The earlier-mentioned MIT Sloan Management Review and BCG study found that most agentic AI leaders anticipate significant changes to governance and decision rights as they adopt agentic AI. They recommend creating governance hubs with enterprise-wide guardrails and dynamic decision rights rather than approving individual AI decisions one by one.

The answer lies in policy-based composition, defining constraints that bound agent decisions without prescribing exact configurations. Within those boundaries, agents compose and recompose infrastructure autonomously.

When AI agents continuously compose and recompose resources, you need governance frameworks that look nothing like traditional change management. A model registry that includes MCP connects different large language models while implementing guardrails for analytics, security, privacy and compliance. This treats AI as an agent whose decisions must be understood, managed and learned from — not as an infallible tool.

Making it happen in 2026

What should IT leaders do? Here are the most critical moves from my perspective.

Redesign work around agents first. Use agentic AI’s capacity to implement scalability and adapt broadly within parameterized governance automation rather than automating isolated tasks. Almost two-thirds of agentic AI leaders expect operating model changes. Build workflows that shift smoothly between efficiency and problem-solving modes.

Rethink roles for human-agent collaboration. Agents are an architect’s new partner. Reposition your role as an architect in the enterprise to adopt and embrace portfolios of AI agents to coordinate workflows, and traditional management layers change. Expect fewer middle management layers, with managers evolving to orchestrate hybrid human-AI teams. Consider dual career paths for generalist orchestrators and AI-augmented specialists.

Keep investments tied to value. Agentic AI leaders anchor investments to value — whether efficiency, innovation, revenue growth or some combination. Agentic systems are evolving from finite function agents to multi-agent collaborators, from narrow to broadly orchestrated tasks and other ecosystems and agents, and from operational to strategic human-mediated partnership.

The bottom line

The companies that will win in the next decade will recognize composability as the foundation of adaptive infrastructure. When every part of the technology stack becomes a modular building block and intelligent agents compose those blocks into optimal configurations based on real-time context, infrastructure becomes a competitive advantage instead of a constraint.

Organizations that understand agentic AI’s dual nature and align their processes, governance, talent and investments accordingly will realize its full business value. My architect’s perspective is that agentic AI will challenge established management approaches and, yes, even convince many of its ability to defy gravity. But with the right strategy and execution, it won’t just offer empty promises — it will deliver results. Further, our grounded expectations around the capacity of aging infrastructure and legacy demand patterns must guide us in ensuring we make intelligent decisions.

The question isn’t whether to embrace composable, agent-orchestrated infrastructure. It’s how fast you can decompose monolithic systems, build orchestration capabilities and establish the governance to make it work.

This article was made possible by our partnership with the IASA Chief Architect Forum. The CAF’s purpose is to test, challenge and support the art and science of Business Technology Architecture and its evolution over time, as well as grow the influence and leadership of chief architects both inside and outside the profession. The CAF is a leadership community of the IASA, the leading non-profit professional association for business technology architects. 

This article is published as part of the Foundry Expert Contributor Network.
Want to join?

A CIO’s wish list is typically long and costly. Fortunately, by establishing reasonable priorities, it’s possible to keep pace with emerging demands without draining your team or budget.

As 2026 arrives, CIOs need to take a step back and consider how they can use technology to help reinvent their wider business while running their IT capabilities with a profit and loss mindset, advises Koenraad Schelfaut, technology strategy and advisory global lead at business advisory firm Accenture. “The focus should shift from ‘keeping the lights on’ at the lowest cost to using technology … to drive topline growth, create new digital products, and bring new business models faster to market.”

Here’s an overview of what should be at the top of your 2026 priorities list.

1. Strengthening cybersecurity resilience and data privacy

Enterprises are increasingly integrating generative and agentic AI deep into their business workflows, spanning all critical customer interactions and transactions, says Yogesh Joshi, senior vice president of global product platforms at consumer credit reporting firm TransUnion. “As a result, CIOs and CISOs must expect bad actors will use these same AI technologies to disrupt these workflows to compromise intellectual property, including customer sensitive data and competitively differentiated information and assets.”

Cybersecurity resilience and data privacy must be top priorities in 2026, Joshi says. He believes that as enterprises accelerate their digital transformation and increasingly integrate AI, the risk landscape will expand dramatically. “Protecting sensitive data and ensuring compliance with global regulations is non-negotiable,” Joshi states.

2. Consolidating security tools

CIOs should prioritize re-baselining their foundations to capitalize on the promise of AI, says Arun Perinkolam, Deloitte’s US cyber platforms and technology, media, and telecommunications industry leader. “One of the prerequisites is consolidating fragmented security tools into unified, integrated, cyber technology platforms — also known as platformization.”

Perinkolam says a consolidation shift will move security from a patchwork of isolated solutions to an agile, extensible foundation fit for rapid innovation and scalable AI-driven operations. “As cyber threats become increasingly sophisticated, and the technology landscape evolves, integrating cybersecurity solutions into unified platforms will be crucial,” he says.

“Enterprises now face a growing array of threats, resulting in a sprawling set of tools to manage them,” Perinkolam notes. “As adversaries exploit fractured security postures, delaying platformization only amplifies these risks.”

3. Ensuring data protection

To take advantage of enhanced efficiency, speed, and innovation, organizations of all types and sizes are now racing to adopt new AI models, says Parker Pearson, chief strategy officer at data privacy and preservation firm Donoma Software.

“Unfortunately, many organizations are failing to take the basic steps necessary to protect their sensitive data before unleashing new AI technologies that could potentially be left exposed,” she warns, adding that in 2026 “data privacy should be viewed as an urgent priority.”

Implementing new AI models can raise significant concerns around how data is collected, used, and protected, Pearson notes. These issues arise across the entire AI lifecycle, from how the data used for initial training to ongoing interactions with the model. “Until now, the choices for most enterprises are between two bad options: either ignore AI and face the consequences in an increasingly competitive marketplace; or implement an LLM that could potentially expose sensitive data,” she says. Both options, she adds, can result in an enormous amount of damage.

The question for CIOs is not whether to implement AI, but how to derive optimal value from AI without placing sensitive data at risk, Pearson says. “Many CIOs confidently report that their organization’s data is either ‘fully’ or ‘end to end’ encrypted.” Yet Pearson believes that true data protection requires continuous encryption that keeps information secure during all states, including when it’s being used. “Until organizations address this fundamental gap, they will continue to be blindsided by breaches that bypass all their traditional security measures.”

Organizations that implement privacy-enhancing technology today will have a distinct advantage in implementing future AI models, Pearson says. “Their data will be structured and secured correctly, and their AI training will be more efficient right from the start, rather than continually incurring the expense, and risk of retraining their models.”

4. Focusing on team identity and experience

A top priority for CIOs in 2026 should be resetting their enterprise identity and employee experience, says Michael Wetzel, CIO at IT security software company Netwrix. “Identity is the foundation of how people show up, collaborate, and contribute,” he states. “When you get identity and experience right, everything else, including security, productivity, and adoption, follows naturally.”

Employees expect a consumer-grade experience at work, Wetzel says. “If your internal technology is clunky, they simply won’t use it.” When people work around IT, the organization loses both security and speed, he warns. “Enterprises that build a seamless, identity-rooted experience will innovate faster while organizations that don’t will fall behind.”

5. Navigating increasingly costly ERP migrations

Effectively navigating costly ERP migrations should be at the top of the CIO agenda in 2026, says Barrett Schiwitz, CIO at invoice lifecycle management software firm Basware. “SAP S/4HANA migrations, for instance, are complex and often take longer than planned, leading to rising costs.” He notes that upgrades can cost enterprises upwards of $100 million, rising to as much as $500 million depending on the ERP’s size and complexity.

The problem is that while ERPs try to do everything, they rarely perform specific tasks, such as invoice processing, really well, Schiwitz says. “Many businesses overcomplicate their ERP systems, customizing them with lots of add-ons that further increase risk.” The answer, he suggests, is adopting a “clean core” strategy that lets SAP do what it does best and then supplement it with best-in-class tools to drive additional value.

6. Doubling-down on innovation — and data governance

One of the most important priorities for CIOs in 2026 is architecting a foundation that makes innovation scalable, sustainable, and secure, says Stephen Franchetti, CIO at compliance platform provider Samsara.

Franchetti says he’s currently building a loosely coupled, API-first architecture that’s designed to be modular, composable, and extensible. “This allows us to move faster, adapt to change more easily, and avoid vendor or platform lock-in.” Franchetti adds that in an era where workflows, tools, and even AI agents are increasingly dynamic, a tightly bound stack simply won’t scale.

Franchetti is also continuing to evolve his enterprise data strategy. “For us, data is a long-term strategic asset — not just for AI, but also for business insight, regulatory readiness, and customer trust,” he says. “This means doubling down on data quality, lineage, governance, and accessibility across all functions.”

7. Facilitating workforce transformation

CIOs must prioritize workforce transformation in 2026, says Scott Thompson, a partner in executive search and management consulting company Heidrick & Struggles. “Upskilling and reskilling teams will help develop the next generation of leaders,” he predicts. “The technology leader of 2026 needs to be a product-centric tech leader, ensuring that product, technology, and the business are all one and the same.”

CIOs can’t hire their way out of the talent gap, so they must build talent internally, not simply buy it on the market, Thompson says. “The most effective strategy is creating a digital talent factory with structured skills taxonomies, role-based learning paths, and hands-on project rotations.”

Thompson also believes that CIOs should redesign job roles for an AI-enabled environment and use automation to reduce the amount of specialized labor required. “Forming fusion teams will help spread scarce expertise across the organization, while strong career mobility and a modern engineering culture will improve retention,” he states. “Together, these approaches will let CIOs grow, multiply, and retain the talent they need at scale.”

8. Improving team communication

A CIO’s top priority should be developing sophisticated and nuanced approaches to communication, says James Stanger, chief technology evangelist at IT certification firm CompTIA. “The primary effect of uncertainty in tech departments is anxiety,” he observes. “Anxiety takes different forms, depending upon the individual worker.”

Stanger suggests working closer with team members as well as managing anxiety through more effective and relevant training.

9. Strengthening drive agility, trust, and scale

Beyond AI, the priority for CIOs in 2026 should be strengthening the enabling capabilities that drive agility, trust, and scale, says Mike Anderson, chief digital and information officer at security firm Netskope.

Anderson feels that the product operating model will be central to this shift, expanding beyond traditional software teams to include foundational enterprise capabilities, such as identity and access management, data platforms, and integration services.

“These capabilities must support both human and non-human identities — employees, partners, customers, third parties, and AI agents — through secure, adaptive frameworks built on least-privileged access and zero trust principles,” he says, noting that CIOs who invest in these enabling capabilities now will be positioned to move faster and innovate more confidently throughout 2026 and beyond.

10. Addressing an evolving IT architecture

In 2026, today’s IT architecture will become a legacy model, unable to support the autonomous power of AI agents, predicts Emin Gerba, chief architect at Salesforce. He believes that in order to effectively scale, enterprises will have to pivot to a new agentic enterprise blueprint with four new architectural layers: a shared semantic layer to unify data meaning, an integrated AI/ML layer for centralized intelligence, an agentic layer to manage the full lifecycle of a scalable agent workforce, and an enterprise orchestration layer to securely manage complex, cross-silo agent workflows.

“This architectural shift will be the defining competitive wedge, separating companies that achieve end-to-end automation from those whose agents remain trapped in application silos,” Gerba says.

Project managers are doing exactly what they were taught to do. They build plans, chase team members for updates, and report status. Despite all the activity, your leadership team is wondering why projects take so long and cost so much.

When projects don’t seem to move fast enough or deliver the ROI you expected, it usually has less to do with effort and more with a set of common mistakes your project managers make because of how they were trained, and what that training left out. Most project teams operate like order takers instead of the business-focused leaders you need to deliver your organization’s strategy.

To accelerate strategy delivery in your organization, something has to change. The way projects are led needs to shift, and traditional project management approaches and mindsets won’t get you there.

Here are the most common project management mistakes we see holding teams back, and what you can do to help your project leaders shift from being order takers to drivers of IMPACT: instilling focus, measuring outcomes, performing, adapting, communicating, and transforming.

Mistake #1: Solving project problems instead of business problems

Project managers are trained to solve project problems. Scope creep. Missed deadlines. Resource bottlenecks. They spend their days managing tasks and chasing status updates, but most of them have no idea whether the work they manage is solving a real business problem.

That’s not their fault. They’ve been taught to stay in their lane in formal training and by many executives. Keep the project moving. Don’t ask questions. Focus on delivery.

But no one is talking to them about the purpose of these projects and what success looks like from a business perspective, so how can they help you achieve it?

You don’t need another project checked off the list. You need the business problem solved.

IMPACT driver mindset: Instill focus

Start by helping your teams understand the business context behind the work. What problem are we trying to solve? Why does this project matter to the organization? What outcome are we aiming for?

Your teams can’t answer those questions unless you bring them into the strategy conversation. When they understand the business goals, not just the project goals, they can start making decisions differently. Their conversations change to ensure everyone knows why their work matters. The entire team begins choosing priorities, tradeoffs, and solutions that are aligned with solving that business problem instead of just checking tasks off the list.

Mistake #2: Tracking progress instead of measuring business value

Your teams are taught to track progress toward delivering outputs. On time, on scope, and on budget are the metrics they hear repeatedly. But those metrics only tell you if deliverables will be created as planned, not if that work will deliver the results the business expects.

Most project managers are taught to measure how busy the team is. Everyone walks around wearing their busy badge of honor as if that proves value. They give updates about what’s done, what’s in progress, and what’s late. But the metrics they use show how busy everyone is at creating outputs, not how they’re tracking toward achieving outcomes.

All of that busyness can look impressive on paper, but it’s not the same as being productive. In fact, busy gets in the way of being productive.

IMPACT driver mindset: Measure outcomes

Now that the team understands what they’re doing and why, the next question to answer is how will we know we’re successful.

Right from the start of the project, you need to define not just the business goal but how you’ll measure it was successful in business terms. Did the project reduce cost, increase revenue, improve the customer experience? That’s what you and your peers care about, but often that’s not the focus you ask the project people to drive toward.

Think about a project that’s intended to drive revenue but ends up costing you twice as much to deliver. If the revenue target stays the same, the project may no longer make sense. Or they might come up with a way to drive even higher revenue because they understood the way you measure success.

Shift how you measure project success from outputs to outcomes and watch how quickly your projects start creating real business value.

Mistake #3: Perfecting process instead of streamlining it

If your teams spend more time tweaking templates, building frameworks, or debating methodology than actually delivering results, processes become inefficient.

Often project managers are hired for their certifications, which leads many of them to believe their value is tied to how much of and how perfectly they create and follow that process. They work hard to make sure every box is checked, every template is filled out, and every report is delivered on time. But if the process becomes the goal, they’re missing the point.

You invested in project management to get business results, not build a deliverable machine, and the faster you achieve those results, the higher your return on your project investments.

IMPACT driver mindset: Perform relentlessly

With a clear plan to drive business value, now we need to show them how to accelerate. That means relentlessly evaluating, streamlining, and optimizing the delivery process so it helps the team achieve the project goals faster.

Give them permission to simplify. When the process slows them down or adds work that doesn’t add value, they should be able to call it out.

This isn’t an excuse to have no process or claim you’re being agile just to skip the necessary steps. It’s about right-sizing the process, simplifying where you can, and being thoughtful about what’s truly needed to deliver the outcome. Do you really need a 30-page document no one will read, or would two pages that people actually use be enough? You don’t need perfection. You need progress.

Mistake #4: Blaming people instead of leading them through change

A lot of leaders start from the belief that people are naturally resistant to change. When projects stall or results fall short, it’s easy to assume someone just didn’t want to change. Project teams blame people, then layer on more governance, more process, and more pressure. Most of the time, it’s not a people problem. It’s how the changes are being done to people instead of with them.

People don’t resist because they’re lazy or difficult. They resist because they don’t understand why it’s happening or what it means for them. And no amount of process will fix that.

IMPACT driver mindset: Adapt to thrive

With an accelerated delivery plan designed to drive business value, your project teams can now turn their attention to bringing people with them through the change process.

Change management is everyone’s job, not something you outsource to HR or a change team. Projects fail without good change management and everyone needs to be involved. Your teams must understand that people aren’t resistant to change. They’re resistant to having change done to them. You have to teach them how to bring others through the change process instead of pushing change at them.

Teach your project teams how to engage stakeholders early and often so they feel part of the change journey. When people are included, feel heard, and involved in shaping the solution, resistance starts to fade and you create a united force that supports your accelerated delivery plan.

Mistake #5: Communicating for compliance instead of engagement

The reason most project communication fails is because it’s treated like a one-way path. Status reports people don’t understand. Steering committee slides read to a room full of executives who aren’t engaged. Unread emails. The information goes out because it’s required, not because it’s helping people make better decisions or take the right action.

But that kind of communication doesn’t create clarity, build engagement, or drive alignment. And it doesn’t inspire anyone to lean in and help solve the real problems.

IMPACT driver mindset: Communicate with purpose

To keep people engaged in the project and help it keep accelerating toward business goals, you need purpose-driven communication designed to drive actions and decisions. Your teams shouldn’t just push information but enable action. That means getting the right people and the right message at the right time, with a clear next step.

If you want your projects to move faster, communication can’t be a formality. When teams, sponsors, and stakeholders know what’s happening and why it matters, they make decisions faster. You don’t need more status reports. You need communication that drives actions and decisions.

Mistake #6: Driving project goals instead of business outcomes

Most organizations still define the project leadership role around task-focused delivery. Get the project done. Hit the date. Stay on budget. Project managers have been trained to believe that finishing the project as planned is the definition of success. But that’s not how you define project success.

If you keep project managers out of the conversations about strategy and business goals, they’ll naturally focus on project outputs instead of business outcomes. This leaves you in the same place you are today. Projects are completed, outputs are delivered, but the business doesn’t always see the impact expected.

IMPACT driver mindset: Transform mindset

When you help your teams instill focus, measure outcomes, perform relentlessly, adapt to thrive, and communicate with purpose, you do more than improve project delivery. You build the foundation for a different kind of leadership.

Shift how you and your organization see the project leadership role. Your project managers are no longer just running projects. You’re developing strategy navigators who partner with you to guide how strategy gets delivered, and help you see around corners, connect initiatives, and decide where to invest next.

When project managers are trusted to think this way and given visibility into the strategy, they learn how the business really works. They stop chasing project success and start driving business success.

More on project management:

• Project management guide: Tips, strategies, best practices
• What is a project manager? The lead role for project success
• 5 early warning signs of project failure
• 10 project management myths to avoid
• 16 tips for a smooth switch to agile project management
• The 22 best project management tools for business
• Scrum vs. Lean vs. Kanban: Comparing agile project management frameworks
• How to pick the right project management methodology for success
• Agile project management: A comprehensive guide
• 8 common project management mistakes — and how to avoid them
• Top 11 project management certifications for 2017
• 10 traits of highly effective project managers
• 8 goals every project manager should aspire to achieve
• Project management: 7 steps to on-time, on-budget, goal-based delivery

인간은 본능적으로 확실성을 갈망한다. 확실성은 예측 가능성을 만들어주고, 어떻게 하면 성공할 수 있는지를 안다는 점에서 안전감과 안정감을 제공한다.

이러한 본능이 업무 환경으로 이어지는 것은 전혀 놀라운 일이 아니다. 기술과 시장, 나아가 직무 자체까지 빠르게 변화하는 상황에서 직원이 자신의 역할과 책임, 기대치에 대한 명확한 설명을 요구하는 것은 지극히 합리적이다.

확실성을 추구하는 것이 인간의 본성일 수는 있지만, 기술 리더로서 분명히 깨달은 점은 명확한 역할 구분이 해답이 되는 경우는 거의 없다는 사실이다. 우리는 전례 없는 수준의 기술적 불확실성 속에서 일하고 있으며, 업무를 더 세분화해 불확실성을 제거하려 하기보다 이를 감당할 수 있도록 사람과 조직을 준비시키는 데 집중해야 한다.

리더의 관점에서 팀에 제공할 수 있는 가장 가치 있는 자산은 불확실성에서 오는 불편함을 견뎌낼 수 있는 회복탄력성과, 상황이 얼마나 불확실하든 원하는 결과에 집중하면서 창의적으로 사고하고 빠르게 적응할 수 있도록 하는 권한 부여다.

불확실성을 이해하다

불확실성은 두 가지 차원에서 나타난다. 하나는 환경이 얼마나 알 수 있는지, 즉 무엇을 알고 무엇을 모르는지에 관한 문제이며, 다른 하나는 환경이 얼마나 통제 가능한지, 다시 말해 무엇을 할 수 있고 무엇을 할 수 없는지에 대한 문제다.

리더가 대부분의 정보가 이미 알려져 있고 거의 모든 것이 통제 가능하다는 전제 아래 목표를 설정하고 역할을 지정하며 책임을 위임한다면, 자연스럽게 정확한 예측이 가능해야 한다는 기대가 따라붙는다.

그러나 현실은 훨씬 더 복잡하고, 예측 가능성은 갈수록 낮아지고 있다. 비즈니스 환경에서는 어떤 규제가 곧 등장할지, 어떤 기술 발전이 임박해 있는지 알기 어렵고, 경쟁사의 행동은 통제할 수 있는 영역이 아니다.

우리가 경험하는 혼란의 상당 부분은 명확성에 대한 욕구와 구조에 대한 필요를 동시에 충족시키려 하면서, 통제할 수 있는 것에 집중하고 통제할 수 없는 것에는 에너지를 쓰지 말아야 한다는 원칙으로 조직을 운영하려는 시도에서 비롯된다.

통제 가능한 활동을 분리하는 방식은 목표 설정과 역할 정의에는 도움이 되지만, 불확실성 자체를 제거하지는 못한다. 불확실성의 위치를 옮길 뿐이다. 우리가 통제할 수 있는 결과물이나 산출물에 집중할수록, 통제할 수 없는 성과나 결과에는 상대적으로 덜 집중하게 된다. 기업 구조나 프로젝트 팀, 세부적인 역할 설명처럼 불확실성을 줄이기 위해 활용하는 많은 요소는 예측 가능성이 곧 비즈니스 성공으로 이어진다는 환상을 오히려 강화한다.

이 같은 현상은 IT 분야에서 특히 두드러진다. IT 프로젝트는 종종 IT 솔루션을 개발하기 위한 일회성의 독립적인 과제로 취급된다. 이는 통제가 가능하고 성공과 실패로 평가할 수 있는 작업이다. 그러나 근본적인 문제는 프로젝트 관리자가 합의된 범위와 일정, 예산에 맞춰 모든 산출물을 완벽하게 전달했더라도, 해당 솔루션이 실제 비즈니스 가치를 창출하지 못할 수 있다는 점이다. 이는 “수술은 성공했지만 환자는 사망했다”는 표현과 다르지 않다.

이와 대비되는 사례가 위기 관리다. 상황실이나 태스크포스는 불확실성을 관리하기 위해 설계된 구조다. 이 환경에서는 사전에 정해진 역할보다 주도성과 속도가 훨씬 중요하며, 산출물이나 절차 준수보다 성과가 더 큰 의미를 갖는다. 성공 여부는 협업과 정보 공유에 달려 있는 경우가 많고, 이를 위해 참여자들은 기존의 역할과 책임 구분을 내려놓고 불확실성을 받아들여야 한다.

오늘날 조직이 직면한 과제, 특히 AI와 관련된 도전을 헤쳐 나가는 데에는 전통적인 프로젝트 관리 도구가 점점 한계를 드러내고 있다. 불확실성을 다루는 데에는 프로젝트가 아닌 제품을 모델로 한 관리 방식이 더 효과적이다. 목표와 팀을 성과에 더 가깝게 정렬하는 접근으로, 통제력과 책임의 명확성이 줄어들고 개인 성과 평가가 어려워지더라도 감수해야 할 선택이다.

이는 새로운 무언가를 만들어내려는 조직일수록 더욱 중요하다. 혁신에는 다양한 관점과 일정 수준의 생산적인 마찰이 필요하다. 경직된 역할 구조는 새로운 결과물을 만들어내기 어렵기 때문에, 회복탄력성은 조직이 반드시 갖춰야 할 핵심 역량으로 자리 잡아야 한다.

불확실성을 관리하다

필자의 이전 칼럼에서 언급했듯, 최근 비즈니스 리더와 나누는 대화의 90%는 AI 솔루션을 통해 어떻게 매출을 창출할 수 있는지에서 출발한다. 모두가 확실성을 원하지만, AI는 업무 환경에 막대한 불확실성을 가져왔다. 이는 역할의 명확성을 더욱 강화하기보다 회복탄력성의 중요성에 주목해야 함을 다시 한 번 보여준다.

현재 대부분의 IT 팀이 경험하고 있는 AI 도입과 변화 관리의 결과는, 그 규모가 아무리 크고 비즈니스적 효과가 크더라도 본질적으로 불확실하다. 고객 선호의 변화, 시장의 이동, 새로운 기술의 등장은 알 수 없고 통제할 수 없는 변수를 끊임없이 만들어내며, 목표 지점을 계속해서 바꾸고 있다.

핵심은 모든 상황을 예측하는 데 있지 않다. 조직이 피드백을 수집하고 그에 맞춰 계획을 조정할 수 있도록 구조를 설계하는 것이 중요하다. 이는 길을 잘못 들었을 때 새로운 정보를 바탕으로 경로를 재설정하는 내비게이션 시스템과 같다.

이러한 접근이 바로 제품 중심 사고의 근간이다. 최종 사용자로부터의 피드백, 분석 데이터, 시장 신호를 활용해 지속적으로 방향을 조정하며, 체크리스트보다 실제 성과를 우선한다. 이에 따라 성공의 기준도 과업 완료에서 가치 창출로 이동한다.

이 같은 사고방식은 팀이 불확실하고 통제 불가능한 상황을 사전에 회피하거나 과도하게 계획하려 하기보다, 상황이 전개되는 과정에서 이를 관리할 수 있도록 해 조직 전반에 회복탄력성을 내재화한다.

두려움을 제거하다

불확실성에서 느끼는 불편함은 실패에 대한 두려움과 밀접하게 연결돼 있다. ‘이게 잘 안 되면 어떡하지?’라는 질문은 곧 ‘누가 책임을 질 것인가?’라는 의미로 받아들여지기 쉽다.

우리의 뇌는 불확실성에서 오는 불편함과 실패에 대한 두려움을 모두 위협으로 인식하지만, 두 가지는 동일한 개념이 아니다. 하버드경영대학원 노바티스 리더십·경영학 교수인 에이미 에드먼슨은 에머진과 공동 집필한 논문에서 ‘실패가 아니라 두려움이 문제’라고 설명했다.

에드먼슨은 “프로젝트 중심 모델에서는 모든 것이 계획대로 진행될 것이라는 잘못된 믿음에 기반해 실패를 피해야 할 대상으로 인식한다. 이는 위험 회피로 이어진다”라며 “그러나 실패는 적응하고 학습하도록 설계된 시스템 안에서, 현명한 실험의 결과로 발생할 경우 강력한 진보의 동력이 될 수 있다”라고 분석했다.

아이디어를 더 작고 통제 가능한 방식으로 시험하면, 불확실성과 실패가 미치는 영향을 최소화하는 동시에 지속적인 학습과 반복을 극대화할 수 있다. 불확실성을 가장 잘 관리하는 조직은 실패를 단발성의 중대한 사건으로 보지 않고, 변화의 일부로 받아들인다.

불확실성은 본질적으로 부정적인 것이 아니다. 다만 통제하려는 인간의 본능에 도전할 뿐이다. IT 리더가 팀이 불확실성을 저항의 대상이 아니라 하나의 입력값으로 받아들이도록 권한을 부여할수록, 조직은 더 빠르게 사고하고 신속하게 행동하며 추진력을 유지할 수 있다.

불확실성이 일상이 된 오늘날, CIO의 진정한 역할은 불확실성을 제거하는 데 있지 않다. 오히려 그 안에서 팀이 성장하고 성과를 낼 수 있도록 돕는 데 있다.
dl-ciokorea@foundryco.com

에너지 전환 가속, 규제 압박 확대, 글로벌 차원의 운영 효율성 제고 등 여러 요구 사항이 맞물리는 환경에서 디지털 트랜스포메이션은 엑솔룸과 같은 산업·물류 기업에게 전략적 핵심 축이 되고 있다. 현재 11개국에서 연 매출 10억 달러를 기록하는 엑솔룸은 경쟁력을 유지하기 위한 사업 전략을 모색하고 있다.

엑솔룸은 지금까지 휘발유와 디젤 운송, 탄화수소와 각종 화학물질 저장, 항공유 공급에 집중해 왔지만, 청정 연료로의 전환이 본격화되는 흐름 속에서 중대한 전환점을 맞이하고 있다. 엑솔룸 IT 디렉터 알폰소 알바레스는 “앞으로 등장할 새로운 에너지원에 맞춰 기존 인프라를 재활용하는 방법을 배워야 한다”라고 설명했다.

오랜 시간에 걸쳐 진행돼 온 디지털화

과제의 규모는 크지만, 엑솔룸의 디지털화는 새로운 전략이 아니다. 회사는 2000년대 초반부터 플랜트와 파이프라인에 운영 시스템을 도입하며 기술 활용 비중을 본격적으로 높였다. 이후에도 여러 차례 수립된 전략 계획을 통해 플랫폼을 교체하고 시스템을 현대화해 왔다. 알바레스는 “세기가 바뀐 이후 지금까지 지속적으로 이어져온 과정”이라고 언급했다.

현재 엑솔룸은 일상적인 운영의 상당 부분을 중앙에서 자동으로 관리하고 있다. 제품 운송 네트워크와 트럭 적재 터미널은 첨단 기술 시스템을 기반으로 소수 인력만으로 운영된다. 예를 들어 트럭 출입은 자동 번호판 인식 시스템을 통해 관리되며, 운전자는 별도의 인적 개입 없이 시스템 안내에 따라 사용할 호스를 전달받고 적재 완료 시점을 확인한다. 알바레스는 “기술은 엑솔룸에서 특히 사업 실행 측면에서 핵심적인 역할을 하고 있다”라고 말했다.

알바레스에 따르면 엑솔룸에서 활용 중인 기술이 직면한 다음 과제는 성장이다. 계속해서 사업을 확장하고 있는 엑솔룸에서는 기술이 단순히 성장을 따라가는 수준을 넘어 초기 단계부터 이를 뒷받침해야 한다는 설명이다. 그는 “이를 가능하게 하기 위한 의사결정을 내리고 관련 프로젝트를 실행하고 있다”라고 전했다.

기업 성장의 핵심인 글로벌 IT 체계

가장 최근의 전환점은 2020년 팬데믹 이후였다. 영국과 미국을 비롯한 주요 시장에서의 인수합병을 계기로 엑솔룸의 국제 사업이 확대되면서, 회사는 글로벌 IT 조직을 신설하게 됐다. 약 4년 전 엑솔룸에 합류한 알바레스는 “모든 지역, 모든 사업을 포괄할 수 있도록 IT 접근 방식 역시 글로벌 수준으로 확장돼야 한다는 인식이 공유됐다”라고 설명했다.

현재 엑솔룸의 IT 운영 모델은 글로벌 계층과 로컬 계층이 병행되는 이중 구조를 기반으로 한다. 재무, 관리, 인사, 자산 유지보수와 같은 기업 공통 시스템은 글로벌 차원에서 통합 운영하고, 물리적 운영과 밀접하게 연관된 시스템은 현지에 유지해 유연성을 확보하는 방식이다. 알바레스는 이런 아키텍처를 통해 엑솔룸을 여러 개의 소규모 현지 조직이 아닌 하나의 통합된 기업으로 바라볼 수 있다고 설명했다.

IT 조직은 글로벌·로컬 팀을 포함해 약 70명 규모로 구성돼 있으며, 상시적으로 최대 150명의 외부 전문 인력이 이를 지원하고 있다. 스페인에서 자체 소프트웨어를 직접 개발하는 데 초점을 두기보다는, 프로젝트 관리와 기술 파트너가 요구되는 품질과 기능을 충족하는지 관리하는 역할에 집중하고 있다.

사업을 뒷받침하는 AI와 데이터 활용

최근 몇 년간 엑솔룸은 첨단 기술, 특히 AI 활용을 한층 강화해 왔다. 현재 사내 업무 환경과 SAP 내에 코파일럿(Copilot)을 적용해 팀 생산성을 높이고 있다. 알바레스는 “사람들이 더 높은 부가가치 업무에 집중할 수 있도록 시간을 확보하는 것이 목표”라고 말했다.

아울러 AI는 파이프라인 네트워크 내 제품 이동 계획과 같은 핵심 사업 프로세스에도 직접 적용되고 있다. 이는 고도의 수학적 분석이 요구되는 매우 복잡한 시스템이다. 또한 엑솔룸은 자체 AI 거버넌스 체계와 AI옵스(AIOps) 솔루션, 코파일럿도 개발하고 있다.

전통적인 산업 분야에 속해 있음에도 불구하고, 엑솔룸 내부에서는 기술 변화에 대한 뚜렷한 저항이 크지 않다는 평가다. 엔지니어 출신 인력이 조직 전반에 두텁게 포진해 있고, 사업 부문 내부에서 자발적으로 추진되는 이니셔티브가 기술 도입을 자연스럽게 이끌어왔기 때문이다. 여기에 기존 IT 조직과는 별도로 디지털화를 전담하는 조직을 운영하며, 해커톤과 내부 교육 프로그램을 통해 새로운 사용례를 발굴하고 혁신을 확산하고 있다.

재무 관리 현대화

엑솔룸은 글로벌 전략의 일환으로 재무 관리 체계 고도화에도 나섰다. 회사는 컨설팅 기업 올CMS(All CMS)의 지원을 받아 키리바(Kyriba) 자금 관리 플랫폼을 도입하며 관련 시스템을 전면적으로 업데이트했다. 이번 프로젝트는 SAP R/3에서 S/4HANA로 전환하는 과정의 일부로, 사업의 국제화가 진전되는 환경에서 자금 운영을 보다 통합적이고 중앙에서 관리할 필요성에 대응하기 위한 조치다.

S/4HANA 도입 이후에도 알바레스와 IT 팀은 요구되는 수준의 통제와 가시성을 확보하는 데 한계가 있다고 판단했고, 이에 따라 보다 전문적인 솔루션을 검토하게 됐다. 키리바를 도입한 이후에는 자금 포지션 관리가 개선되고 프로세스 자동화가 확대되면서 수작업에 대한 의존도도 줄어들었다.

재무 부서는 해당 도구가 현금 흐름에 대한 가시성을 높이고 보안을 강화하는 동시에, 그룹의 향후 성장을 뒷받침하는 역할도 하고 있다고 평가했다. 알바레스는 “재무 부서 입장에서 개선 효과가 분명하게 나타나고 있어, 앞으로도 솔루션을 계속 발전시키고 더 많은 프로세스를 통합해 나갈 계획”이라고 설명했다.

엑솔룸이 앞으로 최우선으로 삼고 있는 과제는 자체 데이터센터를 단계적으로 종료하는 작업이다. 회사는 2026년 말까지 모든 IT 환경을 멀티클라우드 모델로 운영하는 것을 목표로 하고 있다.

알바레스는 “다국적 성장을 지원할 수 있는 확장성과 신속한 배포가 가능한 시스템이 필요하다”라며, 이번 전환이 그룹의 미래 성장을 지속하기 위한 또 하나의 중요한 단계가 될 것이라고 언급했다.
dl-ciokorea@foundryco.com

La distribución multimarca lleva años viviendo una profunda transformación marcada por la digitalización, la automatización de procesos y la necesidad de dar una respuesta más eficiente a los clientes. En este contexto opera Corver, compañía española con más de 30 años dedicada a la importación y distribución en exclusiva de productos, accesorios y recambios para motocicletas y motoristas de las principales marcas del mercado.

Al igual que muchas compañías del sector, el grupo, que opera a través de diversas empresas en España y Portugal, se enfrenta a un reto doble: mejorar su eficiencia interna y sostener un negocio cada vez más dinámico, apoyado en el comercio electrónico, la gestión inteligente del catálogo y la toma de decisiones basada en datos. Para ello, la organización ha emprendido un proyecto de transformación digital profundo y progresivo que está redefiniendo la manera en la que trabaja.

Según Marc Codina, IT project manager y CTO del grupo Corver, la compañía “se encuentra en una fase de consolidación y escalado”. Durante 2025 han iniciado la unificación del ERP a nivel de grupo, han puesto en marcha un PIM corporativo como fuente única de datos de producto y trabajan en la convergencia del SGA. “El foco ahora está en estabilizar, extraer eficiencias y extender estándares al resto de compañías del grupo”, apunta.

El proceso de transformación digital arrancó formalmente en el año 2023, con una hoja de ruta que fue activándose por fases entre 2024 y 2025. Codina recuerda que el programa nació con cuatro objetivos principales: “Disponer de un dato maestro único en clientes, precios y producto; homogeneizar procesos en toda la organización, desde order-to-cash hasta procure-to-pay; asegurar la escalabilidad del comercio electrónico; y facilitar un reporting directivo en tiempo casi real”. Este enfoque busca eliminar silos y crear un modelo operativo más coherente y medible.

Uno de los proyectos estrella acometidos por la compañía dentro de ese proceso de transformación digital es la estandarización del ERP a nivel de grupo, una iniciativa que ha permitido unificar procedimientos y mejorar el control operativo en distintas áreas, aprovechando todas las capacidades de la solución SAGE X3. En este despliegue, Corver ha colaborado con el integrador Aitana, cuya participación ha sido clave para acompañar el cambio cultural asociado al proyecto. “Su equipo nos ha acompañado con una alta profesionalidad y experiencia, ayudándonos a superar la resistencia natural al cambio que conlleva una transformación tecnológica de este alcance”, explica Codina.  

Más del 95% de los pedidos ya se integran automáticamente en el ERP sin intervención manual, lo que ha permitido optimizar el proceso de compra, reducir errores y duplicidades, disminuir incidencias por recepciones incorrectas y aumentar la visibilidad en la trazabilidad de pedidos e información. Aunque la compañía no aporta cifras exactas de la inversión en este proyecto, según Marc Codina, “se sitúa en seis cifras, con un retorno estimado de entre 18 y 24 meses gracias a la eficiencia y el incremento de conversión en ventas”.

Corver ha tenido que afrontar desafíos como la gobernanza del dato, la normalización de catálogos heredados, la gestión del cambio y la formación de usuarios

Bases sólidas de TI

Todo ese proceso de transformación ha llevado a que, en la actualidad, la base tecnológica de la compañía se sustente en un ERP estandarizado que centraliza procesos financieros y operativos, en un PIM corporativo que actúa como repositorio único de información de producto en varios idiomas y en una plataforma eCommerce B2C y B2B integrada directamente con ambos sistemas. Todo ello se complementa con un sistema de BI que da soporte a modelos semánticos y cuadros de mando corporativos y con soluciones de ITSM para soporte, trazabilidad y gobierno de cambios. Además, según el CTO, la seguridad se ha convertido en un aspecto crítico, donde la organización ha reforzado capacidades con tecnologías como SSO, MFA, hardening y monitorización activa.

Sin embargo, el camino no ha sido sencillo. Corver ha tenido que afrontar una serie de desafíos que han acompañado a la implantación tecnológica, entre ellos la gobernanza del dato, la normalización de catálogos heredados, la gestión del cambio y la formación de usuarios. A esto se suman condicionantes propios del negocio, como la necesidad de ajustar los despliegues a períodos de alta actividad comercial, especialmente durante Black Month (extensión de las ofertas del Black Friday) y Navidad, y la integración con sistemas legacy, donde el SGA ha sido uno de los puntos más exigentes. Codina también subraya la importancia de una disciplina estricta en integración continua y aseguramiento de calidad para evitar retrabajos y mantener la estabilidad operativa.

Un horizonte marcado por la transformación

De cara al futuro, el grupo español se ha fijado nuevos objetivos que consolidan y amplían la transformación ya iniciada. Entre ellos se encuentran la unificación del SGA/WMS, el desarrollo de una experiencia omnicanal real con stock unificado y reglas de precios coherentes, la automatización del ciclo de vida del producto de extremo a extremo, la mejora de las integraciones con herramientas más avanzadas y el refuerzo de la ciberseguridad y la gestión de identidades. En paralelo, Corver continúa incorporando tecnologías avanzadas allí donde tienen impacto directo, desde BI y analítica predictiva hasta IA y machine learning para enriquecimiento de atributos o traducciones asistidas, así como RPA en operaciones de back-office y traducción automática para acelerar la publicación de contenido multilingüe.

En definitiva, Codina define la visión del grupo como “pragmática y sostenida”, basada en seguir midiendo el valor de cada lanzamiento y extender herramientas y estándares a todas las empresas que forman parte del grupo. Todo ello con un objetivo claro: avanzar hacia una estandarización global que combine eficiencia operativa y la flexibilidad que exige el negocio.

금융에서 포트폴리오 관리는 투자자의 재무 목표와 리스크 감내 수준에 맞춘 투자 묶음을 전략적으로 선정하는 일을 뜻한다.

이런 포트폴리오 관리 접근법은 IT가 보유한 시스템 포트폴리오에도 적용할 수 있는데, 여기에 한 가지가 추가돼야 한다. IT는 포트폴리오에 포함된 각 자산의 운영 성능도 함께 평가해야 한다.

오늘날 기업 IT는 레거시, 클라우드 기반, AI 같은 신흥 또는 최첨단 시스템이 뒤섞여 있다. 각 범주에는 미션 크리티컬 자산이 포함돼 있지만, 모든 시스템이 기업에 비즈니스 가치, 재무 가치, 리스크 회피 가치를 제공하는 성능이 동일하지는 않다. 그렇다면, CIO는 IT 포트폴리오의 성과를 어떻게 최적화할 수 있을까?

IT 포트폴리오 가치를 극대화하기 위한 5가지 평가 항목을 살펴본다.

미션 크리티컬 자산

기업이 일상 업무를 수행하는 데 가장 중요한 시스템은 별도 범주로 봐야 한다. 중요 시스템은 쉽게 드러날 수도 있고, 기술 스택 깊숙한 곳에 숨어 있을 수도 있다. 따라서 모든 자산은 얼마나 ‘미션 크리티컬한가’를 평가해야 한다.

예를 들어 ERP 솔루션은 24시간 운영되는 글로벌 공급망과 연동돼 기업 비즈니스 대부분을 좌우하기 때문에 24시간 365일 ‘반드시 필요한’ 시스템이다. 반대로 HR 애플리케이션이나 마케팅 분석 시스템은 직원이 우회 절차로 대응하면 하루 정도 중단돼도 큰 문제가 없을 수 있다.

더 세밀하게는 IT 서버, 네트워크, 스토리지에도 같은 유형의 분석이 필요하다. IT가 반드시 확보해야 하는 리소스는 무엇이며, 잠깐은 없어도 되는 리소스는 무엇인가? IT가 이런 미션 크리티컬 자산을 식별하는 과정에서 최종 사용자 및 경영진과 함께 목록을 재검토해 상호 합의를 확인해야 한다.

자산 활용률

SaaS 인벤토리, 라이선스, 갱신을 관리하는 SaaS 관리 플랫폼 전문업체 자일로(Zylo)는 “SaaS 라이선스의 53%가 평균적으로 미사용 또는 저활용 상태”라고 추정한다. 따라서 휴면 소프트웨어를 찾는 일이 우선 과제여야 한다. 이른바 ‘셸프웨어(Shelfware)’ 문제는 SaaS에만 국한되지 않으며, 레거시 시스템이나 구형 서버와 디스크 드라이브, 사용하지 않지만 비용을 계속 지불하는 네트워크 기술에서도 나타날 수 있다.

셸프웨어는 다양한 형태로 생기는데, IT가 프로젝트에 쫓겨 인벤토리 점검과 노후화 점검을 제대로 못하기 때문이다. 그 결과 오래된 자산은 선반에 올려진 채 자동 갱신된다.

IT 포트폴리오 성과와 수익성을 극대화하려면 셸프웨어 문제를 해결해야 한다. IT가 셸프웨어 평가에 시간을 내기 어렵다면, 컨설턴트를 투입해 자산 사용 현황을 평가하고 전혀 사용하지 않거나 거의 사용하지 않는 자산을 재배치 또는 제거 대상으로 표시할 수 있다.

자산 리스크

IT 포트폴리오의 목표는 현재도 유효하고 앞으로도 오랫동안 유효할 자산을 담는 일이다. 따라서 자산 리스크는 각 IT 리소스별로 평가해야 한다.

솔루션 업체의 서비스 종료나 노후화 위험이 있는가? 솔루션 업체 자체가 불안정한가? IT 부서는 특정 시스템을 계속 운영할 내부 인력을 확보하고 있는가? 예를 들어 COBOL과 어셈블러로 작성한 커스텀 레거시 시스템은 아무리 성능이 좋아도 내부 인력 지속 여부가 핵심 변수일 수 있다. 특정 시스템이나 하드웨어가 운영 비용 측면에서 지나치게 비싸지고 있는가? 기존 IT 리소스는 미래 IT를 채울 새 기술과 통합될 명확한 경로가 있는가?

리스크가 있는 것으로 확인된 IT 자산에 대해서는 ‘리스크’ 상태를 해소하거나 자산을 교체하기 위한 전략을 실행해야 한다.

자산 IP 가치

환대 산업에서 일하는 한 CIO는 호텔 예약 프로그램과 해당 프로그램이 구동되는 메인프레임이 30년 동안 한 번도 멈춘 적이 없다고 자랑했다. 이 CIO는 회사가 사용하는 커스텀 코드와 전용 운영체제를 성공 요인으로 꼽았고, 경영진도 경쟁사 대비 전략적 우위로 평가했다고 말했다.

이렇게 생각하는 CIO는 적지 않다. 자사 비즈니스를 더 낫게 만드는 ‘자체 특제 소스’를 기반으로 운영하는 기업이 많다. IT 특제 소스는 레거시 시스템일 수도 있고 AI 알고리즘일 수도 있다. 이처럼 IT 지식재산(IP)으로 자리 잡은 자산은 IT 포트폴리오에서 보존할 근거가 된다.

자산 TCO와 ROI

모든 IT 자산이 제 몫을 하고 있는가? 현금이나 주식 투자처럼, 관리 대상 기술은 측정 가능하고 지속 가능한 가치를 계속 만들어내고 있음을 보여줘야 한다. IT가 자산 가치를 판단할 때 주로 쓰는 지표는 TCO와 ROI이다.

TCO는 시간이 지나면서 자산 가치가 어떻게 변하는지 가늠하는 지표이다. 예를 들어 데이터센터 신규 서버 투자는 4년 전에 성과를 냈을 수 있지만, 이제 데이터센터에는 구형 기술의 노후 서버 구역이 생겼고 컴퓨팅을 클라우드로 옮기는 편이 더 저렴할 수 있다.

ROI는 새 기술을 도입할 때 사용한다. 지표를 설정해 기술에 투입한 초기 투자가 언제 회수되는지 기준 시점을 정한다. 손익분기점에 도달한 뒤에도 ROI는 계속 측정되며, 기업은 투자에서 새로운 수익성이나 비용 절감이 실제로 나타나는지 확인하려 한다. 하지만 모든 기술 투자가 계획대로 흘러가지는 않는다. 기술 도입을 정당화했던 초기 비즈니스 케이스가 바뀌거나, 예기치 못한 복잡성이 발생해 투자가 손실을 감수해야 하는 사업으로 전락하는 경우가 있다.

TCO든 ROI든 어떤 지표에서 문제가 드러나면, IT 포트폴리오는 손실 자산이나 낭비 자산을 제거하는 방식으로 유지돼야 한다.

IT 포트폴리오 관리의 대원칙 “상시 관리”

IT 포트폴리오 관리는 CIO가 상시 수행해야 할 중요한 업무지만, 실제로는 문제가 발생했을 때 대응하는 방식으로 수행하는 경우가 너무 많다. 예를 들어 사용자 요청이 있을 때만 시스템을 교체하거나, 서버가 고장 나 데이터센터에서 제거해야 할 때 대응하는 방식이다.

CIO가 예산 편성 시기에 상대하는 CEO, CFO 같은 핵심 이해관계자도 도움이 되지 않는 경우가 있다. CEO와 CFO는 새 기술 도입이 얼마나 빨리 ‘본전을 찾는지’에는 관심을 보이지만, IT 포트폴리오 전체 자산의 성과가 어떤지, 가치를 유지하거나 높이기 위해 어떤 자산을 교체해야 하는지 같은 큰 그림을 CIO에게 묻는 경우는 거의 없다고 봐야 한다.

IT 관리 역량을 높이려면 CIO는 포트폴리오 관리 기회를 적극 활용해야 한다. CIO는 회사 IT 자산 포트폴리오를 수립하고, IT 예산에 직접 영향력을 가진 조직 구성원과 정기적으로 자산을 점검하는 방식으로 포트폴리오 관리에 착수할 수 있다.

IT 포트폴리오 관리는 CFO와 CEO에게도 공감대를 형성하기 쉬운데, CFO와 CEO는 비즈니스 관점에서 재무 포트폴리오와 리스크 포트폴리오를 상시 다루기 때문이다. IT 포트폴리오의 가시성이 높아지면 CIO가 새 기술을 추천하고, 필요 시 기존 자산 교체나 업그레이드 승인을 받아내는 일도 더 수월해질 것이다.
dl-ciokorea@foundryco.com

In finance, portfolio management involves the strategic selection of a collection of investments that align with an investor’s financial goals and risk tolerance. 

This approach can also apply to IT’s portfolio of systems, with one addition: IT must also assess each asset in that portfolio for operational performance.

Today’s IT is a mix of legacy, cloud-based, and emerging or leading-edge systems, such as AI. Each category contains mission-critical assets, but not every system performs equally well when it comes to delivering business, financial, and risk avoidance value to the enterprise. How can CIOs optimize their IT portfolio performance?

Here are five evaluative criteria for maximizing the value of your IT portfolio.

Mission-critical assets

The enterprise’s most critical systems for conducting day-to-day business are a category unto themselves. These systems may be readily apparent, or hidden deep in a technical stack. So all assets should be evaluated as to how mission-critical they are.

For example, it might be that your ERP solution is a 24/7 “must have” system because it interfaces with a global supply chain that operates around the clock and drives most company business. On the other hand, an HR application or a marketing analytics system could probably be down for a day with work-arounds by staff.

More granularly, the same type of analysis needs to be performed on IT servers, networks and storage. Which resources do you absolutely have to have, and which can you do without, if only temporarily?

As IT identifies these mission-critical assets, it should also review the list with end-users and management to assure mutual agreement.

Asset utilization

Zylo, which manages SaaS inventory, licenses, and renewals, estimates that “53% of SaaS licenses go unused or underused on average, so finding dormant software should be a priority.” This “shelfware” problem isn’t only with SaaS; it can be found in underutilized legacy and modern systems, in obsolete servers and disk drives, and in network technologies that aren’t being used but are still being paid for.

Shelfware in all forms exists because IT is too busy with projects to stop for inventory and obsolescence checks. Consequently, old stuff gets set on the shelf and auto-renews.

The shelfware issue should be solved if IT portfolios are to be maximized for performance and profitability. If IT can’t spare the time for a shelfware evaluation, it can bring in a consultant to perform an assessment of asset use and to flag never-used or seldom-used assets for repurposing or elimination.

Asset risk

The goal of an IT portfolio is to contain assets that are presently relevant and will continue to be relevant well into the future. Consequently, asset risk should be evaluated for each IT resource.

Is the resource at risk for vendor sunsetting or obsolescence? Is the vendor itself unstable? Does IT have the on-staff resources to continue running a given system, no matter how good it is (a custom legacy system written in COBOL and Assembler, for example)? Is a particular system or piece of hardware becoming too expense to run? Do existing IT resources have a clear path to integration with the new technologies that will populate IT in the future?

For IT assets that are found to be at risk, strategies should be enacted to either get them out of “risk” mode, or to replace them.

Asset IP value

There is a CIO I know in the hospitality industry who boasts that his hotel reservation program, and the mainframe it runs on, have not gone down in 30 years. He attributes much of this success to custom code and a specialized operating system that the company uses, and he and his management view it as a strategic advantage over the competition.

He is not the only CIO who feels this way. There are many companies that operate with their “own IT special sauce” that makes their businesses better. This special sauce could be a legacy system or an AI algorithm. Assets like these that become IT intellectual property (IP) present a case for preservation in the IT portfolio.

Asset TCO and ROI

Is every IT asset pulling its weight? Like monetary and stock investments, technologies under management must show they are continuing to produce measurable and sustainable value. The primary indicators of asset value that IT uses are total cost of ownership (TCO) and return on investment (ROI).

TCO is what gauges the value of an asset over time. For instance, investments in new servers for the data center might have paid off four years ago, but now the data center has an aging bay of servers with obsolete technology and it is cheaper to relocate compute to the cloud.

ROI is used when new technology is acquired. Metrics are set that define at what point the initial investment into the technology will be recouped. Once the breakeven point has been reached, ROI continues to be measured because the company wants to see new profitability and/or savings materialize from the investment. Unfortunately, not all technology investments go as planned. Sometimes the initial business case that called for the technology changes or unforeseen complications arise that turn the investment into a loss leader.

In both cases, whether the issue is TCO or ROI, the IT portfolio must be maintained in a way such that losing or wasted assets are removed.

Summing it up

IT portfolio management is an important part of what CIOs should be doing on an ongoing basis, but all too often, it is approached in a reactionary mode — for example, with a system being replaced only when users ask for it to be replaced, or a server needing to be removed from the data center because it fails.

The CEO, the CFO, and other key stakeholders whom the CIO deals with during technology budgeting time don’t help, either. While they will be interested in how long it will take for a new technology acquisition to “pay for itself,” no one ever asks the CIO about the big picture of IT portfolio management: how the overall assets in the IT portfolio are performing, and which assets will require replacement for the portfolio to sustain or improve company value.

To improve their own IT management, CIOs should seize the portfolio management opportunity. They can do this by establishing a portfolio for their company’s IT assets and reviewing these assets periodically with those in the enterprise who have direct say over IT budgets.

IT portfolio management will resonate with the CFO and CEO because both continually work with financial and risk portfolios for the business. Broader visibility of the IT portfolio will also make it easier for CIOs to present new technology recommendations and to obtain approvals for replacing or upgrading existing assets when these actions are called for.

See also:

• Should CIOs rethink the IT roadmap?
• Innovative financing techniques can boost your IT budget
• Digital transformation works best when co-owned — but only if you do it right

In a context marked by energy transition, regulatory pressure, and the need to operate with increasing efficiency on a global scale, digital transformation has become a strategic pillar for industrial and logistics companies like Exolum. Now present in 11 countries, with an annual turnover of over $1 billion, the company faces tough decisions on how to remain competitive.

Focusing on transporting gasoline and diesel, storing liquids like hydrocarbons and other chemicals, and supplying aviation fuel, the company is at a crucial juncture as the global push to cleaner sources of fuel gathers steam. “We have to learn to repurpose our infrastructure for the new energy sources that will emerge,” says Alfonso Álvarez, Exolum’s IT director.

Digitization that’s been a long time coming

Despite the substantial challenge, digitalization isn’t a new process for the company. Exolum began relying heavily on tech in the early 2000s, with implementation of operational systems in plants and pipelines. Since then, various strategic plans have been renewing platforms and modernizing systems. “It’s a process that’s been carried out throughout since the turn of the century,” Álvarez adds.

Today, much of the company’s daily operations are managed centrally and automatically. The product network and truck loading terminals operate with very small teams thanks to advanced technological systems. Truck access, for example, is managed through automatic license plate recognition, and the systems tell the driver which hose to use and when loading is complete, without direct human intervention. “Technology has a fundamental role at Exolum, especially in business execution,” says Álvarez.

According to Álvarez, the next big challenge for technology is growth since Exolum is an expanding company. “Technology must not only accompany that growth but support it from the beginning,” he says. “So we’re making decisions and executing projects that will allow us to do that.”

Global IT for a growing company

The most recent turning point came after the pandemic in 2020. Exolum’s international growth, driven by acquisitions in the UK, US, and other markets, led the company to create a global IT division. “It was understood that the approach had to be global, to provide coverage for all businesses across all geographies,” says Álvarez, who joined the company nearly four years ago with that objective.

The current model relies on a dual structure with a global layer and a local one. Corporate systems such as finance, control, HR, and asset maintenance are concentrated at the global level, while systems more closely tied to physical operations are maintained locally to preserve flexibility. According to Álvarez, this architecture allows the company to be viewed as a single entity, rather than as a series of small, local businesses.

The tech department itself currently has around 70 people, including global and local teams, and is supported on an ongoing basis by up to 150 external professionals. The focus isn’t on developing proprietary software in Spain, but rather on project management, and ensuring that tech partners meet quality and functionality requirements.

AI and data at the service of business

In recent years, Exolum has intensified its use of advanced technologies, especially AI, and already employs tools like Copilot in corporate environments and within SAP to improve team productivity. “The goal is to free up time so people can dedicate themselves to higher value-added tasks,” Álvarez says.

AI is also being applied directly to critical business processes, such as planning movement of products within the pipeline network, a highly complex system requiring advanced mathematical analysis. Plus, Exolum is developing its own AI governance framework, AIOps solutions, and specialized copilots.

Despite operating in a traditional sector, the company doesn’t perceive significant resistance to technological change. The strong presence of engineering professionals and the drive for initiatives from within the business have facilitated adoption. In addition, a dedicated digitalization area, separate from traditional IT, explores new use cases and promotes innovation through hackathons and internal training programs.

Modernizing financial management

As part of this global strategy, Exolum has taken a big step to update its financial management by implementing the Kyriba treasury platform, supported by consulting firm All CMS. The project is part of the migration from SAP R/3 to S/4HANA, and addresses the need for a comprehensive and centralized view of treasury operations in an increasingly international environment.

After implementing S/4HANA, Álvarez and his team still identified limitations that prevented them from working with the level of control they needed, which led to seek a specific solution. So adopting Kyriba has improved treasury position control, automated processes, and reduced reliance on manual tasks.

The finance department emphasizes that the tool also offers greater visibility into cash flows, strengthens security, and supports the group’s future growth. “The improvement for the department is so clear that we want to continue evolving the solution and incorporating more processes,” says Álvarez.

Looking ahead still, one of the most important projects is the gradual phase-out of its own data centers. The goal is for Exolum to operate with a multicloud model for all its IT by the end of 2026.

“We need scalable and easily deployable systems that can support multinational growth,” Álvarez says. This change represents another key step to sustain the group’s future development.

Aunque la IA tiene el potencial de transformar la atención médica en todo el mundo, el progreso se está topando actualmente con un muro invisible. Los obstáculos son los sistemas de datos obsoletos. A esta conclusión llega el Foro Económico Mundial (FEM) en el informe publicado en vísperas de su reunión anual en Davos, llamado ‘La IA puede transformar la asistencia sanitaria si transformamos nuestra arquitectura de datos’.

Según el estudio, décadas de registros aislados, formatos incompatibles e infraestructuras rígidas frenan el progreso. Para que la IA no siga siendo solo una herramienta para tareas específicas, sino que se convierta en un sistema autónomo y capaz de aprender, el FEM considera que el sector sanitario debe replantearse desde cero su arquitectura de datos.

Urge salir de la trampa del silo

Hasta ahora, las estructuras se basaban a menudo en entradas manuales y actualizaciones diferidas. Sin embargo, el futuro pertenecerá a un canal de datos inteligente y unificado que limpie la información de los sensores y las fuentes automatizadas en tiempo real y la haga directamente legible para la IA. En lugar de almacenarse en rígidas bases de datos relacionales, la información se almacena cada vez más en bases de datos gráficas multidimensionales que permiten comprender inmediatamente el contexto y el significado.

El FEM considera que otro gran problema es la investigación médica. En este ámbito, muchos conocimientos valiosos permanecen ocultos en notas o imágenes complejas, ya que son difíciles de encontrar con una búsqueda convencional. Aquí es donde entra en juego la denominada vectorización: los datos multimodales, desde textos hasta secuencias genómicas y señales clínicas, se convierten en incrustaciones numéricas. Esto permite a la IA reconocer relaciones profundas, como comparar síntomas con casos anteriores o recuperar resultados de investigación relevantes con la máxima precisión.

Seguridad y confianza

En definitiva, según el FEM, un sistema sanitario moderno necesita un data lakehouse. Es decir, un lugar de almacenamiento centralizado en el que los datos de los laboratorios, los wearables y las aplicaciones de los pacientes confluyan de forma segura y estén disponibles para su análisis. Para que la protección de datos no se quede en el camino, una fábrica de datos inteligente debe garantizar que solo los usuarios autorizados tengan acceso y que la información sea coherente.

Para garantizar que las recomendaciones de IA para los médicos sean comprensibles y fiables, éstas deben basarse en conocimientos clínicos validados. Los denominados gráficos del conocimiento podrían servir como guías para garantizar que los resultados de la IA se ajusten a las directrices médicas.

Esta transformación de la IA es más que una simple renovación tecnológica. Según la valoración del FEM, para las naciones soberanas, la creación de una arquitectura de datos preparada para la IA significa considerar la sanidad como un recurso nacional. Y, desde el punto de vista del foro, esta transformación radical es indispensable. Solo así los países podrán garantizar una atención mejor y personalizada y aprovechar al máximo el potencial de una IA con capacidad de autoaprendizaje.

발로네는 자신의 링크드인 계정을 통해 “앤트로픽에 합류해 정렬(alignment) 연구를 진행하고, 클로드의 캐릭터 기반을 더욱 발전시키는 역할을 맡게 됐다”라며 “앞으로는 정렬과 파인튜닝에 집중해 새로운 맥락에서 클로드의 행동을 형성하는 연구를 이어갈 계획”이라고 설명했다.

여기서 말하는 정렬팀은 고도화된 AI 모델을 안전하게 학습·평가·모니터링하기 위한 프로토콜을 설계하는 조직이다. 다시 말해, AI 모델의 판단과 행동이 인간의 가치와 의도, 사회적 규범에 부합하도록 설계·조정하는 연구 분야를 의미한다.

발로네는 미국 캘리포니아대학교 산타바바라(UCSB)에서 영문학과 심리학을 복수 전공했다. 이후 지난 3년간 오픈AI에서 ‘모델 정책(Model Policy)’ 분야를 구축하는 데 핵심적인 역할을 했으며, 관련 연구팀의 운영과 연구 방향 설정에 참여했다. 그녀는 GPT-4, GPT-4V, o-시리즈 추론 모델, 딥 리서치, 챗GPT 에이전트, GPT-5에 이르기까지 주요 모델들의 배포 전략과 안전 정책 수립에 관여했으며, 규칙 기반 보상(rule-based rewards) 등 AI 안전 기술의 학습 프로세스 개발에도 참여했다. 최근에는 정서적 과의존의 징후나 초기 정신적 고통의 신호에 직면했을 때 모델이 어떻게 반응해야 하는지에 대한 연구에도 집중해 왔다.

오픈AI 합류 이전에는 메타(구 페이스북)에서 근무하며 콘텐츠 배포와 알고리즘 투명성, 건강·기후 분야의 제품 무결성(product integrity), 추천 시스템의 신뢰성을 담당했다. 또한 2018년부터 2020년까지 허위정보, 사회적 양극화, 선거 관련 이슈를 다루는 커뮤니케이션 매니저로 활동한 바 있다.

한편 발로네는 “AI 분야에서 가장 중대하고 영향력 있는 문제를 다루는 두 기업의 최전선에서 배우고 기여할 수 있다는 점을 매우 뜻깊게 생각한다”며 앤트로픽 합류 소감을 밝혔다.
jihyun.lee@foundryco.com