随着网络安全事故的上升,企业管理层必须充分认识到IT能够发挥的作用。本文中,Kevin McDonald解释了为什么IT流程文档如此重要。
如今,似乎没有一天不发生网络入侵事件,导致金钱和数据被窃取,甚至给企业或政府带来巨大损害。这些事故反映了防范措施方面的漫不经心,以及企业高管们对股东利益的漠视。2014年,瑞士苏黎世保险集团(Zurich Insurance Group)在其报告中提到:“最近,某些遭受网络侵害的公司股东对企业董事会提出了法律诉讼,指责后者未能履行其应尽的责任,导致企业没有足够的安全措施来进行自我防护。”
作为企业高管来说,要把握技术决策、尽到网络安全方面的受托责任并非易事。事实上,如果没有IT团队的全力协助,这就是一项无法完成的任务。尤其是缺少IT流程的文档规范时,隐患就根植于IT团队内部。
我曾经与规模不一的各类企业高管、政府官员以及富翁们一同工作,发现很多人已经被IT挟持为人质还一无所知。很多时候,这些企业或个人由于内部的行窃遭受数百万美元的损失,而且往往来自于深受信任的正式员工。有些高管对于企业的安全措施深信不疑,但实际情况往往相反,而且在一些基本层面缺乏最佳实践。
这些例子看似极端,其实是最常见的情况。一般而言,肇端始于信息的缺失或隐藏,一段时日之后,随着对IT管控的加强,透明度越来越低。于是,IT最终将无法及时交付企业所需的信息。同时,IT也会逐渐有意无意地用各类技术用语将自己包裹起来,显得懒惰而平庸。
鉴别隐患的十个角度
通过回答下列问题,你可以判断自己是否被IT所绑架:
1.你是否相信自己被告知了系统的真实情况?
2.你是否真正理解了所呈现的信息并对相应的决策充满信心?
3.你是否确信遵循了本州和联邦的法律法规?
4.假设IT团队缺位,你是否拥有能够确保企业正常运转的流程文档?
5.在遭受自然灾害、技术事故或网络攻击之后,你的企业是否能幸存?
6.你的IT团队是否能对所有支出给予明确说明?
7.你是否曾因为未知的后果而惧怕做出改变?
8.你是否曾怀疑IT投入的去向,甚至感觉到技术部门就是一个资金黑洞?
9.你是否认为自己的员工才能真正理解企业的系统,而其他人则无法做到这一点?
10.你的系统是否经常出现故障?
如果对前六个问题你的回答是NO,或者对后四个问题回答YES,那么,你可能已经被IT绑架了。
为什么需要IT流程文档
以上面第四个问题提到的IT流程文档为例,如果你没有自身系统的目录、配置、依赖及集成文档,将会造成极为严重的后果。IT流程文档的缺失,将会导致时间和财富上的巨大浪费。员工会以公司名义买入设备、软件和服务,然后供自己、朋友或家人使用。他们可能会在上班时间对外私下提供IT服务、运行在线站点甚至在电子商务网站上卖东西。除了这些直接的损失之外,如果员工向禁运国家售卖非法设备,将造成赋税责任乃至违反出口法规。
没有相应的文档,如果员工突然离职怎么办?我曾经见过很多公司,其核心员工不产出任何文档,或者突然主动或被动地离职。我亲眼目睹了这些公司(包括大型企业)不仅受困于员工的流失,更为严重的是无法再访问系统、维护应用、更新网站。
更糟糕的是,这些企业的管理层由于害怕未知的后果,对那些不负责、不称职、不产出的员工或供应商长期忍耐,不采取任何行动。面对“没有我事情将一团糟”或“我也想找到能够接手客户应用的人选,但除了我之外这基本是不可能的”一类的威胁,高层只能委曲求全。在一个极端的例子中,甚至员工都不堪忍受这种IT文化而选择离开。在离开时,这些员工通常这样表示“他们是如此的居高临下、盛气凌人,我已经无法忍受为了完成正常工作而低声下气了。”
IT流程文档建设的6个步骤
那么,你该如何做才能避免成为IT的人质呢?
1.防止任何个人或团队的权力过大
2.要求员工和服务提供商提供完备的文档和变更控制。确保文档包括了以下内容:
针对网络、服务器、应用和所有服务的认证信息,比如用户名、密码、证书等软硬件目录、媒介、访问和许可信息准确而完整的网络图示应用目录和配置信息客户应用开发文档流程和集成工作流图示互联网服务提供商的名字、合同、密码和配置信息域名注册商的名字、合同、密码和配置信息所有提供系统部署和运维支持的服务商的合同,以及其他相关信息。包括集成商、硬件供应商、托管服务提供商、软件顾问商、安全顾问商、空调及电力系统提供商等。所有变更的详细记录,以此确保文档的准确性和真实性
- 确保你(或者肩负相应职责的员工)有域级的系统访问权,并经常随机抽检测试
- 确保对网络配置、安全和可靠性的客观评估:
对信息可信度、一致性和可用性的角度进行评估IT团队所有成员要做好准备、全力以赴IT不插手第三方评估商的遴选工作IT不会对评估结果进行干预评估结果对当前状况和未来可能发生的变化有切实的意义
- 当突然出现员工不到位的情况时,借助于外部力量进行支持
- 在企业发展或技术进步的同时,坚持对员工进行评估。不能因为前来后到而区分水平的高低。
解决问题的五个方案
现在,如果你知道自己已经被IT所挟持,该怎么办呢?
解决这个问题,需要非常谨慎。如果过于鲁莽,你可能会让优秀的员工产生疏离感——他们可能是因为太过忙碌而没来得及完成某项工作。而且,如果让居心不良者察觉你的意图,可能会引发严重后果。比如,他们可能会蓄意进行破坏,让后续的工作难以开展。总之,谨慎对待,按照下面的建议:
1.要求员工提供工作文档。如果这个要求显得不同寻常,必须想办法不让员工发现异常。
2.通过独立的评估和文档项目来检验这些文档。那些具有专业操守和水平的员工对于这样的要求不会有异议。实际上,很多人反而会乐在其中。有很多办法可以步引起企业内的紧张氛围。
3.确保自己能充分理解评估的结果。
4.审视财务和库存记录,看看其中是否有问题。
5.如果你觉得情况在变糟,尽快寻求专业力量的协助。
本文转自d1net(转载)