隨著網(wǎng)絡(luò)安全事故的上升,企業(yè)管理層必須充分認識到IT能夠發(fā)揮的作用。本文中,Kevin McDonald解釋了為什么IT流程文檔如此重要。
如今,似乎沒有一天不發(fā)生網(wǎng)絡(luò)入侵事件,導(dǎo)致金錢和數(shù)據(jù)被竊取,甚至給企業(yè)或政府帶來巨大損害。這些事故反映了防范措施方面的漫不經(jīng)心,以及企業(yè)高管們對股東利益的漠視。2014年,瑞士蘇黎世保險集團(Zurich Insurance Group)在其報告中提到:“最近,某些遭受網(wǎng)絡(luò)侵害的公司股東對企業(yè)董事會提出了法律訴訟,指責(zé)后者未能履行其應(yīng)盡的責(zé)任,導(dǎo)致企業(yè)沒有足夠的安全措施來進行自我防護。”
作為企業(yè)高管來說,要把握技術(shù)決策、盡到網(wǎng)絡(luò)安全方面的受托責(zé)任并非易事。事實上,如果沒有IT團隊的全力協(xié)助,這就是一項無法完成的任務(wù)。尤其是缺少IT流程的文檔規(guī)范時,隱患就根植于IT團隊內(nèi)部。
我曾經(jīng)與規(guī)模不一的各類企業(yè)高管、政府官員以及富翁們一同工作,發(fā)現(xiàn)很多人已經(jīng)被IT挾持為人質(zhì)還一無所知。很多時候,這些企業(yè)或個人由于內(nèi)部的行竊遭受數(shù)百萬美元的損失,而且往往來自于深受信任的正式員工。有些高管對于企業(yè)的安全措施深信不疑,但實際情況往往相反,而且在一些基本層面缺乏最佳實踐。
這些例子看似極端,其實是最常見的情況。一般而言,肇端始于信息的缺失或隱藏,一段時日之后,隨著對IT管控的加強,透明度越來越低。于是,IT最終將無法及時交付企業(yè)所需的信息。同時,IT也會逐漸有意無意地用各類技術(shù)用語將自己包裹起來,顯得懶惰而平庸。
鑒別隱患的十個角度通過回答下列問題,你可以判斷自己是否被IT所綁架:
1.你是否相信自己被告知了系統(tǒng)的真實情況?
2.你是否真正理解了所呈現(xiàn)的信息并對相應(yīng)的決策充滿信心?
3.你是否確信遵循了本州和聯(lián)邦的法律法規(guī)?
4.假設(shè)IT團隊缺位,你是否擁有能夠確保企業(yè)正常運轉(zhuǎn)的流程文檔?
5.在遭受自然災(zāi)害、技術(shù)事故或網(wǎng)絡(luò)攻擊之后,你的企業(yè)是否能幸存?
6.你的IT團隊是否能對所有支出給予明確說明?
7.你是否曾因為未知的后果而懼怕做出改變?
8.你是否曾懷疑IT投入的去向,甚至感覺到技術(shù)部門就是一個資金黑洞?
9.你是否認為自己的員工才能真正理解企業(yè)的系統(tǒng),而其他人則無法做到這一點?
10.你的系統(tǒng)是否經(jīng)常出現(xiàn)故障?
如果對前六個問題你的回答是NO,或者對后四個問題回答YES,那么,你可能已經(jīng)被IT綁架了。
為什么需要IT流程文檔以上面第四個問題提到的IT流程文檔為例,如果你沒有自身系統(tǒng)的目錄、配置、依賴及集成文檔,將會造成極為嚴重的后果。IT流程文檔的缺失,將會導(dǎo)致時間和財富上的巨大浪費。員工會以公司名義買入設(shè)備、軟件和服務(wù),然后供自己、朋友或家人使用。他們可能會在上班時間對外私下提供IT服務(wù)、運行在線站點甚至在電子商務(wù)網(wǎng)站上賣東西。除了這些直接的損失之外,如果員工向禁運國家售賣非法設(shè)備,將造成賦稅責(zé)任乃至違反出口法規(guī)。
沒有相應(yīng)的文檔,如果員工突然離職怎么辦?我曾經(jīng)見過很多公司,其核心員工不產(chǎn)出任何文檔,或者突然主動或被動地離職。我親眼目睹了這些公司(包括大型企業(yè))不僅受困于員工的流失,更為嚴重的是無法再訪問系統(tǒng)、維護應(yīng)用、更新網(wǎng)站。
更糟糕的是,這些企業(yè)的管理層由于害怕未知的后果,對那些不負責(zé)、不稱職、不產(chǎn)出的員工或供應(yīng)商長期忍耐,不采取任何行動。面對“沒有我事情將一團糟”或“我也想找到能夠接手客戶應(yīng)用的人選,但除了我之外這基本是不可能的”一類的威脅,高層只能委曲求全。在一個極端的例子中,甚至員工都不堪忍受這種IT文化而選擇離開。在離開時,這些員工通常這樣表示“他們是如此的居高臨下、盛氣凌人,我已經(jīng)無法忍受為了完成正常工作而低聲下氣了。”
IT流程文檔建設(shè)的6個步驟那么,你該如何做才能避免成為IT的人質(zhì)呢?
1.防止任何個人或團隊的權(quán)力過大
2.要求員工和服務(wù)提供商提供完備的文檔和變更控制。確保文檔包括了以下內(nèi)容:
針對網(wǎng)絡(luò)、服務(wù)器、應(yīng)用和所有服務(wù)的認證信息,比如用戶名、密碼、證書等軟硬件目錄、媒介、訪問和許可信息準確而完整的網(wǎng)絡(luò)圖示應(yīng)用目錄和配置信息客戶應(yīng)用開發(fā)文檔流程和集成工作流圖示互聯(lián)網(wǎng)服務(wù)提供商的名字、合同、密碼和配置信息域名注冊商的名字、合同、密碼和配置信息所有提供系統(tǒng)部署和運維支持的服務(wù)商的合同,以及其他相關(guān)信息。包括集成商、硬件供應(yīng)商、托管服務(wù)提供商、軟件顧問商、安全顧問商、空調(diào)及電力系統(tǒng)提供商等。所有變更的詳細記錄,以此確保文檔的準確性和真實性3. 確保你(或者肩負相應(yīng)職責(zé)的員工)有域級的系統(tǒng)訪問權(quán),并經(jīng)常隨機抽檢測試
4. 確保對網(wǎng)絡(luò)配置、安全和可靠性的客觀評估:
對信息可信度、一致性和可用性的角度進行評估IT團隊所有成員要做好準備、全力以赴IT不插手第三方評估商的遴選工作IT不會對評估結(jié)果進行干預(yù)評估結(jié)果對當(dāng)前狀況和未來可能發(fā)生的變化有切實的意義5. 當(dāng)突然出現(xiàn)員工不到位的情況時,借助于外部力量進行支持
6. 在企業(yè)發(fā)展或技術(shù)進步的同時,堅持對員工進行評估。不能因為前來后到而區(qū)分水平的高低。
解決問題的五個方案現(xiàn)在,如果你知道自己已經(jīng)被IT所挾持,該怎么辦呢?
解決這個問題,需要非常謹慎。如果過于魯莽,你可能會讓優(yōu)秀的員工產(chǎn)生疏離感——他們可能是因為太過忙碌而沒來得及完成某項工作。而且,如果讓居心不良者察覺你的意圖,可能會引發(fā)嚴重后果。比如,他們可能會蓄意進行破壞,讓后續(xù)的工作難以開展。總之,謹慎對待,按照下面的建議:
1.要求員工提供工作文檔。如果這個要求顯得不同尋常,必須想辦法不讓員工發(fā)現(xiàn)異常。
2.通過獨立的評估和文檔項目來檢驗這些文檔。那些具有專業(yè)操守和水平的員工對于這樣的要求不會有異議。實際上,很多人反而會樂在其中。有很多辦法可以步引起企業(yè)內(nèi)的緊張氛圍。
3.確保自己能充分理解評估的結(jié)果。
4.審視財務(wù)和庫存記錄,看看其中是否有問題。
5.如果你覺得情況在變糟,盡快尋求專業(yè)力量的協(xié)助。
京公網(wǎng)安備 11010502049343號