没有IT流程文档 企业将为IT所“绑架”

日期:2016-5-20作者:Kevin McDonald翻译:杨琪来源:TechTarget中国 英文

【TechTarget中国原创】

随着网络安全事故的上升,企业管理层必须充分认识到IT能够发挥的作用。本文中,Kevin McDonald解释了为什么IT流程文档如此重要。

如今,似乎没有一天不发生网络入侵事件,导致金钱和数据被窃取,甚至给企业或政府带来巨大损害。这些事故反映了防范措施方面的漫不经心,以及企业高管们对股东利益的漠视。2014年,瑞士苏黎世保险集团(Zurich Insurance Group)在其报告中提到:“最近,某些遭受网络侵害的公司股东对企业董事会提出了法律诉讼,指责后者未能履行其应尽的责任,导致企业没有足够的安全措施来进行自我防护。”

作为企业高管来说,要把握技术决策、尽到网络安全方面的受托责任并非易事。事实上,如果没有IT团队的全力协助,这就是一项无法完成的任务。尤其是缺少IT流程的文档规范时,隐患就根植于IT团队内部。

我曾经与规模不一的各类企业高管、政府官员以及富翁们一同工作,发现很多人已经被IT挟持为人质还一无所知。很多时候,这些企业或个人由于内部的行窃遭受数百万美元的损失,而且往往来自于深受信任的正式员工。有些高管对于企业的安全措施深信不疑,但实际情况往往相反,而且在一些基本层面缺乏最佳实践。

这些例子看似极端,其实是最常见的情况。一般而言,肇端始于信息的缺失或隐藏,一段时日之后,随着对IT管控的加强,透明度越来越低。于是,IT最终将无法及时交付企业所需的信息。同时,IT也会逐渐有意无意地用各类技术用语将自己包裹起来,显得懒惰而平庸。

鉴别隐患的十个角度

通过回答下列问题,你可以判断自己是否被IT所绑架:

1.你是否相信自己被告知了系统的真实情况?

2.你是否真正理解了所呈现的信息并对相应的决策充满信心?

3.你是否确信遵循了本州和联邦的法律法规?

4.假设IT团队缺位,你是否拥有能够确保企业正常运转的流程文档?

5.在遭受自然灾害、技术事故或网络攻击之后,你的企业是否能幸存?

6.你的IT团队是否能对所有支出给予明确说明?

7.你是否曾因为未知的后果而惧怕做出改变?

8.你是否曾怀疑IT投入的去向,甚至感觉到技术部门就是一个资金黑洞?

9.你是否认为自己的员工才能真正理解企业的系统,而其他人则无法做到这一点?

10.你的系统是否经常出现故障?

如果对前六个问题你的回答是NO,或者对后四个问题回答YES,那么,你可能已经被IT绑架了。

为什么需要IT流程文档

以上面第四个问题提到的IT流程文档为例,如果你没有自身系统的目录、配置、依赖及集成文档,将会造成极为严重的后果。IT流程文档的缺失,将会导致时间和财富上的巨大浪费。员工会以公司名义买入设备、软件和服务,然后供自己、朋友或家人使用。他们可能会在上班时间对外私下提供IT服务、运行在线站点甚至在电子商务网站上卖东西。除了这些直接的损失之外,如果员工向禁运国家售卖非法设备,将造成赋税责任乃至违反出口法规。

没有相应的文档,如果员工突然离职怎么办?我曾经见过很多公司,其核心员工不产出任何文档,或者突然主动或被动地离职。我亲眼目睹了这些公司(包括大型企业)不仅受困于员工的流失,更为严重的是无法再访问系统、维护应用、更新网站。

更糟糕的是,这些企业的管理层由于害怕未知的后果,对那些不负责、不称职、不产出的员工或供应商长期忍耐,不采取任何行动。面对“没有我事情将一团糟”或“我也想找到能够接手客户应用的人选,但除了我之外这基本是不可能的”一类的威胁,高层只能委曲求全。在一个极端的例子中,甚至员工都不堪忍受这种IT文化而选择离开。在离开时,这些员工通常这样表示“他们是如此的居高临下、盛气凌人,我已经无法忍受为了完成正常工作而低声下气了。”

IT流程文档建设的6个步骤

那么,你该如何做才能避免成为IT的人质呢?

1.防止任何个人或团队的权力过大

2.要求员工和服务提供商提供完备的文档和变更控制。确保文档包括了以下内容:

  • 针对网络、服务器、应用和所有服务的认证信息,比如用户名、密码、证书等
  • 软硬件目录、媒介、访问和许可信息
  • 准确而完整的网络图示
  • 应用目录和配置信息
  • 客户应用开发文档
  • 流程和集成工作流图示
  • 互联网服务提供商的名字、合同、密码和配置信息
  • 域名注册商的名字、合同、密码和配置信息
  • 所有提供系统部署和运维支持的服务商的合同,以及其他相关信息。包括集成商、硬件供应商、托管服务提供商、软件顾问商、安全顾问商、空调及电力系统提供商等。
  • 所有变更的详细记录,以此确保文档的准确性和真实性

3. 确保你(或者肩负相应职责的员工)有域级的系统访问权,并经常随机抽检测试

4. 确保对网络配置、安全和可靠性的客观评估:

  • 对信息可信度、一致性和可用性的角度进行评估
  • IT团队所有成员要做好准备、全力以赴
  • IT不插手第三方评估商的遴选工作
  • IT不会对评估结果进行干预
  • 评估结果对当前状况和未来可能发生的变化有切实的意义

5. 当突然出现员工不到位的情况时,借助于外部力量进行支持

6. 在企业发展或技术进步的同时,坚持对员工进行评估。不能因为前来后到而区分水平的高低。

解决问题的五个方案

现在,如果你知道自己已经被IT所挟持,该怎么办呢?

解决这个问题,需要非常谨慎。如果过于鲁莽,你可能会让优秀的员工产生疏离感——他们可能是因为太过忙碌而没来得及完成某项工作。而且,如果让居心不良者察觉你的意图,可能会引发严重后果。比如,他们可能会蓄意进行破坏,让后续的工作难以开展。总之,谨慎对待,按照下面的建议:

1.要求员工提供工作文档。如果这个要求显得不同寻常,必须想办法不让员工发现异常。

2.通过独立的评估和文档项目来检验这些文档。那些具有专业操守和水平的员工对于这样的要求不会有异议。实际上,很多人反而会乐在其中。有很多办法可以步引起企业内的紧张氛围。

3.确保自己能充分理解评估的结果。

4.审视财务和库存记录,看看其中是否有问题。

5.如果你觉得情况在变糟,尽快寻求专业力量的协助。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

IT治理>更多

  • PwC调查:不要只投资数字化—要投资人

    根据PwC报告,考虑员工、顾客和业务合作伙伴为什么以及如何使用技术,可以提升企业的“数字IQ”----一种人们“适应改变和利用数字化新兴技术的能力”的量度。

  • 受害者和安全专家眼中的物联网安全

    在《物联网安全:谁来为之负责?》中,作者从制造商、IP开发人员和客户三方面诠释了各自眼中的物联网安全。那么,受攻击的受害者以及安全专家又将作何解释呢?最后,关于真正的物联网安全,要如何实现这一切呢?

  • 物联网安全:谁来为之负责?

    在整个物联网安全生态链中,制造商、IP开发人员、顾客、受攻击的受害者以及安全专家等都囊括其中,他们眼中的物联网安全是怎么样的?

  • 如何应对IT人才短缺现状?你需要搞好IT - HR关系

    作为University of Alabama at Birmingham的副总和CIO,Curt Carver正用一套显著的雇佣策略来处理IT人才短缺的情况。

相关推荐

技术手册>更多

  • 企业治理方法讨论和案例借鉴

    CIO应该不只是技术专家,他们还应该是战略家,可以为IT机构构建最好的治理架构。企业治理项目包含日常的IT运行,也包括总体的企业规划。治理在IT决策、员工和资源分配以及特别技术项目的维护等方面发挥着重要的作用。本技术手册将会介绍如何寻求适合您企业的最佳的IT治理架构,如何建立IT数据治理策略,公共部门的治理项目如何为洲政府节约时间和资金等。

  • 移动商务关键之业务应用

    现在,终端用户和应用开发人员都在移动设备上配置更复杂的应用,让用户在使用这些应用的时候感受到美感以及容易操作的体验。虽然屏幕很小,但是已经有些先进的移动应用开始可以把它们基于台式机的部分镜像到手机上,例如最早的移动应用——电子邮件,以及可以大幅提高效率的移动CRM。本技术手册分析了移动商务中的业务应用。

  • 企业移动设备策略的制定

    随着企业移动连通性越来越普及,IT组织面临着制定移动策略的挑战,这些策略需要可以提高用户的生产力,同时也要保护企业资产。本技术手册将帮助企业开发和制定移动策略。

  • 如何制定移动IT方案

    目前,移动IT对企业的生产力非常重要,而且企业对信息成功的移动访问也是IT部门越来越关注的焦点。但是要制定有效的移动IT策略,我们需要紧密关注移动环境中的几种信息。在本技术手册中,TechTarget中国的专家将介绍可以在企业环境中顺利高效采用的几种方案。

TechTarget

最新资源
  • 安全
  • 数据库
  • 虚拟化
  • 数据中心
  • 云计算
  • 商务智能