没有IT流程文档 企业将为IT所“绑架”

日期:2016-5-20作者:Kevin McDonald翻译:杨琪来源:TechTarget中国 英文

【TechTarget中国原创】

随着网络安全事故的上升,企业管理层必须充分认识到IT能够发挥的作用。本文中,Kevin McDonald解释了为什么IT流程文档如此重要。

如今,似乎没有一天不发生网络入侵事件,导致金钱和数据被窃取,甚至给企业或政府带来巨大损害。这些事故反映了防范措施方面的漫不经心,以及企业高管们对股东利益的漠视。2014年,瑞士苏黎世保险集团(Zurich Insurance Group)在其报告中提到:“最近,某些遭受网络侵害的公司股东对企业董事会提出了法律诉讼,指责后者未能履行其应尽的责任,导致企业没有足够的安全措施来进行自我防护。”

作为企业高管来说,要把握技术决策、尽到网络安全方面的受托责任并非易事。事实上,如果没有IT团队的全力协助,这就是一项无法完成的任务。尤其是缺少IT流程的文档规范时,隐患就根植于IT团队内部。

我曾经与规模不一的各类企业高管、政府官员以及富翁们一同工作,发现很多人已经被IT挟持为人质还一无所知。很多时候,这些企业或个人由于内部的行窃遭受数百万美元的损失,而且往往来自于深受信任的正式员工。有些高管对于企业的安全措施深信不疑,但实际情况往往相反,而且在一些基本层面缺乏最佳实践。

这些例子看似极端,其实是最常见的情况。一般而言,肇端始于信息的缺失或隐藏,一段时日之后,随着对IT管控的加强,透明度越来越低。于是,IT最终将无法及时交付企业所需的信息。同时,IT也会逐渐有意无意地用各类技术用语将自己包裹起来,显得懒惰而平庸。

鉴别隐患的十个角度

通过回答下列问题,你可以判断自己是否被IT所绑架:

1.你是否相信自己被告知了系统的真实情况?

2.你是否真正理解了所呈现的信息并对相应的决策充满信心?

3.你是否确信遵循了本州和联邦的法律法规?

4.假设IT团队缺位,你是否拥有能够确保企业正常运转的流程文档?

5.在遭受自然灾害、技术事故或网络攻击之后,你的企业是否能幸存?

6.你的IT团队是否能对所有支出给予明确说明?

7.你是否曾因为未知的后果而惧怕做出改变?

8.你是否曾怀疑IT投入的去向,甚至感觉到技术部门就是一个资金黑洞?

9.你是否认为自己的员工才能真正理解企业的系统,而其他人则无法做到这一点?

10.你的系统是否经常出现故障?

如果对前六个问题你的回答是NO,或者对后四个问题回答YES,那么,你可能已经被IT绑架了。

为什么需要IT流程文档

以上面第四个问题提到的IT流程文档为例,如果你没有自身系统的目录、配置、依赖及集成文档,将会造成极为严重的后果。IT流程文档的缺失,将会导致时间和财富上的巨大浪费。员工会以公司名义买入设备、软件和服务,然后供自己、朋友或家人使用。他们可能会在上班时间对外私下提供IT服务、运行在线站点甚至在电子商务网站上卖东西。除了这些直接的损失之外,如果员工向禁运国家售卖非法设备,将造成赋税责任乃至违反出口法规。

没有相应的文档,如果员工突然离职怎么办?我曾经见过很多公司,其核心员工不产出任何文档,或者突然主动或被动地离职。我亲眼目睹了这些公司(包括大型企业)不仅受困于员工的流失,更为严重的是无法再访问系统、维护应用、更新网站。

更糟糕的是,这些企业的管理层由于害怕未知的后果,对那些不负责、不称职、不产出的员工或供应商长期忍耐,不采取任何行动。面对“没有我事情将一团糟”或“我也想找到能够接手客户应用的人选,但除了我之外这基本是不可能的”一类的威胁,高层只能委曲求全。在一个极端的例子中,甚至员工都不堪忍受这种IT文化而选择离开。在离开时,这些员工通常这样表示“他们是如此的居高临下、盛气凌人,我已经无法忍受为了完成正常工作而低声下气了。”

IT流程文档建设的6个步骤

那么,你该如何做才能避免成为IT的人质呢?

1.防止任何个人或团队的权力过大

2.要求员工和服务提供商提供完备的文档和变更控制。确保文档包括了以下内容:

  • 针对网络、服务器、应用和所有服务的认证信息,比如用户名、密码、证书等
  • 软硬件目录、媒介、访问和许可信息
  • 准确而完整的网络图示
  • 应用目录和配置信息
  • 客户应用开发文档
  • 流程和集成工作流图示
  • 互联网服务提供商的名字、合同、密码和配置信息
  • 域名注册商的名字、合同、密码和配置信息
  • 所有提供系统部署和运维支持的服务商的合同,以及其他相关信息。包括集成商、硬件供应商、托管服务提供商、软件顾问商、安全顾问商、空调及电力系统提供商等。
  • 所有变更的详细记录,以此确保文档的准确性和真实性

3. 确保你(或者肩负相应职责的员工)有域级的系统访问权,并经常随机抽检测试

4. 确保对网络配置、安全和可靠性的客观评估:

  • 对信息可信度、一致性和可用性的角度进行评估
  • IT团队所有成员要做好准备、全力以赴
  • IT不插手第三方评估商的遴选工作
  • IT不会对评估结果进行干预
  • 评估结果对当前状况和未来可能发生的变化有切实的意义

5. 当突然出现员工不到位的情况时,借助于外部力量进行支持

6. 在企业发展或技术进步的同时,坚持对员工进行评估。不能因为前来后到而区分水平的高低。

解决问题的五个方案

现在,如果你知道自己已经被IT所挟持,该怎么办呢?

解决这个问题,需要非常谨慎。如果过于鲁莽,你可能会让优秀的员工产生疏离感——他们可能是因为太过忙碌而没来得及完成某项工作。而且,如果让居心不良者察觉你的意图,可能会引发严重后果。比如,他们可能会蓄意进行破坏,让后续的工作难以开展。总之,谨慎对待,按照下面的建议:

1.要求员工提供工作文档。如果这个要求显得不同寻常,必须想办法不让员工发现异常。

2.通过独立的评估和文档项目来检验这些文档。那些具有专业操守和水平的员工对于这样的要求不会有异议。实际上,很多人反而会乐在其中。有很多办法可以步引起企业内的紧张氛围。

3.确保自己能充分理解评估的结果。

4.审视财务和库存记录,看看其中是否有问题。

5.如果你觉得情况在变糟,尽快寻求专业力量的协助。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

IT治理>更多

相关推荐

技术手册>更多

  • 云计算和移动时代的灾难恢复规划

    云计算和移动时代的到来在不同程度上改变和影响了企业的灾难恢复和业务连续性策略。例如业已经经常用云存储来部署临时生产环境、进行开发测试或者开展短期的营销活动,虽然极少,但也有灾难恢复是基于云实现的。而且随着工作用途的移动设备数量和种类的迅猛增长,CIO们也不得不重新考量他们的IT灾难恢复和业务连续性规划。本技术手册分析了灾难恢复和业务连续性策略的变化,以及企业CIO等IT领导对灾难恢复策略的规划。

  • 企业应该如何应对经济低迷

    金融危机将全球拖入了一个惨淡的经济低迷期,很多企业在此次金融危机同样受到了很大的影响。企业开始大规模的裁员或者通过其它的方法来减少企业的成本控制。信息化已经为企业控制成本和生存的必要因素之一,在成本控制及金融危机的大环境下,IT是减少投入还是应该增加投入?企业CIO们应该如何调整IT预算呢?

  • 企业数据中心管理指南

    企业CIO都在和大量数据中心的问题作斗争。最好的是维护自己的数据中心吗?要不要考虑数据中心整合?还是转向云计算更灵活地满足需求?这些决策都不容易,而且在今天的形势下,在CIO制定长期的企业数据中心策略的时候,留给他们犯错误的空间也很小。在本技术手册中,将介绍在整合数据中心、选择公有云和私有云、自建和租用数据中心的ROI分析,以及最终创建下一代数据中心的时候,IT高管应该如何衡量自己的选择。

  • 企业IT安全大排查

    CIO既要了解企业安全发展的大趋势,又要熟悉目前企业内部的安全隐忧,包括采购、系统、设备、应用以及云计算等等环节,都需要CIO一一进行排查,本技术手册会从多个角度呈现企业安全所面临的问题,帮助CIO们制定行之有效的安全政策。

TechTarget

最新资源
  • 安全
  • 存储
  • 数据库
  • 虚拟化
  • 网络
  • 数据中心