当企业内部出现 IT 事故时, 舆论质疑, 客户追责甚至诉讼等问题都会接踵而至, 这些问题会令企业蒙受巨大的损失. 那么, 谁应该为这样的失误负责呢?
有些企业由于未能及时更新应用而导致 IT 事故, 企业的声誉和估值受到巨大打击. 如果出现类似的事件, 谁应该为此负责? 这取决于公司的企业文化和政策. 但不管是谁, 总要有人为此负责.
例如, Equifax 泄露事件导致包括 CIO,CSO 和 CEO 在内的三名高管离职. 另外, 即使并非所有的 IT 事故都会成为头条新闻, 但由于疏忽, 无意和蓄意等原因, 这样的事情每天都在发生.
归咎于 IT 员工
当 IT 人员和企业因 IT 事故而受到公众指责甚至是羞辱时, 尽管造成失误的 IT 人员应该受到谴责, 但把一切都归咎于一名员工, 会掩盖导致失误的本质因素.
不管受到谴责还是诉讼, 员工理应承担自己的责任. 但是责任的追究取决于员工在造成失误的过程中做了什么和本应做什么. 员工是听从指挥还是根据经验实践做出判断 (从而导致失误)? 这非常重要. 换句话说, 可能必须改变的不是个人, 而是整个企业."通常, 许多 IT 事故是显而易见的, 即使对非技术人员来说也是如此. 然而, 那些非 IT 人员通常并不熟悉 IT 运营的细节, 例如日益复杂的 IT 能否在可控预算内对 IT 事故进行妥善地处理."IT 专业人士往往更善于服从,"Avanade 的首席人力资源官 Dave Gartenberg 说," 虽然很多时候他们应该说'不', 但有时他们会参与一些预算少, 领导不怎么重视的项目, 这些项目看起来很有前景, 但实际上可能只是乌托邦式的幻想. 所以我认为 IT 领导者对从项目一开始就应该在内部约定, 明确该项目的责任归属."
Insight Enterprises 的 Peter Kraatz 表示, 管理不当也会导致 IT 问题.
所以, 内部的分工合作机制很重要, 比如某个员工应当在什么时机做什么事情. 企业必须告知员工预算的使用情况以及工作过程中可能出现的问题.
旧金山州立大学在顾问发现一个数据库漏洞后解雇了一名安全管理人员, 这位员工起诉了这所大学, 认为此次事件的责任人并非自己. 据称, 她告知过上级, 在第三方发现漏洞之前必须对数据库进行优化, 但由于预算限制, 当时未能进行优化.
问责高管
如今, 业务和技术密不可分. 因此, 将所有与技术相关的事故都归咎于 IT 是不现实的. Cloud Academy 营销副总裁 Alex Brower 表示, 企业领导层需要为企业文化定下基调."企业文化需要持续发展, 相同条件下, 今天的好东西, 在未来或许就要被淘汰. 我认为, 领导者有责任建立员工对企业文化和业务的清晰理解, 确保员工明白自己的责任."
在出现 IT 事故时, 有时 CIO 会被追究责任. Kamboj 说:"通常, 发现 CIO 的行为可能会对企业不利时, 企业会考虑解雇他. 如果在几个季度内连续出现差错, 如数据泄露, 侵犯隐私或合规问题等, 那么我的建议是解雇 CIO. 即使要解雇 CIO, 仍然需要 6 到 9 个月的时间来实现. 然而, 在一些情况下, 这样的差错在两年内可能都不会发生."
为了调查结果更负责, Kamboj 还关注 CIO 是否正在执行或拒绝第三方建议.
"没有 CIO 不愿意雇用安全顾问, 无论他们多么傲慢,"Kamboj 说," 他们会聘请顾问进行调查, 但也有很多 CIO 接受或者拒绝采纳顾问的建议.
今天的 CIO 管理着很多复杂技术, 尽管他们中的大多数都不是 IT 专家. 鉴于当前的网络安全现状, 许多公司正在招聘 CSO 或 CISO, 他们向 CEO,CIO,COO 或法律顾问汇报工作. 这个职位的设立是为了加强企业的安防能力. 然而, 这也可能导致大众普遍认为 CISO 需要对安全漏洞承担全部责任.
"CISO 可能会提供意见, 但最终应该承担责任的是 CIO,"Kamboj 说,"他们可以将实施权转移到 CISO, 而 CISO 又将其外包给咨询公司来实施该战略. 所以, 不能说出现安全问题完全是 CISO 一个人的责任."
在某些情况下, CEO 至少要承担部分责任. 例如, 在 Target 数据泄露事件发生后, 其董事长, 总裁和 CEO 承担了全部责任. Uber 事件中, 其 CEO,COO 和一名律师承担了责任.
企业付给管理者上百万美元的薪水, 但如果他没有扮演好自己的角色, 那么就应该被解雇. 而不是因为自己做出的错误决定, 让另外一个人失业, 或者伤害到其他员工.
来源: http://netsecurity.51cto.com/art/201904/594749.htm