如今，似乎沒有一(yī)天不發生(shēng)網絡入侵事(shì)件(jiàn)，導緻金錢(qián)和數據被竊取，甚至給企業(yè)或政府帶來巨大損害。這些事(shì)故反映了防範措施方面的漫不經心，以及企業(yè)高(gāo)管們對股東利益的漠視。2014年(nián)，瑞士蘇黎世保險集團（ZurichInsuranceGroup）在其報(bào)告中提到(dào)：“最近，某些遭受網絡侵害的公司股東對企業(yè)董事(shì)會(huì)提出了法律訴訟，指責後者未能(néng)履行其應盡的責任，導緻企業(yè)沒有足夠的安全措施來進行自(zì)我防護。”

作為(wèi)企業(yè)高(gāo)管來說，要把握技(jì)術(shù)決策、盡到(dào)網絡安全方面的受托責任并非易事(shì)。事(shì)實上(shàng)，如果沒有IT團隊的全力協助，這就(jiù)是一(yī)項無法完成的任務。尤其是缺少IT流程的文檔規範時，隐患就(jiù)根植于IT團隊内部。

我曾經與規模不一(yī)的各類企業(yè)高(gāo)管、政府官員(yuán)以及富翁們一(yī)同工(gōng)作，發現很多(duō)人已經被IT挾持為(wèi)人質還(hái)一(yī)無所知。很多(duō)時候，這些企業(yè)或個(gè)人由于内部的行竊遭受數百萬美元的損失，而且往往來自(zì)于深受信任的正式員(yuán)工(gōng)。有些高(gāo)管對于企業(yè)的安全措施深信不疑，但實際情況往往相(xiàng)反，而且在一(yī)些基本層面缺乏最佳實踐。

這些例子看(kàn)似極端，其實是最常見(jiàn)的情況。一(yī)般而言，肇端始于信息的缺失或隐藏，一(yī)段時日之後，随著(zhe)對IT管控的加強，透明度越來越低(dī)。于是，IT最終将無法及時交付企業(yè)所需的信息。同時，IT也會(huì)逐漸有意無意地用各類技(jì)術(shù)用語将自(zì)己包裹起來，顯得懶惰而平庸。

鑒别隐患的十個(gè)角度

通(tōng)過回答下(xià)列問題，你可以判斷自(zì)己是否被IT所綁架：

1.你是否相(xiàng)信自(zì)己被告知了系統的真實情況？

2.你是否真正理解了所呈現的信息并對相(xiàng)應的決策充滿信心？

3.你是否确信遵循了本州和聯邦的法律法規？

4.假設IT團隊缺位，你是否擁有能(néng)夠确保企業(yè)正常運轉的流程文檔？

5.在遭受自(zì)然災害、技(jì)術(shù)事(shì)故或網絡攻擊之後，你的企業(yè)是否能(néng)幸存？

6.你的IT團隊是否能(néng)對所有支出給予明确說明？

7.你是否曾因為(wèi)未知的後果而懼怕做出改變？

8.你是否曾懷疑IT投入的去向，甚至感覺到(dào)技(jì)術(shù)部門(mén)就(jiù)是一(yī)個(gè)資金黑(hēi)洞？

9.你是否認為(wèi)自(zì)己的員(yuán)工(gōng)才能(néng)真正理解企業(yè)的系統，而其他人則無法做到(dào)這一(yī)點？

10.你的系統是否經常出現故障？

如果對前六個(gè)問題你的回答是NO，或者對後四個(gè)問題回答YES，那麽，你可能(néng)已經被IT綁架了。

為(wèi)什麽需要IT流程文檔

以上(shàng)面第四個(gè)問題提到(dào)的IT流程文檔為(wèi)例，如果你沒有自(zì)身系統的目錄、配置、依賴及集成文檔，将會(huì)造成極為(wèi)嚴重的後果。IT流程文檔的缺失，将會(huì)導緻時間和财富上(shàng)的巨大浪費(fèi)。員(yuán)工(gōng)會(huì)以公司名義買入設備、軟件(jiàn)和服務，然後供自(zì)己、朋友(yǒu)或家人使用。他們可能(néng)會(huì)在上(shàng)班時間對外私下(xià)提供IT服務、運行在線站點甚至在電(diàn)子商務網站上(shàng)賣東西(xī)。除了這些直接的損失之外，如果員(yuán)工(gōng)向禁運國(guó)家售賣非法設備，将造成賦稅責任乃至違反出口法規。

沒有相(xiàng)應的文檔，如果員(yuán)工(gōng)突然離職怎麽辦？我曾經見(jiàn)過很多(duō)公司，其核心員(yuán)工(gōng)不産出任何文檔，或者突然主動或被動地離職。我親眼目睹了這些公司（包括大型企業(yè)）不僅受困于員(yuán)工(gōng)的流失，更為(wèi)嚴重的是無法再訪問系統、維護應用、更新網站。

更糟糕的是，這些企業(yè)的管理層由于害怕未知的後果，對那些不負責、不稱職、不産出的員(yuán)工(gōng)或供應商長(cháng)期忍耐，不采取任何行動。面對“沒有我事(shì)情将一(yī)團糟”或“我也想找到(dào)能(néng)夠接手客戶應用的人選，但除了我之外這基本是不可能(néng)的”一(yī)類的威脅，高(gāo)層隻能(néng)委曲求全。在一(yī)個(gè)極端的例子中，甚至員(yuán)工(gōng)都不堪忍受這種IT文化而選擇離開(kāi)。在離開(kāi)時，這些員(yuán)工(gōng)通(tōng)常這樣表示“他們是如此的居高(gāo)臨下(xià)、盛氣淩人，我已經無法忍受為(wèi)了完成正常工(gōng)作而低(dī)聲下(xià)氣了。”

IT流程文檔建設的6個(gè)步驟

那麽，你該如何做才能(néng)避免成為(wèi)IT的人質呢(ne)？

1.防止任何個(gè)人或團隊的權力過大

2.要求員(yuán)工(gōng)和服務提供商提供完備的文檔和變更控制。确保文檔包括了以下(xià)内容：

針對網絡、服務器(qì)、應用和所有服務的認證信息，比如用戶名、密碼、證書等軟硬件(jiàn)目錄、媒介、訪問和許可信息準确而完整的網絡圖示應用目錄和配置信息客戶應用開(kāi)發文檔流程和集成工(gōng)作流圖示互聯網服務提供商的名字、合同、密碼和配置信息域名注冊商的名字、合同、密碼和配置信息所有提供系統部署和運維支持的服務商的合同，以及其他相(xiàng)關信息。包括集成商、硬件(jiàn)供應商、托管服務提供商、軟件(jiàn)顧問商、安全顧問商、空調及電(diàn)力系統提供商等。所有變更的詳細記錄，以此确保文檔的準确性和真實性

3.确保你（或者肩負相(xiàng)應職責的員(yuán)工(gōng)）有域級的系統訪問權，并經常随機(jī)抽檢測試

4.确保對網絡配置、安全和可靠性的客觀評估：

對信息可信度、一(yī)緻性和可用性的角度進行評估IT團隊所有成員(yuán)要做好準備、全力以赴IT不插手第三方評估商的遴選工(gōng)作IT不會(huì)對評估結果進行幹預評估結果對當前狀況和未來可能(néng)發生(shēng)的變化有切實的意義

5.當突然出現員(yuán)工(gōng)不到(dào)位的情況時，借助于外部力量進行支持

6.在企業(yè)發展或技(jì)術(shù)進步的同時，堅持對員(yuán)工(gōng)進行評估。不能(néng)因為(wèi)前來後到(dào)而區分水(shuǐ)平的高(gāo)低(dī)。

解決問題的五個(gè)方案

現在，如果你知道自(zì)己已經被IT所挾持，該怎麽辦呢(ne)？

解決這個(gè)問題，需要非常謹慎。如果過于魯莽，你可能(néng)會(huì)讓優秀的員(yuán)工(gōng)産生(shēng)疏離感——他們可能(néng)是因為(wèi)太過忙碌而沒來得及完成某項工(gōng)作。而且，如果讓居心不良者察覺你的意圖，可能(néng)會(huì)引發嚴重後果。比如，他們可能(néng)會(huì)蓄意進行破壞，讓後續的工(gōng)作難以開(kāi)展。總之，謹慎對待，按照(zhào)下(xià)面的建議：

1.要求員(yuán)工(gōng)提供工(gōng)作文檔。如果這個(gè)要求顯得不同尋常，必須想辦法不讓員(yuán)工(gōng)發現異常。

2.通(tōng)過獨立的評估和文檔項目來檢驗這些文檔。那些具有專業(yè)操守和水(shuǐ)平的員(yuán)工(gōng)對于這樣的要求不會(huì)有異議。實際上(shàng)，很多(duō)人反而會(huì)樂在其中。有很多(duō)辦法可以步引起企業(yè)内的緊張氛圍。

3.确保自(zì)己能(néng)充分理解評估的結果。

4.審視财務和庫存記錄，看(kàn)看(kàn)其中是否有問題。

5.如果你覺得情況在變糟，盡快尋求專業(yè)力量的協助。