如(rú)今，似乎沒有一(yī)天不發生(shēng)網絡入侵事(shì)件，導緻金(jīn)錢(qián)和數據被竊取，甚至給企業或政府帶來(lái)巨大損害。這(zhè)些(xiē)事(shì)故反映了(le)防範措施方面的漫不經心，以及企業高管們對股東利益的漠視(shì)。2014年，瑞士蘇黎世保險集團（ZurichInsuranceGroup）在其報(bào)告中提到：“最近，某些(xiē)遭受網絡侵害的公司股東對企業董事(shì)會提出了(le)法律訴訟，指責後者未能(néng)履行其應盡的責任，導緻企業沒有足夠的安全措施來(lái)進行自我防護。”

作(zuò)為(wèi)企業高管來(lái)說(shuō)，要把握技術決策、盡到網絡安全方面的受托責任并非易事(shì)。事(shì)實上(shàng)，如(rú)果沒有IT團隊的全力協助，這(zhè)就(jiù)是一(yī)項無法完成的任務(wù)。尤其是缺少IT流程的文檔規範時(shí)，隐患就(jiù)根植于IT團隊内部。

我曾經與規模不一(yī)的各類企業高管、政府官員(yuán)以及富翁們一(yī)同工作(zuò)，發現(xiàn)很多人(rén)已經被IT挾持為(wèi)人(rén)質還一(yī)無所知。很多時(shí)候，這(zhè)些(xiē)企業或個(gè)人(rén)由于内部的行竊遭受數百萬美元的損失，而且往往來(lái)自于深受信任的正式員(yuán)工。有些(xiē)高管對于企業的安全措施深信不疑，但(dàn)實際情況往往相反，而且在一(yī)些(xiē)基本層面缺乏最佳實踐。

這(zhè)些(xiē)例子(zǐ)看似極端，其實是最常見的情況。一(yī)般而言，肇端始于信息的缺失或隐藏，一(yī)段時(shí)日之後，随着對IT管控的加強，透明度越來(lái)越低(dī)。于是，IT最終将無法及時(shí)交付企業所需的信息。同時(shí)，IT也(yě)會逐漸有意無意地用各類技術用語将自己包裹起來(lái)，顯得懶惰而平庸。

鑒别隐患的十個(gè)角度

通過回答(dá)下(xià)列問題，你可以判斷自己是否被IT所綁架：

1.你是否相信自己被告知了(le)系統的真實情況？

2.你是否真正理(lǐ)解了(le)所呈現(xiàn)的信息并對相應的決策充滿信心？

3.你是否确信遵循了(le)本州和聯邦的法律法規？

4.假設IT團隊缺位，你是否擁有能(néng)夠确保企業正常運轉的流程文檔？

5.在遭受自然災害、技術事(shì)故或網絡攻擊之後，你的企業是否能(néng)幸存？

6.你的IT團隊是否能(néng)對所有支出給予明确說(shuō)明？

7.你是否曾因為(wèi)未知的後果而懼怕做出改變？

8.你是否曾懷疑IT投入的去向，甚至感覺到技術部門就(jiù)是一(yī)個(gè)資金(jīn)黑洞？

9.你是否認為(wèi)自己的員(yuán)工才能(néng)真正理(lǐ)解企業的系統，而其他人(rén)則無法做到這(zhè)一(yī)點？

10.你的系統是否經常出現(xiàn)故障？

如(rú)果對前六個(gè)問題你的回答(dá)是NO，或者對後四個(gè)問題回答(dá)YES，那麽，你可能(néng)已經被IT綁架了(le)。

為(wèi)什(shén)麽需要IT流程文檔

以上(shàng)面第四個(gè)問題提到的IT流程文檔為(wèi)例，如(rú)果你沒有自身(shēn)系統的目錄、配置、依賴及集成文檔，将會造成極為(wèi)嚴重的後果。IT流程文檔的缺失，将會導緻時(shí)間(jiān)和财富上(shàng)的巨大浪費。員(yuán)工會以公司名義買入設備、軟件和服務(wù)，然後供自己、朋(péng)友或家人(rén)使用。他們可能(néng)會在上(shàng)班時(shí)間(jiān)對外私下(xià)提供IT服務(wù)、運行在線站(zhàn)點甚至在電子(zǐ)商(shāng)務(wù)網站(zhàn)上(shàng)賣東西(xī)。除了(le)這(zhè)些(xiē)直接的損失之外，如(rú)果員(yuán)工向禁運國家售賣非法設備，将造成賦稅責任乃至違反出口法規。

沒有相應的文檔，如(rú)果員(yuán)工突然離職怎麽辦？我曾經見過很多公司，其核心員(yuán)工不産出任何文檔，或者突然主動或被動地離職。我親眼目睹了(le)這(zhè)些(xiē)公司（包括大型企業）不僅受困于員(yuán)工的流失，更為(wèi)嚴重的是無法再訪問系統、維護應用、更新(xīn)網站(zhàn)。

更糟糕的是，這(zhè)些(xiē)企業的管理(lǐ)層由于害怕未知的後果，對那些(xiē)不負責、不稱職、不産出的員(yuán)工或供應商(shāng)長期忍耐，不采取任何行動。面對“沒有我事(shì)情将一(yī)團糟”或“我也(yě)想找到能(néng)夠接手客戶應用的人(rén)選，但(dàn)除了(le)我之外這(zhè)基本是不可能(néng)的”一(yī)類的威脅，高層隻能(néng)委曲求全。在一(yī)個(gè)極端的例子(zǐ)中，甚至員(yuán)工都不堪忍受這(zhè)種IT文化(huà)而選擇離開。在離開時(shí)，這(zhè)些(xiē)員(yuán)工通常這(zhè)樣表示“他們是如(rú)此的居高臨下(xià)、盛氣淩人(rén)，我已經無法忍受為(wèi)了(le)完成正常工作(zuò)而低(dī)聲下(xià)氣了(le)。”

IT流程文檔建設的6個(gè)步驟

那麽，你該如(rú)何做才能(néng)避免成為(wèi)IT的人(rén)質呢(ne)？

1.防止任何個(gè)人(rén)或團隊的權力過大

2.要求員(yuán)工和服務(wù)提供商(shāng)提供完備的文檔和變更控制。确保文檔包括了(le)以下(xià)内容：

針對網絡、服務(wù)器(qì)、應用和所有服務(wù)的認證信息，比如(rú)用戶名、密碼、證書等軟硬件目錄、媒介、訪問和許可信息準确而完整的網絡圖示應用目錄和配置信息客戶應用開發文檔流程和集成工作(zuò)流圖示互聯網服務(wù)提供商(shāng)的名字、合同、密碼和配置信息域名注冊商(shāng)的名字、合同、密碼和配置信息所有提供系統部署和運維支持的服務(wù)商(shāng)的合同，以及其他相關(guān)信息。包括集成商(shāng)、硬件供應商(shāng)、托管服務(wù)提供商(shāng)、軟件顧問商(shāng)、安全顧問商(shāng)、空調及電力系統提供商(shāng)等。所有變更的詳細記錄，以此确保文檔的準确性和真實性

3.确保你（或者肩負相應職責的員(yuán)工）有域級的系統訪問權，并經常随機抽檢測試

4.确保對網絡配置、安全和可靠性的客觀評估：

對信息可信度、一(yī)緻性和可用性的角度進行評估IT團隊所有成員(yuán)要做好(hǎo)(hǎo)準備、全力以赴IT不插手第三方評估商(shāng)的遴選工作(zuò)IT不會對評估結果進行幹預評估結果對當前狀況和未來(lái)可能(néng)發生(shēng)的變化(huà)有切實的意義

5.當突然出現(xiàn)員(yuán)工不到位的情況時(shí)，借助于外部力量進行支持

6.在企業發展或技術進步的同時(shí)，堅持對員(yuán)工進行評估。不能(néng)因為(wèi)前來(lái)後到而區分(fēn)水平的高低(dī)。

解決問題的五個(gè)方案

現(xiàn)在，如(rú)果你知道自己已經被IT所挾持，該怎麽辦呢(ne)？

解決這(zhè)個(gè)問題，需要非常謹慎。如(rú)果過于魯莽，你可能(néng)會讓優秀的員(yuán)工産生(shēng)疏離感——他們可能(néng)是因為(wèi)太過忙碌而沒來(lái)得及完成某項工作(zuò)。而且，如(rú)果讓居心不良者察覺你的意圖，可能(néng)會引發嚴重後果。比如(rú)，他們可能(néng)會蓄意進行破壞，讓後續的工作(zuò)難以開展。總之，謹慎對待，按照下(xià)面的建議(yì)：

1.要求員(yuán)工提供工作(zuò)文檔。如(rú)果這(zhè)個(gè)要求顯得不同尋常，必須想辦法不讓員(yuán)工發現(xiàn)異常。

2.通過獨立的評估和文檔項目來(lái)檢驗這(zhè)些(xiē)文檔。那些(xiē)具有專業操守和水平的員(yuán)工對于這(zhè)樣的要求不會有異議(yì)。實際上(shàng)，很多人(rén)反而會樂(yuè)在其中。有很多辦法可以步引起企業内的緊張氛圍。

3.确保自己能(néng)充分(fēn)理(lǐ)解評估的結果。

4.審視(shì)财務(wù)和庫存記錄，看看其中是否有問題。

5.如(rú)果你覺得情況在變糟，盡快(kuài)尋求專業力量的協助。