企业出了IT事故,谁来负责?

作者:   深圳市网安计算机安全检测技术有限公司 2019/04/10 10:38:37 330次阅读 国际
文章来源:http://netsecurity.51cto.com/art/201904/594749.htm

        当企业内部出现IT事故时,舆论质疑、客户追责甚至诉讼等问题都会接踵而至,这些问题会令企业蒙受巨大的损失。那么,谁应该为这样的失误负责呢?

alt

        有些企业由于未能及时更新应用而导致IT事故,企业的声誉和估值受到巨大打击。如果出现类似的事件,谁应该为此负责?这取决于公司的企业文化和政策。但不管是谁,总要有人为此负责。

        例如,Equifax泄露事件导致包括CIO、CSO和CEO在内的三名高管离职。另外,即使并非所有的IT事故都会成为头条新闻,但由于疏忽、无意和蓄意等原因,这样的事情每天都在发生。

归咎于IT员工

        当IT人员和企业因IT事故而受到公众指责甚至是羞辱时,尽管造成失误的IT人员应该受到谴责,但把一切都归咎于一名员工,会掩盖导致失误的本质因素。

        不管受到谴责还是诉讼,员工理应承担自己的责任。但是责任的追究取决于员工在造成失误的过程中做了什么和本应做什么。员工是听从指挥还是根据经验实践做出判断(从而导致失误)?这非常重要。换句话说,可能必须改变的不是个人,而是整个企业。”

        通常,许多IT事故是显而易见的,即使对非技术人员来说也是如此。然而,那些非IT人员通常并不熟悉IT运营的细节,例如日益复杂的IT能否在可控预算内对IT事故进行妥善地处理。

        “IT专业人士往往更善于服从,”Avanade的首席人力资源官Dave Gartenberg说,“虽然很多时候他们应该说‘不’,但有时他们会参与一些预算少、领导不怎么重视的项目,这些项目看起来很有前景,但实际上可能只是乌托邦式的幻想。所以我认为IT领导者对从项目一开始就应该在内部约定,明确该项目的责任归属。”

        Insight Enterprises的Peter Kraatz表示,管理不当也会导致IT问题。

        所以,内部的分工合作机制很重要,比如某个员工应当在什么时机做什么事情。企业必须告知员工预算的使用情况以及工作过程中可能出现的问题。

        旧金山州立大学在顾问发现一个数据库漏洞后解雇了一名安全管理人员,这位员工起诉了这所大学,认为此次事件的责任人并非自己。据称,她告知过上级,在第三方发现漏洞之前必须对数据库进行优化,但由于预算限制,当时未能进行优化。

问责高管

        如今,业务和技术密不可分。因此,将所有与技术相关的事故都归咎于IT是不现实的。Cloud Academy营销副总裁Alex Brower表示,企业领导层需要为企业文化定下基调。“企业文化需要持续发展,相同条件下,今天的好东西,在未来或许就要被淘汰。我认为,领导者有责任建立员工对企业文化和业务的清晰理解,确保员工明白自己的责任。”

        在出现IT事故时,有时CIO会被追究责任。Kamboj说:“通常,发现CIO的行为可能会对企业不利时,企业会考虑解雇他。如果在几个季度内连续出现差错,如数据泄露、侵犯隐私或合规问题等,那么我的建议是解雇CIO。即使要解雇CIO,仍然需要6到9个月的时间来实现。然而,在一些情况下,这样的差错在两年内可能都不会发生。”

        为了调查结果更负责,Kamboj还关注CIO是否正在执行或拒绝第三方建议。

        “没有CIO不愿意雇用安全顾问,无论他们多么傲慢,”Kamboj说,“他们会聘请顾问进行调查,但也有很多CIO接受或者拒绝采纳顾问的建议。

        今天的CIO管理着很多复杂技术,尽管他们中的大多数都不是IT专家。鉴于当前的网络安全现状,许多公司正在招聘CSO或CISO,他们向CEO、CIO、COO或法律顾问汇报工作。这个职位的设立是为了加强企业的安防能力。然而,这也可能导致大众普遍认为CISO需要对安全漏洞承担全部责任。

        “CISO可能会提供意见,但最终应该承担责任的是CIO,”Kamboj说,“他们可以将实施权转移到CISO,而CISO又将其外包给咨询公司来实施该战略。所以,不能说出现安全问题完全是 CISO一个人的责任。”

        在某些情况下,CEO至少要承担部分责任。例如,在Target数据泄露事件发生后,其董事长、总裁和CEO承担了全部责任。Uber事件中,其CEO、COO和一名律师承担了责任。

        企业付给管理者上百万美元的薪水,但如果他没有扮演好自己的角色,那么就应该被解雇。而不是因为自己做出的错误决定,让另外一个人失业,或者伤害到其他员工。

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室