企業出了IT事故,誰來負責?

安全頻道發表於2019-04-09

當企業內部出現IT事故時,輿論質疑、客戶追責甚至訴訟等問題都會接踵而至,這些問題會令企業蒙受巨大的損失。那麼,誰應該為這樣的失誤負責呢?

有些企業由於未能及時更新補丁而導致IT事故,企業的聲譽和估值受到巨大打擊。如果出現類似的事件,誰應該為此負責?這取決於公司的企業文化和政策。但不管是誰,總要有人為此負責。

例如,Equifax洩露事件導致包括CIO、CSO和CEO在內的三名高管離職。另外,即使並非所有的IT事故都會成為頭條新聞,但由於疏忽、無意和蓄意等原因,這樣的事情每天都在發生。

歸咎於IT員工

當IT人員和企業因IT事故而受到公眾指責甚至是羞辱時,儘管造成失誤的IT人員應該受到譴責,但把一切都歸咎於一名員工,會掩蓋導致失誤的本質因素。

不管受到譴責還是訴訟,員工理應承擔自己的責任。但是責任的追究取決於員工在造成失誤的過程中做了什麼和本應做什麼。員工是聽從指揮還是根據經驗實踐做出判斷(從而導致失誤)?這非常重要。換句話說,可能必須改變的不是個人,而是整個企業。”

通常,許多IT事故是顯而易見的,即使對非技術人員來說也是如此。然而,那些非IT人員通常並不熟悉IT運營的細節,例如日益複雜的IT能否在可控預算內對IT事故進行妥善地處理。

“IT專業人士往往更善於服從,”Avanade的首席人力資源官Dave Gartenberg說,“雖然很多時候他們應該說‘不’,但有時他們會參與一些預算少、領導不怎麼重視的專案,這些專案看起來很有前景,但實際上可能只是烏托邦式的幻想。所以我認為IT領導者對從專案一開始就應該在內部約定,明確該專案的責任歸屬。”

Insight Enterprises的Peter Kraatz表示,管理不當也會導致IT問題。

所以,內部的分工合作機制很重要,比如某個員工應當在什麼時機做什麼事情。企業必須告知員工預算的使用情況以及工作過程中可能出現的問題。

舊金山州立大學在顧問發現一個資料庫漏洞後解僱了一名安全管理人員,這位員工起訴了這所大學,認為此次事件的責任人並非自己。據稱,她告知過上級,在第三方發現漏洞之前必須對資料庫進行優化,但由於預算限制,當時未能進行優化。

問責高管

如今,業務和技術密不可分。因此,將所有與技術相關的事故都歸咎於IT是不現實的。Cloud Academy營銷副總裁Alex Brower表示,企業領導層需要為企業文化定下基調。“企業文化需要持續發展,相同條件下,今天的好東西,在未來或許就要被淘汰。我認為,領導者有責任建立員工對企業文化和業務的清晰理解,確保員工明白自己的責任。”

在出現IT事故時,有時CIO會被追究責任。Kamboj說:“通常,發現CIO的行為可能會對企業不利時,企業會考慮解僱他。如果在幾個季度內連續出現差錯,如資料洩露、侵犯隱私或合規問題等,那麼我的建議是解僱CIO。即使要解僱CIO,仍然需要6到9個月的時間來實現。然而,在一些情況下,這樣的差錯在兩年內可能都不會發生。”

為了調查結果更負責,Kamboj還關注CIO是否正在執行或拒絕第三方建議。

“沒有CIO不願意僱用安全顧問,無論他們多麼傲慢,”Kamboj說,“他們會聘請顧問進行調查,但也有很多CIO接受或者拒絕採納顧問的建議。

今天的CIO管理著很多複雜技術,儘管他們中的大多數都不是IT專家。鑑於當前的網路安全現狀,許多公司正在招聘CSO或CISO,他們向CEO、CIO、COO或法律顧問彙報工作。這個職位的設立是為了加強企業的安防能力。然而,這也可能導致大眾普遍認為CISO需要對安全漏洞承擔全部責任。

“CISO可能會提供意見,但最終應該承擔責任的是CIO,”Kamboj說,“他們可以將實施權轉移到CISO,而CISO又將其外包給諮詢公司來實施該戰略。所以,不能說出現安全問題完全是 CISO一個人的責任。”

在某些情況下,CEO至少要承擔部分責任。例如,在Target資料洩露事件發生後,其董事長、總裁和CEO承擔了全部責任。Uber事件中,其CEO、COO和一名律師承擔了責任。

企業付給管理者上百萬美元的薪水,但如果他沒有扮演好自己的角色,那麼就應該被解僱。而不是因為自己做出的錯誤決定,讓另外一個人失業,或者傷害到其他員工。

來自 “ https://www.informationweek.com/strategic-cio/whos ”,原文連結:http://blog.itpub.net/31545812/viewspace-2640811/,如需轉載,請註明出處,否則將追究法律責任。

相關文章