當(dāng)企業(yè)內(nèi)部出現(xiàn)IT事故時(shí)，輿論質(zhì)疑、客戶追責(zé)甚至訴訟等問題都會(huì)接踵而至，這些問題會(huì)令企業(yè)蒙受巨大的損失。那么，誰應(yīng)該為這樣的失誤負(fù)責(zé)呢?

[[261910]]

有些企業(yè)由于未能及時(shí)更新應(yīng)用而導(dǎo)致IT事故，企業(yè)的聲譽(yù)和估值受到巨大打擊。如果出現(xiàn)類似的事件，誰應(yīng)該為此負(fù)責(zé)?這取決于公司的企業(yè)文化和政策。但不管是誰，總要有人為此負(fù)責(zé)。

例如，Equifax泄露事件導(dǎo)致包括CIO、CSO和CEO在內(nèi)的三名高管離職。另外，即使并非所有的IT事故都會(huì)成為頭條新聞，但由于疏忽、無意和蓄意等原因，這樣的事情每天都在發(fā)生。

歸咎于IT員工

當(dāng)IT人員和企業(yè)因IT事故而受到公眾指責(zé)甚至是羞辱時(shí)，盡管造成失誤的IT人員應(yīng)該受到譴責(zé)，但把一切都?xì)w咎于一名員工，會(huì)掩蓋導(dǎo)致失誤的本質(zhì)因素。

不管受到譴責(zé)還是訴訟，員工理應(yīng)承擔(dān)自己的責(zé)任。但是責(zé)任的追究取決于員工在造成失誤的過程中做了什么和本應(yīng)做什么。員工是聽從指揮還是根據(jù)經(jīng)驗(yàn)實(shí)踐做出判斷(從而導(dǎo)致失誤)?這非常重要。換句話說，可能必須改變的不是個(gè)人，而是整個(gè)企業(yè)。”

通常，許多IT事故是顯而易見的，即使對非技術(shù)人員來說也是如此。然而，那些非IT人員通常并不熟悉IT運(yùn)營的細(xì)節(jié)，例如日益復(fù)雜的IT能否在可控預(yù)算內(nèi)對IT事故進(jìn)行妥善地處理。

“IT專業(yè)人士往往更善于服從，”Avanade的首席人力資源官Dave Gartenberg說，“雖然很多時(shí)候他們應(yīng)該說‘不’，但有時(shí)他們會(huì)參與一些預(yù)算少、領(lǐng)導(dǎo)不怎么重視的項(xiàng)目，這些項(xiàng)目看起來很有前景，但實(shí)際上可能只是烏托邦式的幻想。所以我認(rèn)為IT高層對從項(xiàng)目一開始就應(yīng)該在內(nèi)部約定，明確該項(xiàng)目的責(zé)任歸屬。”

Insight Enterprises的Peter Kraatz表示，管理不當(dāng)也會(huì)導(dǎo)致IT問題。

所以，內(nèi)部的分工合作機(jī)制很重要，比如某個(gè)員工應(yīng)當(dāng)在什么時(shí)機(jī)做什么事情。企業(yè)必須告知員工預(yù)算的使用情況以及工作過程中可能出現(xiàn)的問題。

舊金山州立大學(xué)在顧問發(fā)現(xiàn)一個(gè)數(shù)據(jù)庫漏洞后解雇了一名安全管理人員，這位員工起訴了這所大學(xué)，認(rèn)為此次事件的責(zé)任人并非自己。據(jù)稱，她告知過上級，在第三方發(fā)現(xiàn)漏洞之前必須對數(shù)據(jù)庫進(jìn)行優(yōu)化，但由于預(yù)算限制，當(dāng)時(shí)未能進(jìn)行優(yōu)化。

問責(zé)高管

如今，業(yè)務(wù)和技術(shù)密不可分。因此，將所有與技術(shù)相關(guān)的事故都?xì)w咎于IT是不現(xiàn)實(shí)的。Cloud Academy營銷副總裁Alex Brower表示，企業(yè)領(lǐng)導(dǎo)層需要為企業(yè)文化定下基調(diào)。“企業(yè)文化需要持續(xù)發(fā)展，相同條件下，今天的好東西，在未來或許就要被淘汰。我認(rèn)為，高層有責(zé)任建立員工對企業(yè)文化和業(yè)務(wù)的清晰理解，確保員工明白自己的責(zé)任。”

在出現(xiàn)IT事故時(shí)，有時(shí)CIO會(huì)被追究責(zé)任。Kamboj說:“通常，發(fā)現(xiàn)CIO的行為可能會(huì)對企業(yè)不利時(shí)，企業(yè)會(huì)考慮解雇他。如果在幾個(gè)季度內(nèi)連續(xù)出現(xiàn)差錯(cuò)，如數(shù)據(jù)泄露、侵犯隱私或合規(guī)問題等，那么我的建議是解雇CIO。即使要解雇CIO，仍然需要6到9個(gè)月的時(shí)間來實(shí)現(xiàn)。然而，在一些情況下，這樣的差錯(cuò)在兩年內(nèi)可能都不會(huì)發(fā)生。”

為了調(diào)查結(jié)果更負(fù)責(zé)，Kamboj還關(guān)注CIO是否正在執(zhí)行或拒絕第三方建議。

“沒有CIO不愿意雇用安全顧問，無論他們多么傲慢，”Kamboj說，“他們會(huì)聘請顧問進(jìn)行調(diào)查，但也有很多CIO接受或者拒絕采納顧問的建議。

今天的CIO管理著很多復(fù)雜技術(shù)，盡管他們中的大多數(shù)都不是IT專家。鑒于當(dāng)前的網(wǎng)絡(luò)安全現(xiàn)狀，許多公司正在招聘CSO或CISO，他們向CEO、CIO、COO或法律顧問匯報(bào)工作。這個(gè)職位的設(shè)立是為了加強(qiáng)企業(yè)的安防能力。然而，這也可能導(dǎo)致大眾普遍認(rèn)為CISO需要對安全漏洞承擔(dān)全部責(zé)任。

“CISO可能會(huì)提供意見，但最終應(yīng)該承擔(dān)責(zé)任的是CIO,”Kamboj說,“他們可以將實(shí)施權(quán)轉(zhuǎn)移到CISO，而CISO又將其外包給咨詢公司來實(shí)施該戰(zhàn)略。所以，不能說出現(xiàn)安全問題完全是 CISO一個(gè)人的責(zé)任。”

在某些情況下，CEO至少要承擔(dān)部分責(zé)任。例如，在Target數(shù)據(jù)泄露事件發(fā)生后，其董事長、總裁和CEO承擔(dān)了全部責(zé)任。Uber事件中，其CEO、COO和一名律師承擔(dān)了責(zé)任。

企業(yè)付給管理者上百萬美元的薪水，但如果他沒有扮演好自己的角色，那么就應(yīng)該被解雇。而不是因?yàn)樽约鹤龀龅腻e(cuò)誤決定，讓另外一個(gè)人失業(yè)，或者傷害到其他員工。