前瞻性的规划和规范
前瞻性的规划和规范
要从根源上解决地下IT,就需要消除地下IT存在的沃土。为此,企业需要制定前瞻性的IT规划和统一的规范。
“企业不能缺乏整体前瞻的IT规划。”王泉庚认为,企业的IT系统不应仅是为了应付当前业务需要出发,而应该预测到今后的变化,要具备可拓展性和应变的能力。美特斯邦威集团本身就是一个典型例子,近十年来,美特斯邦威集团的销售额从几百万发展到了2004年的28.29亿元人民币,保持了年 80%以上的增长速度,在这样的发展速度下,企业的IT系统一直都能够与之非常好的匹配,不会出现业务需求IT无法响应的情况。
“IT的架构应该与企业的组织机构、流程相匹配,形成整体的系统应变能力。”王泉庚介绍,美特斯邦威集团现在实行的是面向对象的IT架构。
与此同时,完善的IT规范必不可少。格兰仕公司将IT相关采购管理维护等所有相关权利收归到了集团的IT部门,然后进行统一规划、统一审批、统一配置、统一管理。这意味着,即使出现暂时的IT与业务能力不匹配的情况,业务部门也不能自行开展IT项目,这基本消除了诞生地下IT的可能。
作为全球最大的安全软件企业,赛门铁克公司对自身的安全更是不敢掉以轻心。除了全球统一的IT配置、规范和远程监控模式,员工的机器只要连到内部网络,任何违反规定的行为,譬如安装软件、私自上网都可以在第一时间被发现。
赛门铁克公司的安全管理,也以严格、严厉而在业内闻名。假设一名员工通过电话拨号进入互联网,系统在两分钟内,就会给该员工发送消息,同时强制断网。警告的消息会抄送给该员工的上级主管,同一名员工只要出现两次这样的状况,马上就会被公司开除。因为员工绕过了公司的安全监测系统登陆公共网络,机器的另一端却连接在公司网络,这意味着他把公司的网络接口暴露到了公共网络上,很容易成为恶意攻击的缺口。同时,IT部门需要及时更新安全策略和规范,并组织员工进行培训,务必使员工认识到IT规范对公司安全的重要性。如果触犯,必定要遭受惩罚。
郭训平还认为,发生安全事件以后,对事件的及时了解、收集、响应也非常重要。很多地、市级银行在发生安全问题时,经常手足无措,只好通过电话向总行汇报,这样不仅反映速度慢,而且也无法将损失降到最低。
先有作为,然后才有地位
即便有了严厉的IT规范和规划,能否得到有效贯彻依然是个难题。这恰恰也是一些企业的苦衷。他们制定了IT规划和相关的管理规定,但地下IT却依然“猖狂”。
赛门铁克公司可以因为员工的地下IT行为而开除员工,或者断网,但是在别的企业能够这样执行吗?
毕竟,从某些程度来说,IT的安全跟企业的效率是对抗的。企业运行安全软件时,系统的效率降低50%并不是什么稀罕的事情。对于个体的员工而言,每次登陆都需要输入十位密码,下载资料都需要系统批复,毕竟是一件麻烦事。所以严格的IT制度和规范往往会引起员工的反感和抗拒,最后不了了之,最终导致地下IT繁衍。
“这需要领导的重视,把企业信息安全看成是企业的第一要事。”郭训平认为赛门铁克公司的IT安全能够得到保证,主要是因为有公司高层的支持。有领导的重视,就可以有相应的投入,可以迅速发现地下IT和其他违反规定的行为;因为有领导重视,IT人员才能够得到授权,敢于当机立断,严肃处理违规事件。
没有厂房,没有先进的生产流水线,总部只是几间业务洽谈室和一些电脑,美特斯邦威集团却做到了30多亿的年销售额。IT为美特斯邦威集团支撑并创造了“虚拟经营”模式。王泉庚带领的IT部门,已经成为企业的核心部门,除了IT部门,王泉庚同时还负责企业采购、物流等多项核心业务。
“先有作为,然后才有地位。”王泉庚总结道。当IT从成本中心转化为利润中心时,遏制地下IT就会成为公司的共识。
边栏:链接
概念:国内外对于“地下IT”的外延理解是不同的,Configuresoft公司的CTO Dennis R.Moreau博士认为应该更集中在一个组织内的局部IT,包括安全,技术融合/升级和服务水平的维持等的“地下”项目。而美特斯邦威集团副总裁王泉庚的看法,则代表了相当一部分国内CIO的看法:未经批准的个体单独安装小软件等行为还构不成“地下IT”,一个真正的“地下IT”,起码应该是拓展到一个部门或者一个分公司级的脱离IT管理规范的行为。
网友评论