论文部分内容阅读
CIO做不到事事包揽,为什么还要这么做?本文介绍了如何放心委派任务,让IT主管和员工更开心地工作,更具有满足感。
杜克大学健康系统的副总裁兼CIO Asif Ahmad认为,优秀的IT经理不会事事都包揽。相反,最优秀的IT经理知道哪些任务自己做,哪些任务交给员工做。他说: “不然,工作永远完成不了。”
然而,授权说起来容易做起来难,尤其对新的IT经理来说特别难,他们可能习惯于以技术才能和个人贡献作为评判标准。一旦他们上升到了管理层,什么都发生了变化,因为考核管理人员的标准是如何帮助团队获得成功。
Gail F. Farnsley以前是名CIO,现在是普渡大学技术学院的客座教授。她认为,授权是培养团队技能、确保工作按时完成的一个方法。另一个额外的好处是,授权可以帮助员工锻炼能力,在事业上不断发展: 一旦岗位需要,就能胜任。
但接受不是轻易得来的技能,需要后天培养。马萨诸塞州兰道夫市Karten Associates培训与咨询公司的负责人Naomi Karten表示,当她第一次接到从事IT管理岗位的机会时,并不确信自己想要这个岗位,因为她明白只有他人取得了成功,自己才会有满足感。她承认: “这在一定程度上需要放手。”
成功的授权需要深思熟虑、分多步走,还需要认真评估、积极沟通和全力支持。只有通过实践,这项技能才会变得更直观,当然前提是一开始就花时间来正确学习。
Eric P. Bloom以前是名IT主管,现在是管理培训公司Manager Mechanics LLC的总裁兼创办人。他说: “人们以为这种技能是生来就有的: 只要告诉员工做什么,其实不是这样。这是一个不断学习的过程。”
本文请教了经验丰富的IT经理、顾问和管理教练,请他们谈谈如何运用方法来成功授权、培养快乐的技术员工团队,以下是他们的一些心得体会。
确定职责范围
Farnsley表示,IT专业人员想从技术专家变成技能娴熟的经理,首先要清楚了解上司对自己有什么样的期望。
有必要明白哪些任务、尤其是哪些重要任务是上司期望自己来处理的,哪些并不要求亲自来处理。关注上司通过哪些指标来考核自己的表现。比如说,如果上司期望IT经理制定战略,那么潜心解决某个程序错误(哪怕是自己编写代码中的某个错误)不再是工作的一部分,不管放手这块工作会有多痛苦,都要有清醒的认识。IT经理往往忙于处理所有紧迫的工作,其实它们并非都很重要。
不会放手的IT经理不但可能会把自己累垮,还可能会把整个团队一同拖垮。管理顾问Erik Van Slyke回忆起一位IT副总裁,这位女IT主管当时负责为一家人力资源公司引入新技术。
她的团队包括自己的技术人员和供应商的人员,负责制定项目计划。Van Slyke是总部设在新泽西州普林斯顿的咨询公司Solleva Group LLC的创办合伙人; 他表示,作为项目经理,这位副总裁本应该把具体的任务派给具体的员工。但她并没有合理授权,结果一个人制定了计划,但没有人满意。
这位IT副总裁失败的原因在于,她以为自己在技术上最娴熟。她应评估自己有什么样的能力,他人又有什么样的能力,然后把一部分工作委派下去。
了解团队技能
作为Jackson Laboratory的IT桌面支持主管,Roy Atkinson需要确保该公司1400名员工使用的1600台笔记本电脑和台式机正常运行。这项工作不仅难度大,而且复杂: 这家遗传学研究机构同时使用个人电脑和Mac机; 员工们对软件还有着不一样、有时很复杂的要求。
这意味着Atkinson需要把任务派给他的四人团队。他的第一个步骤是评估团队中每个成员的技能,然后确定谁拥有所需的软硬件技能以及个人电脑与Mac机方面的工作经验,再把每项任务派给相应的人员。
他解释: “关键是了解团队中每个成员拥有哪些技能,能够派他们去处理适合其技能的特定任务,或者是能增强其工作能力的某些任务。”
比如说,要是某研究人员的项目期限将至,又迫切需要把他的Mac机修好,Atkinson表示他会把这项任务交给擅长修理Mac机、又有时间来处理的员工。但要是公司有长期项目,他会进一步了解手头的任务或接受项目的员工。
分配拓展性项目
Farnsley表示,授权不仅仅是分派琐碎的任务或者平衡整个部门的工作量; 理想情况下,授权应该帮助员工培养某些技能。所以,IT经理在评估员工的能力时,确认哪些项目会帮助他们增强能力。
比如说,她管理过一名在沟通和交往方面技能出众的年轻员工,他希望在IT领域能往上升。不过他缺乏扎实的技术知识,因为他从采购部门过来的。尽管同事们有些顾虑,但Farnsley还是派他制定一项战略性的IT规划流程。
“我知道他学起来很快,会问我是否需要帮助,于是我派毫无经验的他去处理难题。“最后,他学到了IT方面的许多东西,这归功于他潜心在IT部门工作,与高级主管打交道,为公司高层主管做演示报告。”
Farnsley补充说,这项任务帮助他在两年后获得了一份更高级的职位。
明确预期目标
作为IT经理,可能对于每项任务的目标都有清楚认识,但是不把自己的预期明确告诉员工,就不会帮助他们取得成功。
Karten说: “经理派下属完成任务时,双方要达成某种共识,知道具体任务是什么,在这过程中需要什么样的沟通,下属该如何沟通,如何评估下属的成绩; IT经理还要确认任务已完成,任务有没有完成好,这些都是他们的责任。”
社交媒体讲师兼顾问Patrick O’Malley说,自己在一家高科技公司担任主管时,非常详细地明确了谁需要在什么时间内做什么工作(他还担任过其他职务,包括运营副总裁。)
O’Malley还学会了对完成工作的期限有明确规定,及早设定期限,为员工留出宽松的时间,以防出现预测不到的障碍,比如员工生病或程序代码出现问题。
“我会及时了解员工的最新情况,统筹兼顾,让大家觉得自己是团队的一分子。这样一来,他们明白他人依赖自己,因而不但有更明确的责任感,还有更强烈的集体感。”
分配资源 给予支持
Farnsley表示,自己派那个缺乏经验的IT员工制定战略性的规划流程时,就明确向员工主管表示: 他们要给他一些支持。她说: “我告诉他们要提供专业指导,而且他们有责任出谋划策。”
不管接手哪个项目,员工都需要有机会见上司,反映情况。他们可能还需要获得授权,以便将任务派给同事,访问受限制的公司数据,或者花必要的钱。另外,他们还需要时间。
Farnsley说: “时间是重要资源,而大家经常忘了这一点。IT经理可能把某项任务派给员工,但之后不减轻他的其他工作负担,而员工常常不想回绝一项好的任务,但他们已经够忙碌的了。所以,要给他们完成项目所需的时间。”
委派某项工作或某个项目时,作为IT经理应该确保下属知道可以找谁帮忙,还应该确保其他人也知道这点。Farnsley说: “要确保他人知道给予配合和支持,那样员工接手后就可以顺利开展工作。”
波士顿的IT顾问Rick Farquharson表示,他在巴布森资本管理公司担任CIO期间,就正式确定了这个支持流程。IT部门挑一些经验丰富的IT员工和主题专家,加入Farquharson所谓的“全程咨询团队”,指导同事顺利完成项目。
让每个人都负责
杜克大学健康系统的Ahmad表示,每个人各司其职、各负其责时,授权才最有效。他认为,包括CIO在内的每位经理都要将成功的授权视做自己的目标之一。“这应该是个人表现的考核项目。”
Ahmad与他的经理和主管们一起培养授权技能,负责监督他们取得的进步。他说: “我与各个层面的员工会面,看看具体成效如何。”
话虽如此,Ahmad仍大胆放手,让经理们自行决定怎样才能最有效地实现目标; 他还鼓励他们以同样的方式授权各自的团队。他说: “连我的求助台人员也被上司授权。只要他们觉得合适,就可以管理客户,上司不会事无巨细都要过问。”
伴随这种授权而来的是负责,员工现在习惯以任务取得的成效作为评判标准。Ahmad说: “对我来说,授予意味着员工对公司指派的工作负起责任。”
不搞微观管理
Eric P. Bloom以前是名IT经理,现在是马萨诸塞州阿什兰市Manager Mechanics管理培训公司的总裁兼创办人。他发现手下一名高级程序员有当领导的潜力。于是,他派她与一名实习生共事。他的初衷是,让实习生承担这名高级程序员的部分低级工作,高级程序员可以积累管理方面的一些经验。
结果没有取得预期效果。相反,高级程序员对实习生进行了微观管理,过于关注细节,还喜欢插手干预,双方都搞得不开心。
Bloom说: “实习生的处境很惨,他被随意差遣。而那位程序员把大量时间用在了微观管理上,工作效率不升反降。”于是,Bloom只好介入,指导她如何学习管理。
许多经理,特别是新经理会遇到同样的经历。他们很不放心他人接过工作后,按照别的方式来处理。相反,他们仍过于干涉日常的细节问题。结果是,员工士气低落,经理疲惫不堪,工作又得不到有效处理。
加拿大内陆卫生局的CIO Mal Griffin说: “我看不到微观管理有什么好处。大家讨厌微观管理,如果员工总是提防上头,就会缩手缩脚,不会干得很出色。”
为了避免掉入这个陷阱,IT经理需要给员工一定的自由,让他们可以自行决定; 同时自己在一旁观察进展,必要时候给予帮助。
Griffin表示,要真正学会授权,实现这种平衡才是一大难题。要达到这种合理平衡,没有什么成功秘诀,只能小心避免掉入微观管理的陷阱。Griffin说需要经常问问自己: “希望他人像我管理他人那样来管理我吗?”答案会给IT经理清醒的认识。
他说:“只要知道工作近况即可,没必要每一步都干预。IT经理需要放手。”
链接
CIO小心社交网络的四大风险
社交网络现在与咖啡一样普遍。每天有成千上万的人访问Facebook或Twitter,或者花时间写博客或搞维基。不过要是这些人是IT部门的员工,CIO可要重视起来。
据尼尔森公司声称,企业社交网络是如今人们彼此在工作上进行联络的主要方式之一。去年1月,社交网站的全球影响力首次超过个人电子邮件。
尽管社交网站可能是一种良好的联络工具,但对大多数公司来说,显然有一些问题和风险。占用宝贵的带宽就是个问题: 众多员工共享最新的YouTube视频时,就会凸显这个问题。不过,有更大的风险需要引起注意: 包括网络安全数据泄密和损失惨重的停机时间。这些安全问题当中65%以上与僵尸网络和恶意软件有关,而它们又与Web 2.0技术有关。社交网站使用Web 2.0技术让用户可以创建实时内容。
总之,社交网站要求CIO了解最新的防范方法,并采取相应措施。为了保护公司及员工,有必要清楚地认识到风险,并落实可靠的监控和补救计划。CIO考虑社交网站给本公司带来的风险时,应当审视以下四个方面: 电子发现、数据保护、企业边界和法规遵循。
应对电子发现
电子发现指查找、保护及搜索电子数据的过程,目的在于在民事或刑事诉讼中可以用做证据。从企业和法律的角度来看,社交网站给为满足电子发现要求而头痛的企业带来了新的难题。问题在于: 社交网站使用各种方法来收集不同内容,从而提供连贯完整的用户视图。不过,使用下行软件(downstream software)来确定用户访问权限或查看相关的重要内容却很难。企业社交网络也许能提高员工的工作效率,但大多数公司在忙于电子发现时无力应对它。
社交网络系统含有驻留在公司防火墙外面的信息。所以在电子发现过程中,CIO最后可能要求第三方提供必要信息。即便如此,也不能保证就能得到必要的记录。社交网络公司很少保留历史记录。使问题进一步复杂的是,人们在沟通时常用缩略语,发送者认为关注者明白这些缩略语是什么意思。
考虑到上述难题,电子发现方面对待社交网站的最佳办法就是,清点使用了哪些技术,以便了解数据进出企业的情况。要在企业政策中明确: 如果有人使用任何这些不同的社交网络渠道进行联络,他们是以个人的身份来发言,而不是以员工的身份。比如说,要员工在官方Twitter网站上代表公司发言,就要确保制定了相应的可接受使用政策,并进行审查。
尽管电子发现问题尚未得到解决,但限制员工使用社交网站是个不赖的想法。要是员工继续使用社交网站,显然有必要按公司政策规定的方式来使用。
保护企业数据
就数据保护而言,有两点需要考虑: 技术方面和人员方面。从技术角度来看,企业数据丢失预防和加密策略(DLP)是最常见、最有效的工具,可用于监控、审核及保护进出企业的信息和数据。不过,这种工具确实有其局限性。尽管它们擅长保护数据,却不擅长防范恶意漏洞。DLP之所以有局限性,常常归咎于与安全网站的复杂集成。如今,大多数公司没有在主机层面和网络层面实现DLP与安全网站相集成。这导致许多公司无力识别或阻挡基于安全Web的社交网站。
说到人员即公司员工方面,犯错的可能性很大。比如说,要是员工登录到Facebook后,与同事交流关于产品发布或法律问题的信息,隐私方面的参数可能没有正确设置好,结果他人能浏览到敏感资料。员工在Facebook上谈论本公司时一定要分清楚: 他们代表的是本人还是公司?
为了确保员工遵守规定,企业的相关人员应考虑部署一套综合性的政策。他们还要了解与之相关的风险、合规和治理。
设定企业边界
企业边界(信息在此进出)面临越来越大的网络威胁。大多数企业的安全边界基础架构已过时。这些陈旧的系统没有经过升级,识别不了Web 2.0技术。它们也无法识别及了解流量模式或社交网络。
为了阻挡各种病毒和入侵者,许多企业求助于Web应用防火墙(WAF),这是公司现有的防火墙基础架构之上的另一层保护。为了检测入侵者而部署的其他技术包括入侵预防系统(IPS)和入侵检测系统(IDS)以及数据丢失预防(DLP)。企业边界很复杂,需要诸多技术来保护它。
一些企业在部署其他策略,确保Web 2.0不会影响其基础架构。一些企业则在充分利用综合设备,或者对公司网络的“关键区域”进行分区或分段,以缓解风险。
说到确保机密信息得到保护,大多数公司的技术团队选择了通过代理服务器来阻止对社交网站的访问。管理人员可以设置不同的代理访问级别,允许不同的员工群体访问不同的社交网站。比如说,视具体业务而定,管理人员可以制定计划,允许20%的员工访问社交网站,80%的员工不能访问。对访问实行分级很有帮助,不过要牢记: 向员工宣传能做什么、不能做什么的综合性安全意识计划仍很重要。
保护边界的另一个必要方面就是落实控制措施,以便一旦检测到事故或事件,就采取相应对策。要是IPS工具发现泄密,必须已落实了处理威胁的相应计划。
最后,考虑边界时不能光想着技术,还要考虑其他方面。比如说,清理办公桌政策和机密资料废弃计划(粉碎)可确保: 打印资料得到了合理销毁,未授权人员无法复制或拍摄文档,然后发到社交网络上。
注意法规遵循
企业内部应制定规章制度,确保落实了相应的控制措施,以保护客户数据、遵守监管要求。必须这么做——关键在于做到对公司及客户的机密信息的安全性负责。如果是一家信用卡发行商,必须遵守支付卡行业(PCI)法规。如果是一家医疗机构,必须遵守《健康保险可携性及责任性法案》(HIPAA)。
起码要遵守所在行业的相关法规。但由于社交网站,不但出现了安全基础架构方面的新挑战,还给法规遵循出了新的难题。
社交网站是精通社会工程学的人用来获取公司信息的一种手段,这些信息原本很难通过其他途径来获取。为了保护公司,CIO不能仅仅满足于补丁政策和管理以及配置管理; 还要确保保护公司的安全设备可对付最新威胁。尽管许多Unix和Windows服务器拥有稳固可靠的补丁和配置管理系统,但许多安全控制措施并不是最新的。
最后,重要的是落实控制措施,核实这些措施切实有效。还要确保能迅速发现泄密或漏洞,立马采取缓解事件影响的措施。
杜克大学健康系统的副总裁兼CIO Asif Ahmad认为,优秀的IT经理不会事事都包揽。相反,最优秀的IT经理知道哪些任务自己做,哪些任务交给员工做。他说: “不然,工作永远完成不了。”
然而,授权说起来容易做起来难,尤其对新的IT经理来说特别难,他们可能习惯于以技术才能和个人贡献作为评判标准。一旦他们上升到了管理层,什么都发生了变化,因为考核管理人员的标准是如何帮助团队获得成功。
Gail F. Farnsley以前是名CIO,现在是普渡大学技术学院的客座教授。她认为,授权是培养团队技能、确保工作按时完成的一个方法。另一个额外的好处是,授权可以帮助员工锻炼能力,在事业上不断发展: 一旦岗位需要,就能胜任。
但接受不是轻易得来的技能,需要后天培养。马萨诸塞州兰道夫市Karten Associates培训与咨询公司的负责人Naomi Karten表示,当她第一次接到从事IT管理岗位的机会时,并不确信自己想要这个岗位,因为她明白只有他人取得了成功,自己才会有满足感。她承认: “这在一定程度上需要放手。”
成功的授权需要深思熟虑、分多步走,还需要认真评估、积极沟通和全力支持。只有通过实践,这项技能才会变得更直观,当然前提是一开始就花时间来正确学习。
Eric P. Bloom以前是名IT主管,现在是管理培训公司Manager Mechanics LLC的总裁兼创办人。他说: “人们以为这种技能是生来就有的: 只要告诉员工做什么,其实不是这样。这是一个不断学习的过程。”
本文请教了经验丰富的IT经理、顾问和管理教练,请他们谈谈如何运用方法来成功授权、培养快乐的技术员工团队,以下是他们的一些心得体会。
确定职责范围
Farnsley表示,IT专业人员想从技术专家变成技能娴熟的经理,首先要清楚了解上司对自己有什么样的期望。
有必要明白哪些任务、尤其是哪些重要任务是上司期望自己来处理的,哪些并不要求亲自来处理。关注上司通过哪些指标来考核自己的表现。比如说,如果上司期望IT经理制定战略,那么潜心解决某个程序错误(哪怕是自己编写代码中的某个错误)不再是工作的一部分,不管放手这块工作会有多痛苦,都要有清醒的认识。IT经理往往忙于处理所有紧迫的工作,其实它们并非都很重要。
不会放手的IT经理不但可能会把自己累垮,还可能会把整个团队一同拖垮。管理顾问Erik Van Slyke回忆起一位IT副总裁,这位女IT主管当时负责为一家人力资源公司引入新技术。
她的团队包括自己的技术人员和供应商的人员,负责制定项目计划。Van Slyke是总部设在新泽西州普林斯顿的咨询公司Solleva Group LLC的创办合伙人; 他表示,作为项目经理,这位副总裁本应该把具体的任务派给具体的员工。但她并没有合理授权,结果一个人制定了计划,但没有人满意。
这位IT副总裁失败的原因在于,她以为自己在技术上最娴熟。她应评估自己有什么样的能力,他人又有什么样的能力,然后把一部分工作委派下去。
了解团队技能
作为Jackson Laboratory的IT桌面支持主管,Roy Atkinson需要确保该公司1400名员工使用的1600台笔记本电脑和台式机正常运行。这项工作不仅难度大,而且复杂: 这家遗传学研究机构同时使用个人电脑和Mac机; 员工们对软件还有着不一样、有时很复杂的要求。
这意味着Atkinson需要把任务派给他的四人团队。他的第一个步骤是评估团队中每个成员的技能,然后确定谁拥有所需的软硬件技能以及个人电脑与Mac机方面的工作经验,再把每项任务派给相应的人员。
他解释: “关键是了解团队中每个成员拥有哪些技能,能够派他们去处理适合其技能的特定任务,或者是能增强其工作能力的某些任务。”
比如说,要是某研究人员的项目期限将至,又迫切需要把他的Mac机修好,Atkinson表示他会把这项任务交给擅长修理Mac机、又有时间来处理的员工。但要是公司有长期项目,他会进一步了解手头的任务或接受项目的员工。
分配拓展性项目
Farnsley表示,授权不仅仅是分派琐碎的任务或者平衡整个部门的工作量; 理想情况下,授权应该帮助员工培养某些技能。所以,IT经理在评估员工的能力时,确认哪些项目会帮助他们增强能力。
比如说,她管理过一名在沟通和交往方面技能出众的年轻员工,他希望在IT领域能往上升。不过他缺乏扎实的技术知识,因为他从采购部门过来的。尽管同事们有些顾虑,但Farnsley还是派他制定一项战略性的IT规划流程。
“我知道他学起来很快,会问我是否需要帮助,于是我派毫无经验的他去处理难题。“最后,他学到了IT方面的许多东西,这归功于他潜心在IT部门工作,与高级主管打交道,为公司高层主管做演示报告。”
Farnsley补充说,这项任务帮助他在两年后获得了一份更高级的职位。
明确预期目标
作为IT经理,可能对于每项任务的目标都有清楚认识,但是不把自己的预期明确告诉员工,就不会帮助他们取得成功。
Karten说: “经理派下属完成任务时,双方要达成某种共识,知道具体任务是什么,在这过程中需要什么样的沟通,下属该如何沟通,如何评估下属的成绩; IT经理还要确认任务已完成,任务有没有完成好,这些都是他们的责任。”
社交媒体讲师兼顾问Patrick O’Malley说,自己在一家高科技公司担任主管时,非常详细地明确了谁需要在什么时间内做什么工作(他还担任过其他职务,包括运营副总裁。)
O’Malley还学会了对完成工作的期限有明确规定,及早设定期限,为员工留出宽松的时间,以防出现预测不到的障碍,比如员工生病或程序代码出现问题。
“我会及时了解员工的最新情况,统筹兼顾,让大家觉得自己是团队的一分子。这样一来,他们明白他人依赖自己,因而不但有更明确的责任感,还有更强烈的集体感。”
分配资源 给予支持
Farnsley表示,自己派那个缺乏经验的IT员工制定战略性的规划流程时,就明确向员工主管表示: 他们要给他一些支持。她说: “我告诉他们要提供专业指导,而且他们有责任出谋划策。”
不管接手哪个项目,员工都需要有机会见上司,反映情况。他们可能还需要获得授权,以便将任务派给同事,访问受限制的公司数据,或者花必要的钱。另外,他们还需要时间。
Farnsley说: “时间是重要资源,而大家经常忘了这一点。IT经理可能把某项任务派给员工,但之后不减轻他的其他工作负担,而员工常常不想回绝一项好的任务,但他们已经够忙碌的了。所以,要给他们完成项目所需的时间。”
委派某项工作或某个项目时,作为IT经理应该确保下属知道可以找谁帮忙,还应该确保其他人也知道这点。Farnsley说: “要确保他人知道给予配合和支持,那样员工接手后就可以顺利开展工作。”
波士顿的IT顾问Rick Farquharson表示,他在巴布森资本管理公司担任CIO期间,就正式确定了这个支持流程。IT部门挑一些经验丰富的IT员工和主题专家,加入Farquharson所谓的“全程咨询团队”,指导同事顺利完成项目。
让每个人都负责
杜克大学健康系统的Ahmad表示,每个人各司其职、各负其责时,授权才最有效。他认为,包括CIO在内的每位经理都要将成功的授权视做自己的目标之一。“这应该是个人表现的考核项目。”
Ahmad与他的经理和主管们一起培养授权技能,负责监督他们取得的进步。他说: “我与各个层面的员工会面,看看具体成效如何。”
话虽如此,Ahmad仍大胆放手,让经理们自行决定怎样才能最有效地实现目标; 他还鼓励他们以同样的方式授权各自的团队。他说: “连我的求助台人员也被上司授权。只要他们觉得合适,就可以管理客户,上司不会事无巨细都要过问。”
伴随这种授权而来的是负责,员工现在习惯以任务取得的成效作为评判标准。Ahmad说: “对我来说,授予意味着员工对公司指派的工作负起责任。”
不搞微观管理
Eric P. Bloom以前是名IT经理,现在是马萨诸塞州阿什兰市Manager Mechanics管理培训公司的总裁兼创办人。他发现手下一名高级程序员有当领导的潜力。于是,他派她与一名实习生共事。他的初衷是,让实习生承担这名高级程序员的部分低级工作,高级程序员可以积累管理方面的一些经验。
结果没有取得预期效果。相反,高级程序员对实习生进行了微观管理,过于关注细节,还喜欢插手干预,双方都搞得不开心。
Bloom说: “实习生的处境很惨,他被随意差遣。而那位程序员把大量时间用在了微观管理上,工作效率不升反降。”于是,Bloom只好介入,指导她如何学习管理。
许多经理,特别是新经理会遇到同样的经历。他们很不放心他人接过工作后,按照别的方式来处理。相反,他们仍过于干涉日常的细节问题。结果是,员工士气低落,经理疲惫不堪,工作又得不到有效处理。
加拿大内陆卫生局的CIO Mal Griffin说: “我看不到微观管理有什么好处。大家讨厌微观管理,如果员工总是提防上头,就会缩手缩脚,不会干得很出色。”
为了避免掉入这个陷阱,IT经理需要给员工一定的自由,让他们可以自行决定; 同时自己在一旁观察进展,必要时候给予帮助。
Griffin表示,要真正学会授权,实现这种平衡才是一大难题。要达到这种合理平衡,没有什么成功秘诀,只能小心避免掉入微观管理的陷阱。Griffin说需要经常问问自己: “希望他人像我管理他人那样来管理我吗?”答案会给IT经理清醒的认识。
他说:“只要知道工作近况即可,没必要每一步都干预。IT经理需要放手。”
链接
CIO小心社交网络的四大风险
社交网络现在与咖啡一样普遍。每天有成千上万的人访问Facebook或Twitter,或者花时间写博客或搞维基。不过要是这些人是IT部门的员工,CIO可要重视起来。
据尼尔森公司声称,企业社交网络是如今人们彼此在工作上进行联络的主要方式之一。去年1月,社交网站的全球影响力首次超过个人电子邮件。
尽管社交网站可能是一种良好的联络工具,但对大多数公司来说,显然有一些问题和风险。占用宝贵的带宽就是个问题: 众多员工共享最新的YouTube视频时,就会凸显这个问题。不过,有更大的风险需要引起注意: 包括网络安全数据泄密和损失惨重的停机时间。这些安全问题当中65%以上与僵尸网络和恶意软件有关,而它们又与Web 2.0技术有关。社交网站使用Web 2.0技术让用户可以创建实时内容。
总之,社交网站要求CIO了解最新的防范方法,并采取相应措施。为了保护公司及员工,有必要清楚地认识到风险,并落实可靠的监控和补救计划。CIO考虑社交网站给本公司带来的风险时,应当审视以下四个方面: 电子发现、数据保护、企业边界和法规遵循。
应对电子发现
电子发现指查找、保护及搜索电子数据的过程,目的在于在民事或刑事诉讼中可以用做证据。从企业和法律的角度来看,社交网站给为满足电子发现要求而头痛的企业带来了新的难题。问题在于: 社交网站使用各种方法来收集不同内容,从而提供连贯完整的用户视图。不过,使用下行软件(downstream software)来确定用户访问权限或查看相关的重要内容却很难。企业社交网络也许能提高员工的工作效率,但大多数公司在忙于电子发现时无力应对它。
社交网络系统含有驻留在公司防火墙外面的信息。所以在电子发现过程中,CIO最后可能要求第三方提供必要信息。即便如此,也不能保证就能得到必要的记录。社交网络公司很少保留历史记录。使问题进一步复杂的是,人们在沟通时常用缩略语,发送者认为关注者明白这些缩略语是什么意思。
考虑到上述难题,电子发现方面对待社交网站的最佳办法就是,清点使用了哪些技术,以便了解数据进出企业的情况。要在企业政策中明确: 如果有人使用任何这些不同的社交网络渠道进行联络,他们是以个人的身份来发言,而不是以员工的身份。比如说,要员工在官方Twitter网站上代表公司发言,就要确保制定了相应的可接受使用政策,并进行审查。
尽管电子发现问题尚未得到解决,但限制员工使用社交网站是个不赖的想法。要是员工继续使用社交网站,显然有必要按公司政策规定的方式来使用。
保护企业数据
就数据保护而言,有两点需要考虑: 技术方面和人员方面。从技术角度来看,企业数据丢失预防和加密策略(DLP)是最常见、最有效的工具,可用于监控、审核及保护进出企业的信息和数据。不过,这种工具确实有其局限性。尽管它们擅长保护数据,却不擅长防范恶意漏洞。DLP之所以有局限性,常常归咎于与安全网站的复杂集成。如今,大多数公司没有在主机层面和网络层面实现DLP与安全网站相集成。这导致许多公司无力识别或阻挡基于安全Web的社交网站。
说到人员即公司员工方面,犯错的可能性很大。比如说,要是员工登录到Facebook后,与同事交流关于产品发布或法律问题的信息,隐私方面的参数可能没有正确设置好,结果他人能浏览到敏感资料。员工在Facebook上谈论本公司时一定要分清楚: 他们代表的是本人还是公司?
为了确保员工遵守规定,企业的相关人员应考虑部署一套综合性的政策。他们还要了解与之相关的风险、合规和治理。
设定企业边界
企业边界(信息在此进出)面临越来越大的网络威胁。大多数企业的安全边界基础架构已过时。这些陈旧的系统没有经过升级,识别不了Web 2.0技术。它们也无法识别及了解流量模式或社交网络。
为了阻挡各种病毒和入侵者,许多企业求助于Web应用防火墙(WAF),这是公司现有的防火墙基础架构之上的另一层保护。为了检测入侵者而部署的其他技术包括入侵预防系统(IPS)和入侵检测系统(IDS)以及数据丢失预防(DLP)。企业边界很复杂,需要诸多技术来保护它。
一些企业在部署其他策略,确保Web 2.0不会影响其基础架构。一些企业则在充分利用综合设备,或者对公司网络的“关键区域”进行分区或分段,以缓解风险。
说到确保机密信息得到保护,大多数公司的技术团队选择了通过代理服务器来阻止对社交网站的访问。管理人员可以设置不同的代理访问级别,允许不同的员工群体访问不同的社交网站。比如说,视具体业务而定,管理人员可以制定计划,允许20%的员工访问社交网站,80%的员工不能访问。对访问实行分级很有帮助,不过要牢记: 向员工宣传能做什么、不能做什么的综合性安全意识计划仍很重要。
保护边界的另一个必要方面就是落实控制措施,以便一旦检测到事故或事件,就采取相应对策。要是IPS工具发现泄密,必须已落实了处理威胁的相应计划。
最后,考虑边界时不能光想着技术,还要考虑其他方面。比如说,清理办公桌政策和机密资料废弃计划(粉碎)可确保: 打印资料得到了合理销毁,未授权人员无法复制或拍摄文档,然后发到社交网络上。
注意法规遵循
企业内部应制定规章制度,确保落实了相应的控制措施,以保护客户数据、遵守监管要求。必须这么做——关键在于做到对公司及客户的机密信息的安全性负责。如果是一家信用卡发行商,必须遵守支付卡行业(PCI)法规。如果是一家医疗机构,必须遵守《健康保险可携性及责任性法案》(HIPAA)。
起码要遵守所在行业的相关法规。但由于社交网站,不但出现了安全基础架构方面的新挑战,还给法规遵循出了新的难题。
社交网站是精通社会工程学的人用来获取公司信息的一种手段,这些信息原本很难通过其他途径来获取。为了保护公司,CIO不能仅仅满足于补丁政策和管理以及配置管理; 还要确保保护公司的安全设备可对付最新威胁。尽管许多Unix和Windows服务器拥有稳固可靠的补丁和配置管理系统,但许多安全控制措施并不是最新的。
最后,重要的是落实控制措施,核实这些措施切实有效。还要确保能迅速发现泄密或漏洞,立马采取缓解事件影响的措施。