论文部分内容阅读
编者按:
在国外的不少大企业中,IT部门承担着监视员工的任务。对此,CIO们有两种意见:一是觉得为了信息安全,理应如此做;另外一种意见是很不情愿,却又不得不这么做。本文详细分析了CIO们对监视员工这件事情的态度。在国内企业,如果作为IT管理部门的领导者,你又会怎么做?欢迎来信讨论。
想知道企业内的用户正在做什么吗?CIO们一定会给出比过去更加肯定的回答。
由于IP网络上融合了语音和视频,所以,如今的网络上更容易出现许多违反企业规定的活动。不少员工有意或无意泄露知识产权和商业秘密、因性骚扰或色情而触犯法律。他们有时候装作在努力工作的样子,其实在浪费时间。
电子政策研究所(ePolicy Institute)的执行董事Nancy Flynn表示,被要求干这份数字脏活的多半是IT员工,主要是因为他们有这方面的技术专长。
Michael Workman是佛罗里达理工学院商业院研究企业IT安全和行为的副教授,他估计,监视任务至少占了普通CIO 20%的工作时间。
不过大多数IT专业人士从没想到会监视身边的同事。他们对这份责任越来越大的事件持有怎样的看法?Workman表示,技术员工的意见分为两派。专门处理安全问题的人觉得,这是IT工作中应有的一部分;而更多处理普通工作的那些人(如网管员)常常不喜欢这份差事。
不甘情愿的巡警
对于马萨诸塞州的能源和楼宇自动化公司ENE Systems来说,监视员工已成了IT工作中的家常便饭。
这家公司的网络服务经理Baryy Thompson表示,虽然公司之前在重新配置以加强IT基础设施的安全,但今年3月该州颁布了加强个人数据安全的一项新法律,所以,公司又增强了网上监测的活动。
以前,只有CIO或者别的部门主管怀疑员工违反了公司规定的政策时,Thompson才从服务器上检查日志,该服务器跟踪员工访问了哪些网站。
而现在,哪怕没有接到明确的请求,Thompson部门的五名IT员工也会定期审查日志:每周有一人抽出一天来审查。他详细审查日志,看看有没有什么需要披露或讨论的,发现与色情、赌博或攻击性言论有关的活动系统自动发出警报。
Thompson及其员工对这份工作并不习惯。他说:“我们是IT人员,又不是看管人。处在这样的位置不好受,但的确又在我们的职责范围内。”
幸好,他的IT人员只负责揪出违规人员,不负责当面对质。要是出现问题,IT人员就报告Thompson,然后他再确定要不要告知违规员工的主管。
他好比是小区的巡警。“我根据违规员工交待的情况,凭着直觉具体情况具体处理。我基本上能判断对方是不是在撒谎。”
Thompson表示,在效力于公司的10年里,只有两次把互联网使用不当的情况正式告知了违规员工的主管。他说:“我们经常与基层员工沟通,他们知道所有互联网访问都受到监视和记录,所以员工知道自己的一举一动受到监视。在我看来,这让绝大多数员工循规蹈矩。”
有个客户曾要求ENE Systems偷偷在员工的电脑上安装监控软件,这让Thompson很为难。要是员工问到在电脑上安装什么东西时,这家公司的老板希望Thompson的人员随便编个理由。Thompson拒绝了。他说:“这位老板的要求越过了我们的底线。”
“我们会安装该软件,帮用户使用该软件,帮他们监视员工。要是有人干了蠢事,我们会帮用户收集开除员工所需的信息。这些我们都会做,但不会当着公司员工的面对我们的所作所为撒谎。”
客户“有点不高兴”,但还是接受了Thompson的立场。
精明的律师
不愿透露姓名的“Daryl”是英国一家中型工业产品制造商的CIO。他坚决认为,为了保护公司利益,IT有权利也有责任监视员工的活动。
Daryl的苦恼倒不是他必须监视员工,而是上头不让他合理监视。
他在大学读过信息安全和取证方面的研究生课程,所以知道该如何妥善保存电子证据,以便在法院上得到采纳。他表示,来自笔记本电脑的信息要得到采纳,硬盘要拆下来克隆,然后在不碰原始证据的条件下,认真审查克隆版本。
但他的老板对此不感兴趣。Daryl说:“老总们要我走的流程是不合理的。”他们劝他跳过克隆这个步骤,直接检查硬盘。“他们想起诉成功的可能性极小,因为他们坚持采用的做法而获得的任何证据都是无效的。”
说到拥有法律知识的IT专业人士,Daryl是个例外。律师事务所的律师Jason Shinn专门处理劳动法中的电子发现和技术问题;他表示,更常见的是,IT经理不知道如何正确地保存证据,甚至不知道什么样的信息在法律中重要。
他忠告,这就是为什么公司内部的法律顾问和人力资源员工都应该参与监视工作。
出于良心的抗拒
Dan Olson是拥有500名员工的Farstad Oil公司的CIO。他说:“我们部门的观念是,如果用户怕我们,工作难度会加大10倍,害怕之余就会掩饰和编造。当我们试图找到问题的根源时,要的是真相。”
害怕IT部门过去在Farstad公司是个问题。上世纪90年代中期,一经理发现某员工把大量时间用在网上聊天室后,公司要求IT部门监视所有员工。一旦发现员工在电脑上做与工作无关的事,就立即上报。
Olson说:“我们部门从来没有同意过这个做法,上头也没有因此找我们商量。”他基本上不理这项命令,一方面是由于这从来不是什么成文政策。即便是成文政策,“执行后的两年对IT部门来说日子也不好过,因为每个员工都害怕:在证明无辜之前,我们假定他们是有过错的。”
Olson表示,这种害怕只会产生相反的效果。比如说,要是员工的电脑感染了病毒,Olson就很难让员工讲明他们之前在干什么或者访问了哪些网站。
此后不久,Olson说服管理班子放宽了限制。他说:“我们解释道,我们不会一直监视员工。只有经理反映下属没有完成工作时,我们才会查看日志。”
他特别指出,新政策已大大改善了普通员工与IT人员的工作关系。由于员工更愿意立马把技术故障告诉IT部门,IT部门就能得到解决问题所需要的信息。
展望
监控会走向何方?
展望未来,像Farstad这些制定了支持适度监视政策的公司可能占少数。观察人士表示,预计公司会要求IT经理承担更大的监视责任,比如审查监控视频、审查文本消息、通过GPS跟踪员工的位置或监视社交媒体。
大公司已开始聘请第三方公司监视博客和社交媒体网站上有关自身的言论,但是在许多中小型公司,这项责任可能落在IT部门身上。
CIO们会抵制这项责任还是按命令行事?佛罗里达州理工学院的Workman预计不会遇到太大反抗。他说:“我看到他们在这么做,只是还没有完全适应这么做。”
在国外的不少大企业中,IT部门承担着监视员工的任务。对此,CIO们有两种意见:一是觉得为了信息安全,理应如此做;另外一种意见是很不情愿,却又不得不这么做。本文详细分析了CIO们对监视员工这件事情的态度。在国内企业,如果作为IT管理部门的领导者,你又会怎么做?欢迎来信讨论。
想知道企业内的用户正在做什么吗?CIO们一定会给出比过去更加肯定的回答。
由于IP网络上融合了语音和视频,所以,如今的网络上更容易出现许多违反企业规定的活动。不少员工有意或无意泄露知识产权和商业秘密、因性骚扰或色情而触犯法律。他们有时候装作在努力工作的样子,其实在浪费时间。
电子政策研究所(ePolicy Institute)的执行董事Nancy Flynn表示,被要求干这份数字脏活的多半是IT员工,主要是因为他们有这方面的技术专长。
Michael Workman是佛罗里达理工学院商业院研究企业IT安全和行为的副教授,他估计,监视任务至少占了普通CIO 20%的工作时间。
不过大多数IT专业人士从没想到会监视身边的同事。他们对这份责任越来越大的事件持有怎样的看法?Workman表示,技术员工的意见分为两派。专门处理安全问题的人觉得,这是IT工作中应有的一部分;而更多处理普通工作的那些人(如网管员)常常不喜欢这份差事。
不甘情愿的巡警
对于马萨诸塞州的能源和楼宇自动化公司ENE Systems来说,监视员工已成了IT工作中的家常便饭。
这家公司的网络服务经理Baryy Thompson表示,虽然公司之前在重新配置以加强IT基础设施的安全,但今年3月该州颁布了加强个人数据安全的一项新法律,所以,公司又增强了网上监测的活动。
以前,只有CIO或者别的部门主管怀疑员工违反了公司规定的政策时,Thompson才从服务器上检查日志,该服务器跟踪员工访问了哪些网站。
而现在,哪怕没有接到明确的请求,Thompson部门的五名IT员工也会定期审查日志:每周有一人抽出一天来审查。他详细审查日志,看看有没有什么需要披露或讨论的,发现与色情、赌博或攻击性言论有关的活动系统自动发出警报。
Thompson及其员工对这份工作并不习惯。他说:“我们是IT人员,又不是看管人。处在这样的位置不好受,但的确又在我们的职责范围内。”
幸好,他的IT人员只负责揪出违规人员,不负责当面对质。要是出现问题,IT人员就报告Thompson,然后他再确定要不要告知违规员工的主管。
他好比是小区的巡警。“我根据违规员工交待的情况,凭着直觉具体情况具体处理。我基本上能判断对方是不是在撒谎。”
Thompson表示,在效力于公司的10年里,只有两次把互联网使用不当的情况正式告知了违规员工的主管。他说:“我们经常与基层员工沟通,他们知道所有互联网访问都受到监视和记录,所以员工知道自己的一举一动受到监视。在我看来,这让绝大多数员工循规蹈矩。”
有个客户曾要求ENE Systems偷偷在员工的电脑上安装监控软件,这让Thompson很为难。要是员工问到在电脑上安装什么东西时,这家公司的老板希望Thompson的人员随便编个理由。Thompson拒绝了。他说:“这位老板的要求越过了我们的底线。”
“我们会安装该软件,帮用户使用该软件,帮他们监视员工。要是有人干了蠢事,我们会帮用户收集开除员工所需的信息。这些我们都会做,但不会当着公司员工的面对我们的所作所为撒谎。”
客户“有点不高兴”,但还是接受了Thompson的立场。
精明的律师
不愿透露姓名的“Daryl”是英国一家中型工业产品制造商的CIO。他坚决认为,为了保护公司利益,IT有权利也有责任监视员工的活动。
Daryl的苦恼倒不是他必须监视员工,而是上头不让他合理监视。
他在大学读过信息安全和取证方面的研究生课程,所以知道该如何妥善保存电子证据,以便在法院上得到采纳。他表示,来自笔记本电脑的信息要得到采纳,硬盘要拆下来克隆,然后在不碰原始证据的条件下,认真审查克隆版本。
但他的老板对此不感兴趣。Daryl说:“老总们要我走的流程是不合理的。”他们劝他跳过克隆这个步骤,直接检查硬盘。“他们想起诉成功的可能性极小,因为他们坚持采用的做法而获得的任何证据都是无效的。”
说到拥有法律知识的IT专业人士,Daryl是个例外。律师事务所的律师Jason Shinn专门处理劳动法中的电子发现和技术问题;他表示,更常见的是,IT经理不知道如何正确地保存证据,甚至不知道什么样的信息在法律中重要。
他忠告,这就是为什么公司内部的法律顾问和人力资源员工都应该参与监视工作。
出于良心的抗拒
Dan Olson是拥有500名员工的Farstad Oil公司的CIO。他说:“我们部门的观念是,如果用户怕我们,工作难度会加大10倍,害怕之余就会掩饰和编造。当我们试图找到问题的根源时,要的是真相。”
害怕IT部门过去在Farstad公司是个问题。上世纪90年代中期,一经理发现某员工把大量时间用在网上聊天室后,公司要求IT部门监视所有员工。一旦发现员工在电脑上做与工作无关的事,就立即上报。
Olson说:“我们部门从来没有同意过这个做法,上头也没有因此找我们商量。”他基本上不理这项命令,一方面是由于这从来不是什么成文政策。即便是成文政策,“执行后的两年对IT部门来说日子也不好过,因为每个员工都害怕:在证明无辜之前,我们假定他们是有过错的。”
Olson表示,这种害怕只会产生相反的效果。比如说,要是员工的电脑感染了病毒,Olson就很难让员工讲明他们之前在干什么或者访问了哪些网站。
此后不久,Olson说服管理班子放宽了限制。他说:“我们解释道,我们不会一直监视员工。只有经理反映下属没有完成工作时,我们才会查看日志。”
他特别指出,新政策已大大改善了普通员工与IT人员的工作关系。由于员工更愿意立马把技术故障告诉IT部门,IT部门就能得到解决问题所需要的信息。
展望
监控会走向何方?
展望未来,像Farstad这些制定了支持适度监视政策的公司可能占少数。观察人士表示,预计公司会要求IT经理承担更大的监视责任,比如审查监控视频、审查文本消息、通过GPS跟踪员工的位置或监视社交媒体。
大公司已开始聘请第三方公司监视博客和社交媒体网站上有关自身的言论,但是在许多中小型公司,这项责任可能落在IT部门身上。
CIO们会抵制这项责任还是按命令行事?佛罗里达州理工学院的Workman预计不会遇到太大反抗。他说:“我看到他们在这么做,只是还没有完全适应这么做。”