編輯：小星

多一份網(wǎng)絡防護技能

多一份信息安全保障

互聯(lián)網(wǎng)時代，IT事故的發(fā)生已經(jīng)屢見不爽了?，F(xiàn)今企業(yè)的內(nèi)部一旦發(fā)生IT事故，各種問題也就接踵而至：輿論的質(zhì)疑、客戶的追責，甚至訴訟等。那么這些令企業(yè)蒙受巨大的損失的責任該由誰負責，相信是大家都非常關心的問題

當然，發(fā)生事故的原因有很多，比如因為沒有及時的更新應用導致的IT事故，這將使企業(yè)的聲譽和估值都會受到巨大打擊。這類的問題往往是取決于公司的企業(yè)文化和政策，不論是什么人，總該有人為此負責。

就如之前發(fā)生的Equifax泄露事件，最后的結果就是以三名高管的離職為收尾，包括CIO、CSO和CEO。但并不是每次的IT事故都會被曝光，每天總會因為一些人的有意、無意的行為，致使IT事故的發(fā)生，只是可能你不知道而已。

1、IT員工的責任？

當企業(yè)的IT人員和企業(yè)本身因為IT事故而遭受到公眾指責批評時，雖然造成失誤的IT人員應該承擔一定的責任，但如果一味的把一切都歸咎于他的身上，是無法根本的解決問題的。

不管最后的結果是受到譴責還是訴訟，IT員工肯定是要承擔起自己的責任，但是更重要的責任的追究還是取決于該員工是在什么情況下造成失誤。他是因為聽從上級指揮而導致的失誤，還是因為憑借經(jīng)驗做出判斷而導致失誤?這一點非常重要。只有認清事件的根本原因才能從源頭解決事情，畢竟可能需要改變的不是員工，而是企業(yè)。

IT專業(yè)人士往往更善于的是服從，雖然從專業(yè)的角度來看他們在一些時候應該說‘不’。但因為一些項目的領導出于預算少或者不重視的原因，他們不得不服從決策。這個時候個人認為IT決策層應該從項目開始的時候就做好內(nèi)部約定，明確項目的責任歸屬問題。

這么一看，內(nèi)部的分工合作機制還是非常重要的，職責明確，員工也會知曉在什么時機該做什么事情，會出現(xiàn)什么問題，該如何盡量的去避免等等。

2、高管的責任？

不管哪家企業(yè)，業(yè)務和技術都是密不可分的，所以講將一切與技術相關的事故都歸咎到IT人員身上是不現(xiàn)實的。在發(fā)生IT事故時，有時CIO也是需要被追究責任的。

作為CIO，首先需要具備關于信息系統(tǒng)規(guī)劃設計的專業(yè)性技能，在了解企業(yè)所在行業(yè)的商業(yè)流程后，做好內(nèi)部協(xié)調(diào)工作。如果說察覺到CIO的行為有可能會對企業(yè)造成不利時，企業(yè)就可以考慮換個CIO了。畢竟如果企業(yè)在幾個季度內(nèi)連續(xù)出現(xiàn)問題，導致數(shù)據(jù)泄露、隱私侵犯或合規(guī)性的問題等，那么不是他的專業(yè)能力不夠，就是他有其他不良的意圖。

如今的CIO雖然可能不是什么IT專家，但是他們卻管理著很多復雜技術。鑒于當前的網(wǎng)絡安全的狀態(tài)，很多企業(yè)會招攬CSO或CISO的人才，他們會發(fā)現(xiàn)、總結問題后報告給CEO、CIO、COO或法律顧問。他們的職責就是為了加強企業(yè)的安防能力。也導致很多人都認為安全漏洞的全部責任都需要由CSO或CISO承擔。

但是他們忽略了一點，CISO可能承接了實施權，但是決策權還是在CEO、CIO等決策層。所以說決策層的決策是非常關鍵，你可以聽從CISO或者CSO的建議，但也要有自己正確的考量。畢竟企業(yè)付給管理層薪資，如果他沒有扮演好自己的角色，做出了錯誤的決定后，只是讓另一個員工失業(yè)，那么這種管理層也該換一換了。

以上為個人觀點，僅供參考。

歡迎關注小星（ID：DBXSJ01）