CIO該不該監視員工?

編者按:

在國外的不少大企業中，IT部門承擔著監視員工的任務。對此，CIO們有兩種意見:一是覺得為了信息安全，理應如此做;另外一種意見是很不情愿，卻又不得不這么做。本文詳細分析了CIO們對監視員工這件事情的態度。在國內企業，如果作為IT管理部門的領導者，你又會怎么做?歡迎來信討論。

想知道企業內的用戶正在做什么嗎?CIO們一定會給出比過去更加肯定的回答。

由于IP網絡上融合了語音和視頻，所以，如今的網絡上更容易出現許多違反企業規定的活動。不少員工有意或無意泄露知識產權和商業秘密、因性騷擾或色情而觸犯法律。他們有時候裝作在努力工作的樣子，其實在浪費時間。

電子政策研究所(ePolicy Institute)的執行董事Nancy Flynn表示，被要求干這份數字臟活的多半是IT員工，主要是因為他們有這方面的技術專長。

Michael Workman是佛羅里達理工學院商業院研究企業IT安全和行為的副教授，他估計，監視任務至少占了普通CIO 20%的工作時間。

不過大多數IT專業人士從沒想到會監視身邊的同事。他們對這份責任越來越大的事件持有怎樣的看法?Workman表示，技術員工的意見分為兩派。專門處理安全問題的人覺得，這是IT工作中應有的一部分;而更多處理普通工作的那些人(如網管員)常常不喜歡這份差事。

不甘情愿的巡警

對于馬薩諸塞州的能源和樓宇自動化公司ENE Systems來說，監視員工已成了IT工作中的家常便飯。

這家公司的網絡服務經理Baryy Thompson表示，雖然公司之前在重新配置以加強IT基礎設施的安全，但今年3月該州頒布了加強個人數據安全的一項新法律，所以，公司又增強了網上監測的活動。

以前，只有CIO或者別的部門主管懷疑員工違反了公司規定的政策時，Thompson才從服務器上檢查日志，該服務器跟蹤員工訪問了哪些網站。

而現在，哪怕沒有接到明確的請求，Thompson部門的五名IT員工也會定期審查日志:每周有一人抽出一天來審查。他詳細審查日志，看看有沒有什么需要披露或討論的，發現與色情、賭博或攻擊性言論有關的活動系統自動發出警報。

Thompson及其員工對這份工作并不習慣。他說:“我們是IT人員，又不是看管人。處在這樣的位置不好受，但的確又在我們的職責范圍內。”

幸好，他的IT人員只負責揪出違規人員，不負責當面對質。要是出現問題，IT人員就報告Thompson，然后他再確定要不要告知違規員工的主管。

他好比是小區的巡警。“我根據違規員工交待的情況，憑著直覺具體情況具體處理。我基本上能判斷對方是不是在撒謊。”

Thompson表示，在效力于公司的10年里，只有兩次把互聯網使用不當的情況正式告知了違規員工的主管。他說:“我們經常與基層員工溝通，他們知道所有互聯網訪問都受到監視和記錄，所以員工知道自己的一舉一動受到監視。在我看來，這讓絕大多數員工循規蹈矩。”

有個客戶曾要求ENE Systems偷偷在員工的電腦上安裝監控軟件，這讓Thompson很為難。要是員工問到在電腦上安裝什么東西時，這家公司的老板希望Thompson的人員隨便編個理由。Thompson拒絕了。他說:“這位老板的要求越過了我們的底線。”

“我們會安裝該軟件，幫用戶使用該軟件，幫他們監視員工。要是有人干了蠢事，我們會幫用戶收集開除員工所需的信息。這些我們都會做，但不會當著公司員工的面對我們的所作所為撒謊。”

客戶“有點不高興”，但還是接受了Thompson的立場。

精明的律師

不愿透露姓名的“Daryl”是英國一家中型工業產品制造商的CIO。他堅決認為，為了保護公司利益，IT有權利也有責任監視員工的活動。

Daryl的苦惱倒不是他必須監視員工，而是上頭不讓他合理監視。

他在大學讀過信息安全和取證方面的研究生課程，所以知道該如何妥善保存電子證據，以便在法院上得到采納。他表示，來自筆記本電腦的信息要得到采納，硬盤要拆下來克隆，然后在不碰原始證據的條件下，認真審查克隆版本。

但他的老板對此不感興趣。Daryl說:“老總們要我走的流程是不合理的。”他們勸他跳過克隆這個步驟，直接檢查硬盤。“他們想起訴成功的可能性極小，因為他們堅持采用的做法而獲得的任何證據都是無效的。”

說到擁有法律知識的IT專業人士，Daryl是個例外。律師事務所的律師Jason Shinn專門處理勞動法中的電子發現和技術問題;他表示，更常見的是，IT經理不知道如何正確地保存證據，甚至不知道什么樣的信息在法律中重要。

他忠告，這就是為什么公司內部的法律顧問和人力資源員工都應該參與監視工作。

出于良心的抗拒

Dan Olson是擁有500名員工的Farstad Oil公司的CIO。他說:“我們部門的觀念是，如果用戶怕我們，工作難度會加大10倍，害怕之余就會掩飾和編造。當我們試圖找到問題的根源時，要的是真相。”

害怕IT部門過去在Farstad公司是個問題。上世紀90年代中期，一經理發現某員工把大量時間用在網上聊天室后，公司要求IT部門監視所有員工。一旦發現員工在電腦上做與工作無關的事，就立即上報。

Olson說:“我們部門從來沒有同意過這個做法，上頭也沒有因此找我們商量。”他基本上不理這項命令，一方面是由于這從來不是什么成文政策。即便是成文政策，“執行后的兩年對IT部門來說日子也不好過，因為每個員工都害怕:在證明無辜之前，我們假定他們是有過錯的。”

Olson表示，這種害怕只會產生相反的效果。比如說，要是員工的電腦感染了病毒，Olson就很難讓員工講明他們之前在干什么或者訪問了哪些網站。

此后不久，Olson說服管理班子放寬了限制。他說:“我們解釋道，我們不會一直監視員工。只有經理反映下屬沒有完成工作時，我們才會查看日志。”

他特別指出，新政策已大大改善了普通員工與IT人員的工作關系。由于員工更愿意立馬把技術故障告訴IT部門，IT部門就能得到解決問題所需要的信息。

展望

監控會走向何方?

展望未來，像Farstad這些制定了支持適度監視政策的公司可能占少數。觀察人士表示，預計公司會要求IT經理承擔更大的監視責任，比如審查監控視頻、審查文本消息、通過GPS跟蹤員工的位置或監視社交媒體。

大公司已開始聘請第三方公司監視博客和社交媒體網站上有關自身的言論，但是在許多中小型公司，這項責任可能落在IT部門身上。

CIO們會抵制這項責任還是按命令行事?佛羅里達州理工學院的Workman預計不會遇到太大反抗。他說:“我看到他們在這么做，只是還沒有完全適應這么做。”