CIO放權手冊

CIO做不到事事包攬，為什么還要這么做?本文介紹了如何放心委派任務，讓IT主管和員工更開心地工作，更具有滿足感。

杜克大學健康系統的副總裁兼CIO Asif Ahmad認為，優秀的IT經理不會事事都包攬。相反，最優秀的IT經理知道哪些任務自己做，哪些任務交給員工做。他說: “不然，工作永遠完成不了。”

然而，授權說起來容易做起來難，尤其對新的IT經理來說特別難，他們可能習慣于以技術才能和個人貢獻作為評判標準。一旦他們上升到了管理層，什么都發生了變化，因為考核管理人員的標準是如何幫助團隊獲得成功。

Gail F. Farnsley以前是名CIO，現在是普渡大學技術學院的客座教授。她認為，授權是培養團隊技能、確保工作按時完成的一個方法。另一個額外的好處是，授權可以幫助員工鍛煉能力，在事業上不斷發展: 一旦崗位需要，就能勝任。

但接受不是輕易得來的技能，需要后天培養。馬薩諸塞州蘭道夫市Karten Associates培訓與咨詢公司的負責人Naomi Karten表示，當她第一次接到從事IT管理崗位的機會時，并不確信自己想要這個崗位，因為她明白只有他人取得了成功，自己才會有滿足感。她承認: “這在一定程度上需要放手。”

成功的授權需要深思熟慮、分多步走，還需要認真評估、積極溝通和全力支持。只有通過實踐，這項技能才會變得更直觀，當然前提是一開始就花時間來正確學習。

Eric P. Bloom以前是名IT主管，現在是管理培訓公司Manager Mechanics LLC的總裁兼創辦人。他說: “人們以為這種技能是生來就有的: 只要告訴員工做什么，其實不是這樣。這是一個不斷學習的過程。”

本文請教了經驗豐富的IT經理、顧問和管理教練，請他們談談如何運用方法來成功授權、培養快樂的技術員工團隊，以下是他們的一些心得體會。

確定職責范圍

Farnsley表示，IT專業人員想從技術專家變成技能嫻熟的經理，首先要清楚了解上司對自己有什么樣的期望。

有必要明白哪些任務、尤其是哪些重要任務是上司期望自己來處理的，哪些并不要求親自來處理。關注上司通過哪些指標來考核自己的表現。比如說，如果上司期望IT經理制定戰略，那么潛心解決某個程序錯誤(哪怕是自己編寫代碼中的某個錯誤)不再是工作的一部分，不管放手這塊工作會有多痛苦，都要有清醒的認識。IT經理往往忙于處理所有緊迫的工作，其實它們并非都很重要。

不會放手的IT經理不但可能會把自己累垮，還可能會把整個團隊一同拖垮。管理顧問Erik Van Slyke回憶起一位IT副總裁，這位女IT主管當時負責為一家人力資源公司引入新技術。

她的團隊包括自己的技術人員和供應商的人員，負責制定項目計劃。Van Slyke是總部設在新澤西州普林斯頓的咨詢公司Solleva Group LLC的創辦合伙人; 他表示，作為項目經理，這位副總裁本應該把具體的任務派給具體的員工。但她并沒有合理授權，結果一個人制定了計劃，但沒有人滿意。

這位IT副總裁失敗的原因在于，她以為自己在技術上最嫻熟。她應評估自己有什么樣的能力，他人又有什么樣的能力，然后把一部分工作委派下去。

了解團隊技能

作為Jackson Laboratory的IT桌面支持主管，Roy Atkinson需要確保該公司1400名員工使用的1600臺筆記本電腦和臺式機正常運行。這項工作不僅難度大，而且復雜: 這家遺傳學研究機構同時使用個人電腦和Mac機; 員工們對軟件還有著不一樣、有時很復雜的要求。

這意味著Atkinson需要把任務派給他的四人團隊。他的第一個步驟是評估團隊中每個成員的技能，然后確定誰擁有所需的軟硬件技能以及個人電腦與Mac機方面的工作經驗，再把每項任務派給相應的人員。

他解釋: “關鍵是了解團隊中每個成員擁有哪些技能，能夠派他們去處理適合其技能的特定任務，或者是能增強其工作能力的某些任務。”

比如說，要是某研究人員的項目期限將至，又迫切需要把他的Mac機修好，Atkinson表示他會把這項任務交給擅長修理Mac機、又有時間來處理的員工。但要是公司有長期項目，他會進一步了解手頭的任務或接受項目的員工。

分配拓展性項目

Farnsley表示，授權不僅僅是分派瑣碎的任務或者平衡整個部門的工作量; 理想情況下，授權應該幫助員工培養某些技能。所以，IT經理在評估員工的能力時，確認哪些項目會幫助他們增強能力。

比如說，她管理過一名在溝通和交往方面技能出眾的年輕員工，他希望在IT領域能往上升。不過他缺乏扎實的技術知識，因為他從采購部門過來的。盡管同事們有些顧慮，但Farnsley還是派他制定一項戰略性的IT規劃流程。

“我知道他學起來很快，會問我是否需要幫助，于是我派毫無經驗的他去處理難題。“最后，他學到了IT方面的許多東西，這歸功于他潛心在IT部門工作，與高級主管打交道，為公司高層主管做演示報告。”

Farnsley補充說，這項任務幫助他在兩年后獲得了一份更高級的職位。

明確預期目標

作為IT經理，可能對于每項任務的目標都有清楚認識，但是不把自己的預期明確告訴員工，就不會幫助他們取得成功。

Karten說: “經理派下屬完成任務時，雙方要達成某種共識，知道具體任務是什么，在這過程中需要什么樣的溝通，下屬該如何溝通，如何評估下屬的成績; IT經理還要確認任務已完成，任務有沒有完成好，這些都是他們的責任。”

社交媒體講師兼顧問Patrick O’Malley說，自己在一家高科技公司擔任主管時，非常詳細地明確了誰需要在什么時間內做什么工作(他還擔任過其他職務，包括運營副總裁。)

O’Malley還學會了對完成工作的期限有明確規定，及早設定期限，為員工留出寬松的時間，以防出現預測不到的障礙，比如員工生病或程序代碼出現問題。

“我會及時了解員工的最新情況，統籌兼顧，讓大家覺得自己是團隊的一分子。這樣一來，他們明白他人依賴自己，因而不但有更明確的責任感，還有更強烈的集體感。”

分配資源 給予支持

Farnsley表示，自己派那個缺乏經驗的IT員工制定戰略性的規劃流程時，就明確向員工主管表示: 他們要給他一些支持。她說: “我告訴他們要提供專業指導，而且他們有責任出謀劃策。”

不管接手哪個項目，員工都需要有機會見上司，反映情況。他們可能還需要獲得授權，以便將任務派給同事，訪問受限制的公司數據，或者花必要的錢。另外，他們還需要時間。

Farnsley說: “時間是重要資源，而大家經常忘了這一點。IT經理可能把某項任務派給員工，但之后不減輕他的其他工作負擔，而員工常常不想回絕一項好的任務，但他們已經夠忙碌的了。所以，要給他們完成項目所需的時間。”

委派某項工作或某個項目時，作為IT經理應該確保下屬知道可以找誰幫忙，還應該確保其他人也知道這點。Farnsley說: “要確保他人知道給予配合和支持，那樣員工接手后就可以順利開展工作。”

波士頓的IT顧問Rick Farquharson表示，他在巴布森資本管理公司擔任CIO期間，就正式確定了這個支持流程。IT部門挑一些經驗豐富的IT員工和主題專家，加入Farquharson所謂的“全程咨詢團隊”，指導同事順利完成項目。

讓每個人都負責

杜克大學健康系統的Ahmad表示，每個人各司其職、各負其責時，授權才最有效。他認為，包括CIO在內的每位經理都要將成功的授權視做自己的目標之一。“這應該是個人表現的考核項目。”

Ahmad與他的經理和主管們一起培養授權技能，負責監督他們取得的進步。他說: “我與各個層面的員工會面，看看具體成效如何。”

話雖如此，Ahmad仍大膽放手，讓經理們自行決定怎樣才能最有效地實現目標; 他還鼓勵他們以同樣的方式授權各自的團隊。他說: “連我的求助臺人員也被上司授權。只要他們覺得合適，就可以管理客戶，上司不會事無巨細都要過問。”

伴隨這種授權而來的是負責，員工現在習慣以任務取得的成效作為評判標準。Ahmad說: “對我來說，授予意味著員工對公司指派的工作負起責任。”

不搞微觀管理

Eric P. Bloom以前是名IT經理，現在是馬薩諸塞州阿什蘭市Manager Mechanics管理培訓公司的總裁兼創辦人。他發現手下一名高級程序員有當領導的潛力。于是，他派她與一名實習生共事。他的初衷是，讓實習生承擔這名高級程序員的部分低級工作，高級程序員可以積累管理方面的一些經驗。

結果沒有取得預期效果。相反，高級程序員對實習生進行了微觀管理，過于關注細節，還喜歡插手干預，雙方都搞得不開心。

Bloom說: “實習生的處境很慘，他被隨意差遣。而那位程序員把大量時間用在了微觀管理上，工作效率不升反降。”于是，Bloom只好介入，指導她如何學習管理。

許多經理，特別是新經理會遇到同樣的經歷。他們很不放心他人接過工作后，按照別的方式來處理。相反，他們仍過于干涉日常的細節問題。結果是，員工士氣低落，經理疲憊不堪，工作又得不到有效處理。

加拿大內陸衛生局的CIO Mal Griffin說: “我看不到微觀管理有什么好處。大家討厭微觀管理，如果員工總是提防上頭，就會縮手縮腳，不會干得很出色。”

為了避免掉入這個陷阱，IT經理需要給員工一定的自由，讓他們可以自行決定; 同時自己在一旁觀察進展，必要時候給予幫助。

Griffin表示，要真正學會授權，實現這種平衡才是一大難題。要達到這種合理平衡，沒有什么成功秘訣，只能小心避免掉入微觀管理的陷阱。Griffin說需要經常問問自己: “希望他人像我管理他人那樣來管理我嗎?”答案會給IT經理清醒的認識。

他說:“只要知道工作近況即可，沒必要每一步都干預。IT經理需要放手。”

鏈接

CIO小心社交網絡的四大風險

社交網絡現在與咖啡一樣普遍。每天有成千上萬的人訪問Facebook或Twitter，或者花時間寫博客或搞維基。不過要是這些人是IT部門的員工，CIO可要重視起來。

據尼爾森公司聲稱，企業社交網絡是如今人們彼此在工作上進行聯絡的主要方式之一。去年1月，社交網站的全球影響力首次超過個人電子郵件。

盡管社交網站可能是一種良好的聯絡工具，但對大多數公司來說，顯然有一些問題和風險。占用寶貴的帶寬就是個問題: 眾多員工共享最新的YouTube視頻時，就會凸顯這個問題。不過，有更大的風險需要引起注意: 包括網絡安全數據泄密和損失慘重的停機時間。這些安全問題當中65%以上與僵尸網絡和惡意軟件有關，而它們又與Web 2.0技術有關。社交網站使用Web 2.0技術讓用戶可以創建實時內容。

總之，社交網站要求CIO了解最新的防范方法，并采取相應措施。為了保護公司及員工，有必要清楚地認識到風險，并落實可靠的監控和補救計劃。CIO考慮社交網站給本公司帶來的風險時，應當審視以下四個方面: 電子發現、數據保護、企業邊界和法規遵循。

應對電子發現

電子發現指查找、保護及搜索電子數據的過程，目的在于在民事或刑事訴訟中可以用做證據。從企業和法律的角度來看，社交網站給為滿足電子發現要求而頭痛的企業帶來了新的難題。問題在于: 社交網站使用各種方法來收集不同內容，從而提供連貫完整的用戶視圖。不過，使用下行軟件(downstream software)來確定用戶訪問權限或查看相關的重要內容卻很難。企業社交網絡也許能提高員工的工作效率，但大多數公司在忙于電子發現時無力應對它。

社交網絡系統含有駐留在公司防火墻外面的信息。所以在電子發現過程中，CIO最后可能要求第三方提供必要信息。即便如此，也不能保證就能得到必要的記錄。社交網絡公司很少保留歷史記錄。使問題進一步復雜的是，人們在溝通時常用縮略語，發送者認為關注者明白這些縮略語是什么意思。

考慮到上述難題，電子發現方面對待社交網站的最佳辦法就是，清點使用了哪些技術，以便了解數據進出企業的情況。要在企業政策中明確: 如果有人使用任何這些不同的社交網絡渠道進行聯絡，他們是以個人的身份來發言，而不是以員工的身份。比如說，要員工在官方Twitter網站上代表公司發言，就要確保制定了相應的可接受使用政策，并進行審查。

盡管電子發現問題尚未得到解決，但限制員工使用社交網站是個不賴的想法。要是員工繼續使用社交網站，顯然有必要按公司政策規定的方式來使用。

保護企業數據

就數據保護而言，有兩點需要考慮: 技術方面和人員方面。從技術角度來看，企業數據丟失預防和加密策略(DLP)是最常見、最有效的工具，可用于監控、審核及保護進出企業的信息和數據。不過，這種工具確實有其局限性。盡管它們擅長保護數據，卻不擅長防范惡意漏洞。DLP之所以有局限性，常常歸咎于與安全網站的復雜集成。如今，大多數公司沒有在主機層面和網絡層面實現DLP與安全網站相集成。這導致許多公司無力識別或阻擋基于安全Web的社交網站。

說到人員即公司員工方面，犯錯的可能性很大。比如說，要是員工登錄到Facebook后，與同事交流關于產品發布或法律問題的信息，隱私方面的參數可能沒有正確設置好，結果他人能瀏覽到敏感資料。員工在Facebook上談論本公司時一定要分清楚: 他們代表的是本人還是公司?

為了確保員工遵守規定，企業的相關人員應考慮部署一套綜合性的政策。他們還要了解與之相關的風險、合規和治理。

設定企業邊界

企業邊界(信息在此進出)面臨越來越大的網絡威脅。大多數企業的安全邊界基礎架構已過時。這些陳舊的系統沒有經過升級，識別不了Web 2.0技術。它們也無法識別及了解流量模式或社交網絡。

為了阻擋各種病毒和入侵者，許多企業求助于Web應用防火墻(WAF)，這是公司現有的防火墻基礎架構之上的另一層保護。為了檢測入侵者而部署的其他技術包括入侵預防系統(IPS)和入侵檢測系統(IDS)以及數據丟失預防(DLP)。企業邊界很復雜，需要諸多技術來保護它。

一些企業在部署其他策略，確保Web 2.0不會影響其基礎架構。一些企業則在充分利用綜合設備，或者對公司網絡的“關鍵區域”進行分區或分段，以緩解風險。

說到確保機密信息得到保護，大多數公司的技術團隊選擇了通過代理服務器來阻止對社交網站的訪問。管理人員可以設置不同的代理訪問級別，允許不同的員工群體訪問不同的社交網站。比如說，視具體業務而定，管理人員可以制定計劃，允許20%的員工訪問社交網站，80%的員工不能訪問。對訪問實行分級很有幫助，不過要牢記: 向員工宣傳能做什么、不能做什么的綜合性安全意識計劃仍很重要。

保護邊界的另一個必要方面就是落實控制措施，以便一旦檢測到事故或事件，就采取相應對策。要是IPS工具發現泄密，必須已落實了處理威脅的相應計劃。

最后，考慮邊界時不能光想著技術，還要考慮其他方面。比如說，清理辦公桌政策和機密資料廢棄計劃(粉碎)可確保: 打印資料得到了合理銷毀，未授權人員無法復制或拍攝文檔，然后發到社交網絡上。

注意法規遵循

企業內部應制定規章制度，確保落實了相應的控制措施，以保護客戶數據、遵守監管要求。必須這么做——關鍵在于做到對公司及客戶的機密信息的安全性負責。如果是一家信用卡發行商，必須遵守支付卡行業(PCI)法規。如果是一家醫療機構，必須遵守《健康保險可攜性及責任性法案》(HIPAA)。

起碼要遵守所在行業的相關法規。但由于社交網站，不但出現了安全基礎架構方面的新挑戰，還給法規遵循出了新的難題。

社交網站是精通社會工程學的人用來獲取公司信息的一種手段，這些信息原本很難通過其他途徑來獲取。為了保護公司，CIO不能僅僅滿足于補丁政策和管理以及配置管理; 還要確保保護公司的安全設備可對付最新威脅。盡管許多Unix和Windows服務器擁有穩固可靠的補丁和配置管理系統，但許多安全控制措施并不是最新的。

最后，重要的是落實控制措施，核實這些措施切實有效。還要確保能迅速發現泄密或漏洞，立馬采取緩解事件影響的措施。