只要是具有一定規模的企業,或多或少都已進行上網行為管控。在資訊安全的控管上,更嚴謹的企業甚至做到連公司內部收發E-mail都有專屬的通訊協定(Protocol),除了公司內部網站外,員工就形同與外界完全隔絕。
聽起來這樣的作法的確可以防止員工在上班時間內上網「摸魚」,又可以防止公司內部資料不慎外洩等事故發生。但是,實際上這些管控策略真的會如網管想像般的有效嗎?畢竟在網路「破解」工具隨手可得的今天,公司單向的政策性管控,其效用似乎就變得很有限。
老板決定上網管控的動機
企業為何想管理員工的上網行為?禁止使用MSN、不可收發公司以外的私人信箱、不能隨意上網是否真的有必要執行?其實,事出必有因,主要原因就有二。一是許多老闆總是不經意地發現,員工在上班時間並沒有全心投入,而是在網路上使用MSN等工具在聊天打屁。當然,從負責投資出錢的老闆角度來看,如果員工都在「忙」著做工作以外的事情,火大是必然的情緒反應,也因而促成管控員工上網的一大動機。
第二,由於商業上的競爭激烈,難防一些「對手」公司使用「旁門左道」,無所不用其極地去竊取競爭對手的一些商業機密,而MSN、Skype或E-mail等通訊程式往往就成了一個無形的洩密管道,讓各種「內神通外鬼」的情況層出不窮。
無可否認地,並非每一位員工都在上班時間內忙著上網或聊天,有時候可能只是恰巧需要利用這種方式溝通,剛好就被老闆或主管看見,但是老闆對該名員工的負面心證已經產生。久而久之,老闆的想法也許就變成「員工們都只知道上網聊天,不管不行了!」
二面政策,有人管不到
不過,就算是老闆下令要管,從執行效率的層面來看,網管也是面臨著二大難題。第一,從技術層面來說,目前的防火牆技術並無法做到100%有效的上網行為管控,就算已經使用了高階的UTM防火牆,也並非就是萬能仙丹,什麼都能管控。有心的員工只要隨便Google一下,也許就能找到破解公司上網限制的對應之道。
例如公司禁止使用MSN,員工就用Web版的MSN;企業禁止使用P2P,員工就換連線埠或做個加密;公司禁止上網,就弄個VPN穿透公司的網路等。總而言之,除非是將對外的網路完全中斷,否則一定會有高手員工可以「上有政策,下有對策」。
當然,站在員工立場也並非全部都是惡意的要跟公司「惡搞」,原因在於這些禁止政策,往往與工作習慣相反,多少會帶來不便,每當類似這種政策的配套措施不足時,常常就會出現「官迫民反」的情況,最後就是每個人都有自己的破解方法,而網管人員常常也只能睜一隻眼,閉一隻眼,放任這些情況的發生。
第二個執行面上的難題存在於部門的反彈聲音,造成最後變成根本「管不到」局面。基於某些部門的工作性質,統一的上網管控策略未必適用。如業務部(Sales)或技術支援部(FAE),還有本身球員兼裁判的網管部門等。
以業務部門為例,許多的業務人員都使用各種不同的管道跟「客戶」保持聯絡,MSN、Facebook、Plurk都是用來溝通的工具。如果公司想要統一禁止上網或使用聊天程式,對這些部門來說,可能就會有點不切實際。又以FAE部門為例,常常為了模擬客戶(以網通業為例)的網路應用環境或為了可以跟客戶保持即時性的聯繫,工程師們就需要可以自由的上網環境以利工作,而一般的IT政策可能根本無法套用到這樣的部門上。
當然,如果開放少數部門全面使用網路而不設限,而其他部門完全無法自由使用網路,久而久之,也會造成一些抱怨,若網管部門最後出面幫了一個部門解除限制,則很容易又會惹來其他部門的不滿,進而掉入「裡外不是人」的困境之中,導致整個上網管控政策的執行結果很可能反而會適得其反,守法員工只能「怨」在心裡,並眼見其他的「高手」員工使用破解的方式繼續上網聊天。這樣最終不管對企業還是對員工都是雙輸(Lose-Lose)的情況。
以人為本,法規優先
其實,採用禁止式或封鎖式等「硬」的方式去限制員工上網的「業務」,不一定是最佳的管控手段,因為 「硬」式的管控方式往往缺乏彈性,這個禁止,那個不能,本來就不會給人好的「觀感」,也不太容易獲得員工的支持與諒解。而且剛好相反,往往一些「軟」式的管控手段,反而會帶來更好的效果。
「軟」式的管控手段,像發佈行政命令或以log的方式來進行不定時的稽查動作,一般會讓人比較容易接受。例如,先由相關行政部門發佈「員工上網的注意事項」法則,說明前因後果及對公司、員工的影響後,採用自我管理的方式,希望員工自行配合。同時,並說明將由網管部門進行相關的記錄作業(Log),不定期的把相關的報告轉交各部門主管。
若有員工違規,則再由各部門主管考量員工的實際工作內容後再另行處分。這樣也許就可以在不失彈性的情況下,慢慢導入相關的上網管控政策,而且員工的接受度應該會相對地提高。
彈性使用,皆大歡喜
有禁止的時候,則應該也有開放員工可以自由上網的時候。現在很多防火牆或多功能路由器,都支援依時段或使用者的身份去禁止或開放某些上網的應用。如上班時間可以禁止除業務需要以外的所有網路通訊,但下班後則可以考慮解除這些限制。
以台灣的工作環境來說,員工超時工作或加班的情況非常普遍,而且大都是上班採「打卡制」要求員工「準時」上班,而下班則採「責任制」的方式,要求員工事情必須全部處理好或者做完後才可以下班。所以,若能在上網的控管上採用比較彈性等人性化的處理方式,不管對企業或員工都更能收到雙贏(Win-Win)的效果。
基於平等,網路系統統一化管理
不管是採取什麼樣的管控策略,最好不要讓公司的網路系統出現分離的狀態,也就是部門與部門間採取不同的管控策略。為了適應不同部門對網路的不同需求,部份企業會允許某些特定部門擁有自己獨立於企業本身的網路系統。這樣的局面不僅會造成部門間的不平衡感,而且會為企業網路的統一管理帶來很大的難度。
在實施任何網路管控策略之前,企業應該做出系統整合的決策。系統整合就是把各個分散並獨立於不同部門的子系統整合為一個系統,這個系統的管理權在網管部門手中。這樣,網管部門便可以根據企業上層的策略而統一訂定並實施網路管控等措施。
結語
對企業來說,強制的網路限制在一定程度上或許可以帶來更高的效益,例如工作時間內不可以上網聊天,希望員工可以投入更多的工作時間去工作;對員工來說,強制的網路限制一定會帶來很多負面的效應,例如造成整個企業的不平衡感,引發員工消極的工作態度等。
企業管理者在限制員工的上網行為時,應該平衡工作時間和工作態度或工作效率所帶來的效益。最後,以人為本,在當代的商業競爭領域,沒有人,便沒有競爭資源。期待企業可以找出更積極有效的上網管控策略。