我们向读者朋友征集在工作中遇到过的最肮脏的IT秘闻——那些来自灰色地带的谎言以及其他人根本意识不到的技术阴暗面。整理工作结束后,我们将这些"秘密"交给相关领域的专家,让他们对其进行分析。其中一部分得到了专家的共鸣,但另一些则未受肯定。
IT专业人士往往若无其事地传播灰色谎言、玩弄技术业务的黑色权谋
IT专业人士往往对问题背后的真正由来了如指掌——有时候,他们本人就是造成麻烦的罪魁祸首。
我们向读者朋友征集在工作中遇到过的最肮脏的IT秘闻——那些来自灰色地带的谎言以及其他人根本意识不到的技术阴暗面。整理工作结束后,我们将这些“秘密”交给相关领域的专家,让他们对其进行分析。其中一部分得到了专家的共鸣,但另一些则未受肯定。
系统管理员手中的权力足以成为CIO最恐怖的噩梦?IT员工仍然拿走企业设备?我们保存在云端的数据是否真会不翼而飞?技术支持服务开出的价码算不算高得离谱?
通过今天的文章,我们将共同了解当事者与相关专家们的观点。
IT肮脏秘密第一条:系统管理员抓着公司的小辫子
IT这只黄鼠狼居然成了数据这只肥鸡的守门者
任何一位关注过爱德华•斯诺登其人其事的朋友肯定已经了解到,一位系统管理员能够造成怎样的破坏。但即使是IT人士自己可能也无法想象,不受约束的管理员究竟拥有何等惊人的权力与危害性。
“对于IT人士而言,根本不存在秘密这回事,”安全服务托管供应商Network Box USA公司CTO Pierluigi Stella表示。“我可以在自己的防火墙上植入探测工具,从而掌握特定计算机上进进出出的任何一个数据包。我能够看到人们在消息当中写下哪些内容、他们访问了哪些互联网站、在Facebook上写了些什么。事实上,道德是惟一一种能够约束IT人士不至于误用或者滥用这种权力的因素。IT人士完全就是存在于我们身边的国安局的缩影。
这种情况相当常见,甚至大部分CIO都已经意识到了这一点,数据保护企业SafeNet公司首席战略官Tsion Gonen指出。
“我估计九成以上的企业都面临着这样的危机 ,”他表示。“企业安全的可靠性与IT管理员的可信程度密切相关。我们很难准确弄清到底有多少系统管理员正在滥用自己手中的访问权限——但可以肯定的是,数量已经多到足以占据每星期的报纸头条。最可怕的是,安全风险往往来自那些负责为企业员工分配访问权限的家伙。”
数据治理方案供应商Varonis公司副总裁David Gibson也认为,管理员一般确实有能力在神不知鬼不觉的情况下进行数据访问,但他提出了相对比较具体的比例数字——50%。他补充称,这样的问题并不只发生在管理员身上——大部分用户都有能力访问超出工作范围之外的更多数据。
他表示,要想解决这一难题,方案可以归纳为两个方面:利用“最低权限”模式削弱员工的访问能力;持续对数据访问者进行监控。
“企业需要有能力查看哪些员工访问了什么样的数据,这些数据归属于谁以及谁已经访问了其中的哪些文件,”他表示。“以此为基础,IT部门将能够与数据所有者直接接触,从而在削减权限与保持可接受的使用感受之间找到平衡点。”
IT肮脏秘密第二条:员工很可能正在“以厂为家”
那些“退休”了的IT资产很可能以出人意料的方式焕发第二春
陈旧的技术设备很少真正被丢进垃圾桶,它们往往能快速找到自己的新家——有时候,“新家”与IT员工的家会产生交集。
“员工盗窃被淘汰的设备早已不是什么新鲜事了,”Retire-IT公司CEO Kyle Marks指出——这是一家专门处理与IT资产有关的欺诈与隐私合规问题的企业。“我还从来没见过任何一位从未将公物占为己有的IT从业者。对于大多数人来说,拿点业已淘汰的设备并不算什么了不起的事情。很多人也不会将此视为安全威胁——一旦设备报废,他们会将其当成可以随意处置的东西。
将设备从垃圾堆或者回收站里捡走的最大问题在于,其中很可能还包含有敏感数据。一旦这部分数据遭到曝光,很可能会给公司造成巨大损失,Marks指出。当然,即使没有什么后续麻烦,这样的行为本身也属于盗窃公司财产。
“盗窃与欺诈属于很严重的事态,极有可能引发大规模隐私事故,”他补充称。“如果任由这种态势发展下去,无法无天的IT员工很可能将整个企业推向崩溃的边缘。然而在大多数情况下,负责确保所有资产得到妥善处理(即删除所有数据)的主管人士往往是IT部门的一员。企业需要建立一套‘逆向采购’流程,以保证资产遵循正常方式退出自己的工作岗位。”
但是不是每一位IT员工都会对陈旧硬件伸出贪婪的双手?某位拒绝公布名字的资深IT资产处置从业者表示,实际情况与Marks所做出的推论相去甚远。
“我并不是说盗窃活动并不存在,”他解释道。“我只是想说明,我从未遇到任何一位对陈旧硬件抱有固定处理模式的从业者。”
他同时补充称,大部分设备之所以消失不见,主要是由于丢失或者其它一些难以说清的原因——例如被运到了错误的地点。
“这听起来有些否定一切的倾向,事实上很多企业都对自身以完全诚实可信的态度提供安全服务、坚持处事方式的做法表示骄傲。”
IT肮脏秘密第三条:将数据保存在云中——比你想象的更危险
如果跟法律条文扯上关系,世界上任何一种安全机制都将无法保护我们
把数据存储在云环境下确实很方便,但我们也很可能需要为这样的便利付出高昂的代价:在如同一团乱麻的法律诉讼当中,我们的数据将不翼而飞。
“大多数人并没有意识到当自己的数据被保存在云环境中其他人的系统上、并与其它企业的数据比邻而居时,一旦对方遭遇法律纠纷、我们的数据也可能受到殃及而不得不被公之于众,”IT支持企业CSI集团老总Mike Balter指出。
换句话来说,大家的云数据很可能由于针对他人的调查活动而遭受意外牵连——倒霉是惟一的理由,只是因为跟嫌疑方共用了一台服务器、企业就可能遭受严重损失。
2012年1月就发生过一个典型案例,当时美国与新西兰当局关闭了Kim Dotcon公司的MegaUpload文件柜。除了确实涉嫌盗版的大量电影资料之外,当局还没收了成千上万来自守法客户的数据且拒绝归还。时至今日,这些可怜的普通用户仍然无法确定自己的数据还能不能被重新找回。
“数据遭到扣押的风险是真实存在的,”Touro法律中心商业、法律与技术研究部门主任Jonathan Ezor做出证实。“如果执法部门或者其它政府官员拥有任何法律依据,则完全可以收缴存储设备或者系统——在某些特殊事件中可能需要获得批准——而这些系统中的数据无论是否存在嫌疑,都可能遭到剥夺。总之,任何一家企业的数据在存储于控制范围之外时,都将不可避免地受到某种程度的窥探——至少他人有权访问同一套硬件设备。
要想保护自己免受这种最坏状况的影响,用户必须自己的数据到底被保存在哪里、哪些法律条文符合当前情况,云案例企业JumpCloud公司CEO David Campbell表示。
“我们的建议是寻找一家能够对服务器及数据的物理位置做同保证的云供应商,例如Amazon,这样大家才能以主动姿态控制未知风险,”他指出。
Ezor同时补充称,对数据进行加密能够有效防止获得数据的家伙成功解读其中的内容。另一个好主意是:在手头常备一份数据备份。我们真的不能确定什么时候这就成了企业的最后一根救命稻草。
IT肮脏秘密第四条:员工勒紧裤带,老板却开出空头支票
搞财务的最苦逼
对于几乎任何一家中型或者大型企业来说,采购批准流程拥有两种执行方式,Hawkthorne集团CEO Mike Meikle指出——这是一家高级管理与信息技术咨询企业。首先是官方采购流程——时耗极长、我们需要像马戏团里的小猫小狗那样钻过一个又一个审批“火圈”。除此之外,还有一条特殊的“贵宾畅行版钻石通道”,当然只供少数“特殊人物”使用。
“企业高管级别的人士都有自己的采购通道,”他解释称。“对于那些需要花掉IT人士八个月时间的审批流程,这些高管往往在几个星期之内就能搞定——这还是非常保守的估计。我将此称为‘贵宾畅行版钻石通道’。在我所接触过的政府机关或者私营企业当中,没有一个能彻底摆脱这种只存在于背地里的神秘采购途径。”
官方流程之所以要刻意为难员工,就是不希望他们花企业的钱,Meikle指出——当然,除非他们能想办法走上这条秘密通道。他同时指出,遗憾的是CIO往往没有资格加入这个贵宾俱乐部,这意味着大型技术采购往往会在没有经过严格的成本分析或者考查IT战略方针的情况下就被敲定。
“他们会一起出去吃午饭,供应商则在他们耳边不断灌输甜言蜜语;接下来的事情大家就都知道了:几十万美元被慷慨地抛出,换来另一套移动应用管理方案——这帮家伙根本没意识到企业已经有一套这种方案了,”他愤愤不平地表示。“现在我们有两套移动应用管理方案——要这么多干啥,拿来吃吗?”
但事实并不一定如此,某位来自军方及财富百强企业的匿名人士提出反对意见。虽然很多企业确实可能回避了标准采购流程,但其中涉及的往往总是IT部门迫切需要的对象——这么做是不希望把时间浪费在繁文缛节之上,他表示。
“非技术高管根本不具备制定大型采购决策所必需的IT知识,”他补充道。“如果某位高级行政人员回避了采购审核流程,执意签署采购订单并要求供应商发货,那么后续出现的一切技术失误都应该通过问责及追溯机制归结到这家伙身上。这就像氪石之于超人——是他们最大的克星。”
IT肮脏秘密第五条:在客户支持的天平中站在弱势的一端
技术人员只是在玩弄脚本而已
相信大家对这样的情景不会感到陌生:我们通过手机与相隔半个地球之外的技术支持人员进行沟通,但在寥寥数语之后我们就发现对方的技术水平根本不行、只是在对客户照本宣科。猜猜怎么着?实际情况很可能正是这样。
“IT支持是一种廉价商品,”Strive技术咨询公司总裁Tim Singleton指出——这是一家高端技术支持企业、专为中小型客户提供服务。“大部分能够帮得上忙的工具都不用花钱,计算机对使用者的知识要求也不再像过去那么严苛。我们邻居家的小女孩很可能与技术娴熟的达人一样有能力像IT企业那样解决你的计算机故障。”
但也有人认为这样的结论太过武断。虽然某些简单问题确实体现不出技术支持团队的必要性,但在复杂问题方面专业建议仍然不可或缺,企业级远程IT支持方案供应商Bomgar公司服务与支持业务高级副总裁Aramis Alvarez指出。
“将IT支持称为‘廉价商品’的不妥之处在于,我们不能对所有技术难题一概而论,”Alvarez表示。“某些基础问题确实能被熟悉技术的普通用户准确诊断,但病毒感染等更为复杂的情况则不行。邻家女孩也许真的具备不少技术知识,但她最终很可能对计算机上的数据造成严重破坏。”
最后,我们不得不为了收拾残局而付出更高代价,New York Computer Help公司CEO Joe Silverman补充道——这样的问题往往发生在企业在技术方面偷工减料或者内部IT部门负担过重的情况下。
“在日常工作中,我们发现纽约当地有很多办公组织及职能部门在以马马虎虎的态度对待计算机维修工作或者IT岗位——从其它公司拉人、找家庭成员顶替或者招揽半吊子水平的朋友,”他指出。“有时候财务部门的员工也会跑来客串解决计算机问题,但他们往往太忙或者经验不够丰富,无法修复发生故障的硬盘、主板或者电源。如果网络或者服务器发生崩溃,大家真的打算依靠财务员工完成这项工作、还是更信赖拥有二十年从业经验的资深网络工程师?”
IT肮脏秘密第六条:我们知道的比你想象的多得多
广泛收集数据,掌握全盘信息
以为自己正处于国安局的密切监控之下?与消费者营销企业与数据代理商比起来,国安局真的只能算是小儿科。
其中最大的黑手就是赌场,前任赌场数据库经理、曾根据个人经历撰写并出版《巧取豪夺:穿越繁荣之城》一书的J. T. Mathis这样说道。“当大家走进赌场时,押下的赌注绝不只是金钱——各位其实是在用自己的个人数据碰运气。”根据Mathis的估算,他前雇主营销数据库中大约包含十万个以上活跃或者非活跃的赌徒姓名。
“从踏入赌场的那一刻起,大家的一举一动就处于追踪之下,”Mathis指出。“如果各位坐在一台老虎机前,赌场管理者会知晓你的当前位置、一共拉下过多少次手柄、投下过多少个硬币;他们知道你喜欢在4:30吃饭而且偏爱龙虾拼盘。他们清楚你最喜欢的香烟与酒水品牌、知道你是否在房间内观看色情节目。而在你暑期再度光临时,他们能够一眼洞悉随你一同前来的并非原配妻子,这样员工才能叫对她的名字‘Cindy’而非你太太的名字‘Barbara’。”
前任赌场高管、现就职于路易斯安那州立大学的Michael Simon教授证实了Mathis的说法。但他补充称,赌场收集数据的方式与CVS、PetSmart或者Amazon相比并无多大区别。
“我现在带的MBA班主攻数据库分析与发掘方向,我们调查过的所有企业都有收集客户信息并根据客户个人习惯提供服务的行为,”他表示。作为《我的游戏人生:前任赌场高管的个人视角》一书的作者,Simon补充称“这已经成为当下的常规商业惯例,而绝非什么不可告人的秘密。举例来说,我带着自己的狗到PetSmart享受特殊产品与服务,他们提供的项目一定符合我的个人消费习惯——我对此感到非常满意。从另一个角度看,PetSmart其实在以非常高效的方式提供我想要的东西、而不是浪费时间为我准备根本不可能接受的东西——例如折扣猫粮或者热带鱼。”
但只有一件事有所不同:Mathis于2012年5月被赌场裁掉,但他当时手头仍持有数据库副本。而在尝试将副本还给赌场方面时,他的运气实在有些糟糕——对方拒绝接听他的电话——既然这样,他只好用手头的数据谈谈关于赌博的那些事儿了。
来源:http://developer.51cto.com/art/201311/415064.htm