IT業必須接受的九大不容爭辯的事實
理想情況下,你的網絡不會有什么“宕機”時間,并得到了保護。你與所有的法律、法規保持一致,用戶也可以自我管理。云幾乎可以照顧你所有的基礎架構需要,并且不會有一個設備在沒有得到許可和控制的情況下就可以訪問網絡。而且,作為IT人的你會得到應有的尊重和羨慕。
事實上,夢想和冷酷現實之間的差距卻越來越大。但是,這并不意味著你應當放棄,你需要認清現實,清楚自己可以改變什么以及必須接受什么。
下面就是IT必須學會接受的九大事實。
一、用戶智能設備的革命已悄然興起
越來越多的工作場所允許用戶攜帶自己的設備。由IDC和Unisys在2011年5月作的一項調查,發現有95%的信息工作人員使用自己購買的設備來工作,這個數字大約是被調查的經營管理人員預計的兩倍。IDC預計,工作場所中,雇員自己擁有的智能電話將在2014年增加一倍。
《企業中的iPad》的作者、移動設備管理公司ITR Mobility的首席軟件架構師克倫溫格說,iPhone和iPad是IT消費化的催化劑。技術部門要么使其安全地使用,要么就會帶來安全風險。
如果IT不支持用戶們需要的這種設備和技術,用戶就會繞過IT并將其個人技術用于商業目的。克倫溫格說,從安全的方面來看,這要比支持消費者設備更為危險。
基于云的移動設備管理供應商Trellia的產品管理副總裁拉非說,技術部門需要取中庸之道,要避免極端。要在企圖(但無法)將消費者技術趕出工作場所和允許從任何設備自由地訪問網絡之間進行協調,就像大禹治水一樣要善于疏導。
“帶自己的設備”是IT部門正開始學會忍受的一個問題,但IT需要從安全、成本、操作等方面來管理雇員設備。在此問題上,很難做到既符合公司標準,又滿足業務需求。IT需要一種管理方案,既能保證公司的數據安全,同時,在對IT操作和基礎架構產生最小影響的情況下,又能管理成本。
二、IT失去了對公司如何使用技術的控制
不僅僅是消費者設備正在“侵入”工作場所。如今,沒有任何技術才干的企業用戶也可以使用第三方企業的云服務。在許多情況下,只需要一個Web表單,再單擊一個按鈕就可搞定。從此意義上講,IT已經失去了對IT的控制。
這未必是一件壞事。蓬勃發展的云服務和移動應用可以給企業用戶接觸所需技術的機會,而不會對IT人員或預算帶來額外的負擔。
多年以來,IT控制著每種設備、每個應用程序以及關于技術的每個過程。但隨著企業的各個部門獲得越來越多的技術技巧,再加上受到IT的控制,它們在獲得經營管理者的支持后,開始自己研究、取得、實施新的應用程序和小工具。這些新部門往往能夠更快、更廉價地實施自己需要的程序和工具。
IT的工作不再是提供管理嚴密的解決方案,而是支持企業用戶作出正確的決策。
技術部門不應當再試圖重新獲得控制,而應當努力爭取更有價值的東西:影響力。當IT部門對待用戶就像對待客戶一樣而不是像對待抱怨者那樣時,就會獲得比自己想要的更多結果。由全能IT部門來規定方法和機器的日子已經遠去。IT認識到這一點的時間越早,就能越快地真正重新獲得某種水平的控制。
三、“宕機”時間不可避免
最終,即使維護得最好的數據中心也會發生“宕機”。你認為自已有充足的冗余而不會發生故障嗎?你只是少數幸運兒之一。
2010年9月,由Emerson Network Power發起并由Ponemon Institute實施了一項涉及到450名數據中心管理員的調查, 95%的受訪者稱自己在以前的24個月里至少遭受過一次沒有預先準備的停機。平均的故障時間是107分鐘。
理想的情況下,所有的數據中心都會圍繞著高冗余、雙總線架構來構建,其中的最大負載不會超過50%。即使在關鍵系統發生故障而且其它系統也由于維護而停機時,這種數據中心仍能夠處理峰值負載,并使用一個獨立的災難恢復設施來應對區域性災難。
然而,在現實世界中,100%的正常運行時間幾乎是不可能的,因為其成本過高。這就迫使數據中心的管理員們只能期望在系統使用了超過50%的能力時,不會發生故障。
對于正常運行時間關系到其生死存亡的企業來說,最好對其數據中心進行分割,并為最關鍵的系統保留出可用性。例如,如果電郵發生故障達半小時,這雖令人討厭但并非致命。但如果實時交易發生故障,企業有可能在一分鐘的時間內喪失數千萬的金錢。
企業最好擁有一定的可能用不到的性能,而不要在需要時卻不具備這種能力。但是,能夠在支票上簽名的人是否總能夠做出這種選擇呢?
四、系統絕不可能完全合規
如同正常運行時間一樣,百分之百合規只能是一個崇高目標,在實踐中并不可行。在許多情況下,過度關注合規將會對其它方面產生損害。
合規水平根據企業所處的行業不同而不同。管理嚴格的企業(如金融行業中的企業)不太可能做到完全合規,因為其規則常常變更,并且對規則的解釋也有不同的方式。
正如沒有任何網絡可以保證徹底安全,也沒有任何企業可以保證百分之百地合規。如果一個廠商試圖告訴你其產品完全合規,它就是在撒謊。
還有另外一個危險問題也屬于合規陷阱,即企業花費了太多的資源試圖與規范保持同步,但卻忽視了其它問題,忽視了其運作中的關鍵部分。
過度追求實現合規的企業常常在其它領域出問題。合規僅僅是風險管理的一部分,而風險管理自身又是公司監管的一部分。
#p#
五、云不可能解決一切,甚至有可能破壞某些方面。
云計算正大行其道,根據Gartner的調查,到2015年,將有超過40%的CIO期望將其大部分IT運行在云中。
但云并非最終的解決方案。可靠性、安全性、數據丟失等將繼續使IT部門感到頭痛,因為IT部門對云中的數據等方面擁有較小的控制。
任何單位的數據損失都是不可避免的,在云中仍會發生。企業必須與其云供應商進行協作,為故障時間(停工期)、數據恢復和遷移、災難造成的損失等做好規劃,從而為最壞的情況做好準備。數據安全將一直是一個令人關注的問題,雖然云解決方案的不斷進步減少了風險。
云計算還會帶來一個新問題:企業如何精確地衡量其IT花費,特別是當企業用戶在沒有IT監視的情況下使用云服務時,問題顯得跟難以處理。這個問題會迫使技術部門認真研究云所提供的服務價值。
六、你的網絡已經受到損害
每個人都希望自己的網絡易于管理,又不容易受到損害。雖然很多人對企業擁有的大量安全設備津津樂道,卻不知這些設備難于管理并易于遭受攻擊和破壞。
最糟糕的問題是,每種設備都需要不斷地打補丁和更新,其結果就是造成一個不斷滋長蔓延、極度復雜、價格昂貴的安全設施體系。
而且,根據國際計算機安全協會的最新調查,有40%的企業在2010年經歷過惡意軟件感染、僵尸網絡、目標攻擊等安全事件。還有10%的企業并不知道自己的網絡是否已經遭受過侵害。
事實上,更聰明的方法是,先假設你的網絡已經遭受過侵害,然后圍繞此侵害設計安全。
現代惡意軟件已經變得日益復雜和深入,對于如何在企業網絡中隱藏自己也相當熟練。安全專業人士不必在公司防火墻上再增加一層補丁,而應該花更多的時間去關注網絡黑手正在何處潛伏,是在端到端的應用程序中,還是在加密的社交網絡中等等。
“零信任架構”的概念在國外的許多企業中正受到青睞。這并不是說這些企業正在簡單地丟棄其原有的安全,而是將其注意力轉向內部,尋找、檢查可能已經受到感染或損害的用戶(或系統)的蛛絲馬跡。
七、公司最隱秘的信息很容易被泄露
公司的雇員正在使用社交網絡,不管是否得到允許。社交網絡造成的問題是什么?根據熊貓軟件的社交媒體風險指數提供的數據,有三分之一的中小型企業已經受到由社交網絡所帶來的惡意軟件的損害,同時有近四分之一的企業由于其雇員不慎“說漏了嘴”而泄露了敏感數據。
如今,人們使用社交媒體就像十年前使用電郵的行為一樣。現在許多雇員已經知道不能隨便點擊郵件中的鏈接。但許多雇員卻會點擊社交網絡中的每一個URL,因為他們信任發送方。這正是五年前已經遭到挫敗的僵尸網絡如今又借助社交媒體死灰復燃的原因。這是一個必須關注的重大風險。
即使企業已經使用了社交媒體的安全解決方案或DLP工具,也無法阻止某些社交媒體的“粉絲”泄露公司的機密。
最重要的是不斷地反復教育。企業要從技術上部署解決方案,要經常提醒用戶,警告用戶訪問網站的策略和規則,特別是在訪問與業務無關的網站時更要注意公司的規定。
八、你的用戶絕不可能達到“自支持”
“用戶能夠自支持”,這是每一個IT部門的夢想。雖然企業已經為網絡知識庫和自動支持解決方案進行了很多投資,但遇到問題尋求IT幫助仍是許多用戶的最愛。
IT可以通過用戶的自我服務解決很多常見問題,如口令重置等。但是,解決許多一次性問題和更復雜的問題卻更有成本效益。即使技術100%地工作,用戶仍完全不能自己解決問題。只要技術不斷進步,雇員就不斷地需要IT的支持。
有關專家建議,不必采用用戶的自我服務和自我支持,而應投資于遠程協助方案,這樣會更好。在許多情況下,支持人員可以通過遠程協助訪問用戶的計算機,并直接解決問題。
九、IT得不到應得的尊重
不管他們如何努力工作,也不管他們企業中如何舉足輕重,IT專家不會得到除其職位之外的很多尊重。雖然IT人所需要的是被欣賞、被尊重、被理解。
依環境的不同,IT常常被認為是圣誕老人(為所有的企業員工帶來新的工具)、“不行”先生(僅對阻止員工訪問為完成其工作所需要的資源感興趣)、保安(監視用戶的每一個互聯網訪問,查找并切斷可疑活動)等。
IT領導人如何對付這些誤解?主要的問題是,重視用力所能及的任何方法向公司提供非凡的價值。要找到一個只需要少量技術就可以產生巨大效益的地方,并堅決執行。如果IT能夠展示出IT確實非同凡響,自然會得到應有的尊重。
【編輯推薦】
