IT行業(yè)中的六個(gè)骯臟秘密
譯文IT專業(yè)人士往往若無其事地傳播灰色謊言、玩弄技術(shù)業(yè)務(wù)的黑色權(quán)謀
IT專業(yè)人士往往對(duì)問題背后的真正由來了如指掌——有時(shí)候,他們本人就是造成麻煩的罪魁禍?zhǔn)住?/p>
我們向讀者朋友征集在工作中遇到過的最骯臟的IT秘聞——那些來自灰色地帶的謊言以及其他人根本意識(shí)不到的技術(shù)陰暗面。整理工作結(jié)束后,我們將這些“秘密”交給相關(guān)領(lǐng)域的專家,讓他們對(duì)其進(jìn)行分析。其中一部分得到了專家的共鳴,但另一些則未受肯定。
系統(tǒng)管理員手中的權(quán)力足以成為CIO最恐怖的噩夢(mèng)?IT員工仍然拿走企業(yè)設(shè)備?我們保存在云端的數(shù)據(jù)是否真會(huì)不翼而飛?技術(shù)支持服務(wù)開出的價(jià)碼算不算高得離譜?
通過今天的文章,我們將共同了解當(dāng)事者與相關(guān)專家們的觀點(diǎn)。
IT骯臟秘密第一條:系統(tǒng)管理員抓著公司的小辮子
IT這只黃鼠狼居然成了數(shù)據(jù)這只肥雞的守門者
任何一位關(guān)注過愛德華•斯諾登其人其事的朋友肯定已經(jīng)了解到,一位系統(tǒng)管理員能夠造成怎樣的破壞。但即使是IT人士自己可能也無法想象,不受約束的管理員究竟擁有何等驚人的權(quán)力與危害性。
“對(duì)于IT人士而言,根本不存在秘密這回事,”安全服務(wù)托管供應(yīng)商N(yùn)etwork Box USA公司CTO Pierluigi Stella表示。“我可以在自己的防火墻上植入探測(cè)工具,從而掌握特定計(jì)算機(jī)上進(jìn)進(jìn)出出的任何一個(gè)數(shù)據(jù)包。我能夠看到人們?cè)谙?dāng)中寫下哪些內(nèi)容、他們?cè)L問了哪些互聯(lián)網(wǎng)站、在Facebook上寫了些什么。事實(shí)上,道德是惟一一種能夠約束IT人士不至于誤用或者濫用這種權(quán)力的因素。IT人士完全就是存在于我們身邊的國安局的縮影。
這種情況相當(dāng)常見,甚至大部分CIO都已經(jīng)意識(shí)到了這一點(diǎn),數(shù)據(jù)保護(hù)企業(yè)SafeNet公司首席戰(zhàn)略官Tsion Gonen指出。
“我估計(jì)九成以上的企業(yè)都面臨著這樣的危機(jī) ,”他表示。“企業(yè)安全的可靠性與IT管理員的可信程度密切相關(guān)。我們很難準(zhǔn)確弄清到底有多少系統(tǒng)管理員正在濫用自己手中的訪問權(quán)限——但可以肯定的是,數(shù)量已經(jīng)多到足以占據(jù)每星期的報(bào)紙頭條。最可怕的是,安全風(fēng)險(xiǎn)往往來自那些負(fù)責(zé)為企業(yè)員工分配訪問權(quán)限的家伙。”
數(shù)據(jù)治理方案供應(yīng)商Varonis公司副總裁David Gibson也認(rèn)為,管理員一般確實(shí)有能力在神不知鬼不覺的情況下進(jìn)行數(shù)據(jù)訪問,但他提出了相對(duì)比較具體的比例數(shù)字——50%。他補(bǔ)充稱,這樣的問題并不只發(fā)生在管理員身上——大部分用戶都有能力訪問超出工作范圍之外的更多數(shù)據(jù)。
他表示,要想解決這一難題,方案可以歸納為兩個(gè)方面:利用“最低權(quán)限”模式削弱員工的訪問能力;持續(xù)對(duì)數(shù)據(jù)訪問者進(jìn)行監(jiān)控。
“企業(yè)需要有能力查看哪些員工訪問了什么樣的數(shù)據(jù),這些數(shù)據(jù)歸屬于誰以及誰已經(jīng)訪問了其中的哪些文件,”他表示。“以此為基礎(chǔ),IT部門將能夠與數(shù)據(jù)所有者直接接觸,從而在削減權(quán)限與保持可接受的使用感受之間找到平衡點(diǎn)。”
IT骯臟秘密第二條:?jiǎn)T工很可能正在“以廠為家”
那些“退休”了的IT資產(chǎn)很可能以出人意料的方式煥發(fā)第二春
陳舊的技術(shù)設(shè)備很少真正被丟進(jìn)垃圾桶,它們往往能快速找到自己的新家——有時(shí)候,“新家”與IT員工的家會(huì)產(chǎn)生交集。
“員工盜竊被淘汰的設(shè)備早已不是什么新鮮事了,”Retire-IT公司CEO Kyle Marks指出——這是一家專門處理與IT資產(chǎn)有關(guān)的欺詐與隱私合規(guī)問題的企業(yè)。“我還從來沒見過任何一位從未將公物占為己有的IT從業(yè)者。對(duì)于大多數(shù)人來說,拿點(diǎn)業(yè)已淘汰的設(shè)備并不算什么了不起的事情。很多人也不會(huì)將此視為安全威脅——一旦設(shè)備報(bào)廢,他們會(huì)將其當(dāng)成可以隨意處置的東西。
將設(shè)備從垃圾堆或者回收站里撿走的最大問題在于,其中很可能還包含有敏感數(shù)據(jù)。一旦這部分?jǐn)?shù)據(jù)遭到曝光,很可能會(huì)給公司造成巨大損失,Marks指出。當(dāng)然,即使沒有什么后續(xù)麻煩,這樣的行為本身也屬于盜竊公司財(cái)產(chǎn)。
“盜竊與欺詐屬于很嚴(yán)重的事態(tài),極有可能引發(fā)大規(guī)模隱私事故,”他補(bǔ)充稱。“如果任由這種態(tài)勢(shì)發(fā)展下去,無法無天的IT員工很可能將整個(gè)企業(yè)推向崩潰的邊緣。然而在大多數(shù)情況下,負(fù)責(zé)確保所有資產(chǎn)得到妥善處理(即刪除所有數(shù)據(jù))的主管人士往往是IT部門的一員。企業(yè)需要建立一套‘逆向采購’流程,以保證資產(chǎn)遵循正常方式退出自己的工作崗位。”
但是不是每一位IT員工都會(huì)對(duì)陳舊硬件伸出貪婪的雙手?某位拒絕公布名字的資深I(lǐng)T資產(chǎn)處置從業(yè)者表示,實(shí)際情況與Marks所做出的推論相去甚遠(yuǎn)。
“我并不是說盜竊活動(dòng)并不存在,”他解釋道。“我只是想說明,我從未遇到任何一位對(duì)陳舊硬件抱有固定處理模式的從業(yè)者。”
他同時(shí)補(bǔ)充稱,大部分設(shè)備之所以消失不見,主要是由于丟失或者其它一些難以說清的原因——例如被運(yùn)到了錯(cuò)誤的地點(diǎn)。
“這聽起來有些否定一切的傾向,事實(shí)上很多企業(yè)都對(duì)自身以完全誠實(shí)可信的態(tài)度提供安全服務(wù)、堅(jiān)持處事方式的做法表示驕傲。”
IT骯臟秘密第三條:將數(shù)據(jù)保存在云中——比你想象的更危險(xiǎn)
如果跟法律條文扯上關(guān)系,世界上任何一種安全機(jī)制都將無法保護(hù)我們
把數(shù)據(jù)存儲(chǔ)在云環(huán)境下確實(shí)很方便,但我們也很可能需要為這樣的便利付出高昂的代價(jià):在如同一團(tuán)亂麻的法律訴訟當(dāng)中,我們的數(shù)據(jù)將不翼而飛。
“大多數(shù)人并沒有意識(shí)到當(dāng)自己的數(shù)據(jù)被保存在云環(huán)境中其他人的系統(tǒng)上、并與其它企業(yè)的數(shù)據(jù)比鄰而居時(shí),一旦對(duì)方遭遇法律糾紛、我們的數(shù)據(jù)也可能受到殃及而不得不被公之于眾,”IT支持企業(yè)CSI集團(tuán)老總Mike Balter指出。
換句話來說,大家的云數(shù)據(jù)很可能由于針對(duì)他人的調(diào)查活動(dòng)而遭受意外牽連——倒霉是惟一的理由,只是因?yàn)楦右煞焦灿昧艘慌_(tái)服務(wù)器、企業(yè)就可能遭受嚴(yán)重?fù)p失。
2012年1月就發(fā)生過一個(gè)典型案例,當(dāng)時(shí)美國與新西蘭當(dāng)局關(guān)閉了Kim Dotcon公司的MegaUpload文件柜。除了確實(shí)涉嫌盜版的大量電影資料之外,當(dāng)局還沒收了成千上萬來自守法客戶的數(shù)據(jù)且拒絕歸還。時(shí)至今日,這些可憐的普通用戶仍然無法確定自己的數(shù)據(jù)還能不能被重新找回。
“數(shù)據(jù)遭到扣押的風(fēng)險(xiǎn)是真實(shí)存在的,”Touro法律中心商業(yè)、法律與技術(shù)研究部門主任Jonathan Ezor做出證實(shí)。“如果執(zhí)法部門或者其它政府官員擁有任何法律依據(jù),則完全可以收繳存儲(chǔ)設(shè)備或者系統(tǒng)——在某些特殊事件中可能需要獲得批準(zhǔn)——而這些系統(tǒng)中的數(shù)據(jù)無論是否存在嫌疑,都可能遭到剝奪。總之,任何一家企業(yè)的數(shù)據(jù)在存儲(chǔ)于控制范圍之外時(shí),都將不可避免地受到某種程度的窺探——至少他人有權(quán)訪問同一套硬件設(shè)備。
要想保護(hù)自己免受這種最壞狀況的影響,用戶必須自己的數(shù)據(jù)到底被保存在哪里、哪些法律條文符合當(dāng)前情況,云案例企業(yè)JumpCloud公司CEO David Campbell表示。
“我們的建議是尋找一家能夠?qū)Ψ?wù)器及數(shù)據(jù)的物理位置做同保證的云供應(yīng)商,例如Amazon,這樣大家才能以主動(dòng)姿態(tài)控制未知風(fēng)險(xiǎn),”他指出。
Ezor同時(shí)補(bǔ)充稱,對(duì)數(shù)據(jù)進(jìn)行加密能夠有效防止獲得數(shù)據(jù)的家伙成功解讀其中的內(nèi)容。另一個(gè)好主意是:在手頭常備一份數(shù)據(jù)備份。我們真的不能確定什么時(shí)候這就成了企業(yè)的最后一根救命稻草。
#p#
IT骯臟秘密第四條:?jiǎn)T工勒緊褲帶,老板卻開出空頭支票
搞財(cái)務(wù)的最苦逼
對(duì)于幾乎任何一家中型或者大型企業(yè)來說,采購批準(zhǔn)流程擁有兩種執(zhí)行方式,Hawkthorne集團(tuán)CEO Mike Meikle指出——這是一家高級(jí)管理與信息技術(shù)咨詢企業(yè)。首先是官方采購流程——時(shí)耗極長、我們需要像馬戲團(tuán)里的小貓小狗那樣鉆過一個(gè)又一個(gè)審批“火圈”。除此之外,還有一條特殊的“貴賓暢行版鉆石通道”,當(dāng)然只供少數(shù)“特殊人物”使用。
“企業(yè)高管級(jí)別的人士都有自己的采購?fù)ǖ溃?rdquo;他解釋稱。“對(duì)于那些需要花掉IT人士八個(gè)月時(shí)間的審批流程,這些高管往往在幾個(gè)星期之內(nèi)就能搞定——這還是非常保守的估計(jì)。我將此稱為‘貴賓暢行版鉆石通道’。在我所接觸過的政府機(jī)關(guān)或者私營企業(yè)當(dāng)中,沒有一個(gè)能徹底擺脫這種只存在于背地里的神秘采購?fù)緩健?rdquo;
官方流程之所以要刻意為難員工,就是不希望他們花企業(yè)的錢,Meikle指出——當(dāng)然,除非他們能想辦法走上這條秘密通道。他同時(shí)指出,遺憾的是CIO往往沒有資格加入這個(gè)貴賓俱樂部,這意味著大型技術(shù)采購?fù)鶗?huì)在沒有經(jīng)過嚴(yán)格的成本分析或者考查IT戰(zhàn)略方針的情況下就被敲定。
“他們會(huì)一起出去吃午飯,供應(yīng)商則在他們耳邊不斷灌輸甜言蜜語;接下來的事情大家就都知道了:幾十萬美元被慷慨地拋出,換來另一套移動(dòng)應(yīng)用管理方案——這幫家伙根本沒意識(shí)到企業(yè)已經(jīng)有一套這種方案了,”他憤憤不平地表示。“現(xiàn)在我們有兩套移動(dòng)應(yīng)用管理方案——要這么多干啥,拿來吃嗎?”
但事實(shí)并不一定如此,某位來自軍方及財(cái)富百強(qiáng)企業(yè)的匿名人士提出反對(duì)意見。雖然很多企業(yè)確實(shí)可能回避了標(biāo)準(zhǔn)采購流程,但其中涉及的往往總是IT部門迫切需要的對(duì)象——這么做是不希望把時(shí)間浪費(fèi)在繁文縟節(jié)之上,他表示。
“非技術(shù)高管根本不具備制定大型采購決策所必需的IT知識(shí),”他補(bǔ)充道。“如果某位高級(jí)行政人員回避了采購審核流程,執(zhí)意簽署采購訂單并要求供應(yīng)商發(fā)貨,那么后續(xù)出現(xiàn)的一切技術(shù)失誤都應(yīng)該通過問責(zé)及追溯機(jī)制歸結(jié)到這家伙身上。這就像氪石之于超人——是他們最大的克星。”
IT骯臟秘密第五條:在客戶支持的天平中站在弱勢(shì)的一端
技術(shù)人員只是在玩弄腳本而已
相信大家對(duì)這樣的情景不會(huì)感到陌生:我們通過手機(jī)與相隔半個(gè)地球之外的技術(shù)支持人員進(jìn)行溝通,但在寥寥數(shù)語之后我們就發(fā)現(xiàn)對(duì)方的技術(shù)水平根本不行、只是在對(duì)客戶照本宣科。猜猜怎么著?實(shí)際情況很可能正是這樣。
“IT支持是一種廉價(jià)商品,”Strive技術(shù)咨詢公司總裁Tim Singleton指出——這是一家高端技術(shù)支持企業(yè)、專為中小型客戶提供服務(wù)。“大部分能夠幫得上忙的工具都不用花錢,計(jì)算機(jī)對(duì)使用者的知識(shí)要求也不再像過去那么嚴(yán)苛。我們鄰居家的小女孩很可能與技術(shù)嫻熟的達(dá)人一樣有能力像IT企業(yè)那樣解決你的計(jì)算機(jī)故障。”
但也有人認(rèn)為這樣的結(jié)論太過武斷。雖然某些簡(jiǎn)單問題確實(shí)體現(xiàn)不出技術(shù)支持團(tuán)隊(duì)的必要性,但在復(fù)雜問題方面專業(yè)建議仍然不可或缺,企業(yè)級(jí)遠(yuǎn)程IT支持方案供應(yīng)商Bomgar公司服務(wù)與支持業(yè)務(wù)高級(jí)副總裁Aramis Alvarez指出。
“將IT支持稱為‘廉價(jià)商品’的不妥之處在于,我們不能對(duì)所有技術(shù)難題一概而論,”Alvarez表示。“某些基礎(chǔ)問題確實(shí)能被熟悉技術(shù)的普通用戶準(zhǔn)確診斷,但病毒感染等更為復(fù)雜的情況則不行。鄰家女孩也許真的具備不少技術(shù)知識(shí),但她最終很可能對(duì)計(jì)算機(jī)上的數(shù)據(jù)造成嚴(yán)重破壞。”
最后,我們不得不為了收拾殘局而付出更高代價(jià),New York Computer Help公司CEO Joe Silverman補(bǔ)充道——這樣的問題往往發(fā)生在企業(yè)在技術(shù)方面偷工減料或者內(nèi)部IT部門負(fù)擔(dān)過重的情況下。
“在日常工作中,我們發(fā)現(xiàn)紐約當(dāng)?shù)赜泻芏噢k公組織及職能部門在以馬馬虎虎的態(tài)度對(duì)待計(jì)算機(jī)維修工作或者IT崗位——從其它公司拉人、找家庭成員頂替或者招攬半吊子水平的朋友,”他指出。“有時(shí)候財(cái)務(wù)部門的員工也會(huì)跑來客串解決計(jì)算機(jī)問題,但他們往往太忙或者經(jīng)驗(yàn)不夠豐富,無法修復(fù)發(fā)生故障的硬盤、主板或者電源。如果網(wǎng)絡(luò)或者服務(wù)器發(fā)生崩潰,大家真的打算依靠財(cái)務(wù)員工完成這項(xiàng)工作、還是更信賴擁有二十年從業(yè)經(jīng)驗(yàn)的資深網(wǎng)絡(luò)工程師?”
IT骯臟秘密第六條:我們知道的比你想象的多得多
廣泛收集數(shù)據(jù),掌握全盤信息
以為自己正處于國安局的密切監(jiān)控之下?與消費(fèi)者營銷企業(yè)與數(shù)據(jù)代理商比起來,國安局真的只能算是小兒科。
其中最大的黑手就是賭場(chǎng),前任賭場(chǎng)數(shù)據(jù)庫經(jīng)理、曾根據(jù)個(gè)人經(jīng)歷撰寫并出版《巧取豪奪:穿越繁榮之城》一書的J. T. Mathis這樣說道。“當(dāng)大家走進(jìn)賭場(chǎng)時(shí),押下的賭注絕不只是金錢——各位其實(shí)是在用自己的個(gè)人數(shù)據(jù)碰運(yùn)氣。”根據(jù)Mathis的估算,他前雇主營銷數(shù)據(jù)庫中大約包含十萬個(gè)以上活躍或者非活躍的賭徒姓名。
“從踏入賭場(chǎng)的那一刻起,大家的一舉一動(dòng)就處于追蹤之下,”Mathis指出。“如果各位坐在一臺(tái)老虎機(jī)前,賭場(chǎng)管理者會(huì)知曉你的當(dāng)前位置、一共拉下過多少次手柄、投下過多少個(gè)硬幣;他們知道你喜歡在4:30吃飯而且偏愛龍蝦拼盤。他們清楚你最喜歡的香煙與酒水品牌、知道你是否在房間內(nèi)觀看色情節(jié)目。而在你暑期再度光臨時(shí),他們能夠一眼洞悉隨你一同前來的并非原配妻子,這樣員工才能叫對(duì)她的名字‘Cindy’而非你太太的名字‘Barbara’。”
前任賭場(chǎng)高管、現(xiàn)就職于路易斯安那州立大學(xué)的Michael Simon教授證實(shí)了Mathis的說法。但他補(bǔ)充稱,賭場(chǎng)收集數(shù)據(jù)的方式與CVS、PetSmart或者Amazon相比并無多大區(qū)別。
“我現(xiàn)在帶的MBA班主攻數(shù)據(jù)庫分析與發(fā)掘方向,我們調(diào)查過的所有企業(yè)都有收集客戶信息并根據(jù)客戶個(gè)人習(xí)慣提供服務(wù)的行為,”他表示。作為《我的游戲人生:前任賭場(chǎng)高管的個(gè)人視角》一書的作者,Simon補(bǔ)充稱“這已經(jīng)成為當(dāng)下的常規(guī)商業(yè)慣例,而絕非什么不可告人的秘密。舉例來說,我?guī)е约旱墓返絇etSmart享受特殊產(chǎn)品與服務(wù),他們提供的項(xiàng)目一定符合我的個(gè)人消費(fèi)習(xí)慣——我對(duì)此感到非常滿意。從另一個(gè)角度看,PetSmart其實(shí)在以非常高效的方式提供我想要的東西、而不是浪費(fèi)時(shí)間為我準(zhǔn)備根本不可能接受的東西——例如折扣貓糧或者熱帶魚。”
但只有一件事有所不同:Mathis于2012年5月被賭場(chǎng)裁掉,但他當(dāng)時(shí)手頭仍持有數(shù)據(jù)庫副本。而在嘗試將副本還給賭場(chǎng)方面時(shí),他的運(yùn)氣實(shí)在有些糟糕——對(duì)方拒絕接聽他的電話——既然這樣,他只好用手頭的數(shù)據(jù)談?wù)勱P(guān)于賭博的那些事兒了。
原文鏈接:http://www.infoworld.com/t/technology-business/6-dirty-secrets-of-the-it-industry-229416?page=0,0
