深扒IT行业最肮脏的秘密
前段时间,某网站向其读者朋友们征集了一些在工作中遇到过的最肮脏的IT秘闻——那些来自灰色地带的谎言以及其他人根本意识不到的技术阴暗面。今天我们就先弱弱地扒两点,求各位轻点拍砖。
系统管理员抓着公司的小辫子:IT这只黄鼠狼居然成了数据这只肥鸡的守门者
任何一位关注过爱德华•斯诺登其人其事的朋友肯定已经了解到,一位系统管理员能够造成怎样的破坏。但即使是IT人士自己可能也无法想象,不受约束的管理员究竟拥有何等惊人的权力与危害性。
“对 于IT人士而言,根本不存在秘密这回事,”安全服务托管供应商Network Box USA公司CTO Pierluigi Stella表示。“我可以在自己的防火墙上植入探测工具,从而掌握特定计算机上进进出出的任何一个数据包。我能够看到人们在消息当中写下哪些内容、他们 访问了哪些互联网站、在Facebook上写了些什么。事实上,道德是惟一一种能够约束IT人士不至于误用或者滥用这种权力的因素。IT人士完全就是存在 于我们身边的国安局的缩影。
这种情况相当常见,甚至大部分CIO都已经意识到了这一点,数据保护企业SafeNet公司首席战略官Tsion Gonen指出。
“我 估计九成以上的企业都面临着这样的危机 ,”他表示。“企业安全的可靠性与IT管理员的可信程度密切相关。我们很难准确弄清到底有多少系统管理员正在滥用自己手中的访问权限——但可以肯定的是, 数量已经多到足以占据每星期的报纸头条。最可怕的是,安全风险往往来自那些负责为企业员工分配访问权限的家伙。”
数据治理方案供应商 Varonis公司副总裁David Gibson也认为,管理员一般确实有能力在神不知鬼不觉的情况下进行数据访问,但他提出了相对比较具体的比例数字——50%。他补充称,这样的问题并不 只发生在管理员身上——大部分用户都有能力访问超出工作范围之外的更多数据。
他表示,要想解决这一难题,方案可以归纳为两个方面:利用“最低权限”模式削弱员工的访问能力;持续对数据访问者进行监控。
“企业需要有能力查看哪些员工访问了什么样的数据,这些数据归属于谁以及谁已经访问了其中的哪些文件,”他表示。“以此为基础,IT部门将能够与数据所有者直接接触,从而在削减权限与保持可接受的使用感受之间找到平衡点。”
员工勒紧裤带,老板却开出空头支票:搞财务的最苦逼
对于几乎任何一家中型或者大型企业来说,采购批准流程拥有两种执行方式,Hawkthorne集团CEO Mike Meikle指出——这是一家高级管理与信息技术咨询企业。首先是官方采购流程——时耗极长、我们需要像马戏团里的小猫小狗那样钻过一个又一个审批“火 圈”。除此之外,还有一条特殊的“贵宾畅行版钻石通道”,当然只供少数“特殊人物”使用。
“企业高管级别的人士都有自己的采购通道,”他 解释称。“对于那些需要花掉IT人士八个月时间的审批流程,这些高管往往在几个星期之内就能搞定——这还是非常保守的估计。我将此称为‘贵宾畅行版钻石通 道’。在我所接触过的政府机关或者私营企业当中,没有一个能彻底摆脱这种只存在于背地里的神秘采购途径。”
官方流程之所以要刻意为难员 工,就是不希望他们花企业的钱,Meikle指出——当然,除非他们能想办法走上这条秘密通道。他同时指出,遗憾的是CIO往往没有资格加入这个贵宾俱乐 部,这意味着大型技术采购往往会在没有经过严格的成本分析或者考查IT战略方针的情况下就被敲定。
“他们会一起出去吃午饭,供应商则在他 们耳边不断灌输甜言蜜语;接下来的事情大家就都知道了:几十万美元被慷慨地抛出,换来另一套移动应用管理方案——这帮家伙根本没意识到企业已经有一套这种 方案了,”他愤愤不平地表示。“现在我们有两套移动应用管理方案——要这么多干啥,拿来吃吗?”
但事实并不一定如此,某位来自军方及财富百强企业的匿名人士提出反对意见。虽然很多企业确实可能回避了标准采购流程,但其中涉及的往往总是IT部门迫切需要的对象——这么做是不希望把时间浪费在繁文缛节之上,他表示。
“非技术高管根本不具备制定大型采购决策所必需的IT知识,”他补充道。“如果某位高级行政人员回避了采购审核流程,执意签署采购订单并要求供应商发货,那么后续出现的一切技术失误都应该通过问责及追溯机制归结到这家伙身上。这就像氪石之于超人——是他们最大的克星。”
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。