[[88644]] 

IT專業(yè)人士往往若無其事地傳播灰色謊言、玩弄技術(shù)業(yè)務(wù)的黑色權(quán)謀

IT專業(yè)人士往往對問題背后的真正由來了如指掌——有時候，他們本人就是造成麻煩的罪魁禍首。

我們向讀者朋友征集在工作中遇到過的最骯臟的IT秘聞——那些來自灰色地帶的謊言以及其他人根本意識不到的技術(shù)陰暗面。整理工作結(jié)束后，我們將這些“秘密”交給相關(guān)領(lǐng)域的專家，讓他們對其進行分析。其中一部分得到了專家的共鳴，但另一些則未受肯定。

系統(tǒng)管理員手中的權(quán)力足以成為CIO最恐怖的噩夢？IT員工仍然拿走企業(yè)設(shè)備？我們保存在云端的數(shù)據(jù)是否真會不翼而飛？技術(shù)支持服務(wù)開出的價碼算不算高得離譜？

通過今天的文章，我們將共同了解當事者與相關(guān)專家們的觀點。

IT骯臟秘密第一條：系統(tǒng)管理員抓著公司的小辮子

IT這只黃鼠狼居然成了數(shù)據(jù)這只肥雞的守門者

任何一位關(guān)注過愛德華•斯諾登其人其事的朋友肯定已經(jīng)了解到，一位系統(tǒng)管理員能夠造成怎樣的破壞。但即使是IT人士自己可能也無法想象，不受約束的管理員究竟擁有何等驚人的權(quán)力與危害性。

“對于IT人士而言，根本不存在秘密這回事，”安全服務(wù)托管供應(yīng)商Network Box USA公司CTO Pierluigi Stella表示。“我可以在自己的防火墻上植入探測工具，從而掌握特定計算機上進進出出的任何一個數(shù)據(jù)包。我能夠看到人們在消息當中寫下哪些內(nèi)容、他們訪問了哪些互聯(lián)網(wǎng)站、在Facebook上寫了些什么。事實上，道德是惟一一種能夠約束IT人士不至于誤用或者濫用這種權(quán)力的因素。IT人士完全就是存在于我們身邊的國安局的縮影。

這種情況相當常見，甚至大部分CIO都已經(jīng)意識到了這一點，數(shù)據(jù)保護企業(yè)SafeNet公司首席戰(zhàn)略官Tsion Gonen指出。

“我估計九成以上的企業(yè)都面臨著這樣的危機 ，”他表示。“企業(yè)安全的可靠性與IT管理員的可信程度密切相關(guān)。我們很難準確弄清到底有多少系統(tǒng)管理員正在濫用自己手中的訪問權(quán)限——但可以肯定的是，數(shù)量已經(jīng)多到足以占據(jù)每星期的報紙頭條。最可怕的是，安全風險往往來自那些負責為企業(yè)員工分配訪問權(quán)限的家伙。”

數(shù)據(jù)治理方案供應(yīng)商Varonis公司副總裁David Gibson也認為，管理員一般確實有能力在神不知鬼不覺的情況下進行數(shù)據(jù)訪問，但他提出了相對比較具體的比例數(shù)字——50%。他補充稱，這樣的問題并不只發(fā)生在管理員身上——大部分用戶都有能力訪問超出工作范圍之外的更多數(shù)據(jù)。

他表示，要想解決這一難題，方案可以歸納為兩個方面：利用“最低權(quán)限”模式削弱員工的訪問能力；持續(xù)對數(shù)據(jù)訪問者進行監(jiān)控。

“企業(yè)需要有能力查看哪些員工訪問了什么樣的數(shù)據(jù)，這些數(shù)據(jù)歸屬于誰以及誰已經(jīng)訪問了其中的哪些文件，”他表示。“以此為基礎(chǔ)，IT部門將能夠與數(shù)據(jù)所有者直接接觸，從而在削減權(quán)限與保持可接受的使用感受之間找到平衡點。”

IT骯臟秘密第二條：員工很可能正在“以廠為家”

那些“退休”了的IT資產(chǎn)很可能以出人意料的方式煥發(fā)第二春

陳舊的技術(shù)設(shè)備很少真正被丟進垃圾桶，它們往往能快速找到自己的新家——有時候，“新家”與IT員工的家會產(chǎn)生交集。

“員工盜竊被淘汰的設(shè)備早已不是什么新鮮事了，”Retire-IT公司CEO Kyle Marks指出——這是一家專門處理與IT資產(chǎn)有關(guān)的欺詐與隱私合規(guī)問題的企業(yè)。“我還從來沒見過任何一位從未將公物占為己有的IT從業(yè)者。對于大多數(shù)人來說，拿點業(yè)已淘汰的設(shè)備并不算什么了不起的事情。很多人也不會將此視為安全威脅——一旦設(shè)備報廢，他們會將其當成可以隨意處置的東西。

將設(shè)備從垃圾堆或者回收站里撿走的最大問題在于，其中很可能還包含有敏感數(shù)據(jù)。一旦這部分數(shù)據(jù)遭到曝光，很可能會給公司造成巨大損失，Marks指出。當然，即使沒有什么后續(xù)麻煩，這樣的行為本身也屬于盜竊公司財產(chǎn)。

“盜竊與欺詐屬于很嚴重的事態(tài)，極有可能引發(fā)大規(guī)模隱私事故，”他補充稱。“如果任由這種態(tài)勢發(fā)展下去，無法無天的IT員工很可能將整個企業(yè)推向崩潰的邊緣。然而在大多數(shù)情況下，負責確保所有資產(chǎn)得到妥善處理（即刪除所有數(shù)據(jù)）的主管人士往往是IT部門的一員。企業(yè)需要建立一套‘逆向采購’流程，以保證資產(chǎn)遵循正常方式退出自己的工作崗位。”

但是不是每一位IT員工都會對陳舊硬件伸出貪婪的雙手？某位拒絕公布名字的資深I(lǐng)T資產(chǎn)處置從業(yè)者表示，實際情況與Marks所做出的推論相去甚遠。

“我并不是說盜竊活動并不存在，”他解釋道。“我只是想說明，我從未遇到任何一位對陳舊硬件抱有固定處理模式的從業(yè)者。”

他同時補充稱，大部分設(shè)備之所以消失不見，主要是由于丟失或者其它一些難以說清的原因——例如被運到了錯誤的地點。

“這聽起來有些否定一切的傾向，事實上很多企業(yè)都對自身以完全誠實可信的態(tài)度提供安全服務(wù)、堅持處事方式的做法表示驕傲。”

IT骯臟秘密第三條：將數(shù)據(jù)保存在云中——比你想象的更危險

如果跟法律條文扯上關(guān)系，世界上任何一種安全機制都將無法保護我們

把數(shù)據(jù)存儲在云環(huán)境下確實很方便，但我們也很可能需要為這樣的便利付出高昂的代價：在如同一團亂麻的法律訴訟當中，我們的數(shù)據(jù)將不翼而飛。

“大多數(shù)人并沒有意識到當自己的數(shù)據(jù)被保存在云環(huán)境中其他人的系統(tǒng)上、并與其它企業(yè)的數(shù)據(jù)比鄰而居時，一旦對方遭遇法律糾紛、我們的數(shù)據(jù)也可能受到殃及而不得不被公之于眾，”IT支持企業(yè)CSI集團老總Mike Balter指出。

換句話來說，大家的云數(shù)據(jù)很可能由于針對他人的調(diào)查活動而遭受意外牽連——倒霉是惟一的理由，只是因為跟嫌疑方共用了一臺服務(wù)器、企業(yè)就可能遭受嚴重損失。

2012年1月就發(fā)生過一個典型案例，當時美國與新西蘭當局關(guān)閉了Kim Dotcon公司的MegaUpload文件柜。除了確實涉嫌盜版的大量電影資料之外，當局還沒收了成千上萬來自守法客戶的數(shù)據(jù)且拒絕歸還。時至今日，這些可憐的普通用戶仍然無法確定自己的數(shù)據(jù)還能不能被重新找回。

“數(shù)據(jù)遭到扣押的風險是真實存在的，”Touro法律中心商業(yè)、法律與技術(shù)研究部門主任Jonathan Ezor做出證實。“如果執(zhí)法部門或者其它政府官員擁有任何法律依據(jù)，則完全可以收繳存儲設(shè)備或者系統(tǒng)——在某些特殊事件中可能需要獲得批準——而這些系統(tǒng)中的數(shù)據(jù)無論是否存在嫌疑，都可能遭到剝奪?？傊?，任何一家企業(yè)的數(shù)據(jù)在存儲于控制范圍之外時，都將不可避免地受到某種程度的窺探——至少他人有權(quán)訪問同一套硬件設(shè)備。

要想保護自己免受這種最壞狀況的影響，用戶必須自己的數(shù)據(jù)到底被保存在哪里、哪些法律條文符合當前情況，云案例企業(yè)JumpCloud公司CEO David Campbell表示。

“我們的建議是尋找一家能夠?qū)Ψ?wù)器及數(shù)據(jù)的物理位置做同保證的云供應(yīng)商，例如Amazon，這樣大家才能以主動姿態(tài)控制未知風險，”他指出。

Ezor同時補充稱，對數(shù)據(jù)進行加密能夠有效防止獲得數(shù)據(jù)的家伙成功解讀其中的內(nèi)容。另一個好主意是：在手頭常備一份數(shù)據(jù)備份。我們真的不能確定什么時候這就成了企業(yè)的最后一根救命稻草。

#p#

IT骯臟秘密第四條：員工勒緊褲帶，老板卻開出空頭支票

搞財務(wù)的最苦逼

對于幾乎任何一家中型或者大型企業(yè)來說，采購批準流程擁有兩種執(zhí)行方式，Hawkthorne集團CEO Mike Meikle指出——這是一家高級管理與信息技術(shù)咨詢企業(yè)。首先是官方采購流程——時耗極長、我們需要像馬戲團里的小貓小狗那樣鉆過一個又一個審批“火圈”。除此之外，還有一條特殊的“貴賓暢行版鉆石通道”，當然只供少數(shù)“特殊人物”使用。

“企業(yè)高管級別的人士都有自己的采購?fù)ǖ溃?rdquo;他解釋稱。“對于那些需要花掉IT人士八個月時間的審批流程，這些高管往往在幾個星期之內(nèi)就能搞定——這還是非常保守的估計。我將此稱為‘貴賓暢行版鉆石通道’。在我所接觸過的政府機關(guān)或者私營企業(yè)當中，沒有一個能徹底擺脫這種只存在于背地里的神秘采購?fù)緩健?rdquo;

官方流程之所以要刻意為難員工，就是不希望他們花企業(yè)的錢，Meikle指出——當然，除非他們能想辦法走上這條秘密通道。他同時指出，遺憾的是CIO往往沒有資格加入這個貴賓俱樂部，這意味著大型技術(shù)采購?fù)鶗跊]有經(jīng)過嚴格的成本分析或者考查IT戰(zhàn)略方針的情況下就被敲定。

“他們會一起出去吃午飯，供應(yīng)商則在他們耳邊不斷灌輸甜言蜜語；接下來的事情大家就都知道了：幾十萬美元被慷慨地拋出，換來另一套移動應(yīng)用管理方案——這幫家伙根本沒意識到企業(yè)已經(jīng)有一套這種方案了，”他憤憤不平地表示。“現(xiàn)在我們有兩套移動應(yīng)用管理方案——要這么多干啥，拿來吃嗎？”

但事實并不一定如此，某位來自軍方及財富百強企業(yè)的匿名人士提出反對意見。雖然很多企業(yè)確實可能回避了標準采購流程，但其中涉及的往往總是IT部門迫切需要的對象——這么做是不希望把時間浪費在繁文縟節(jié)之上，他表示。

“非技術(shù)高管根本不具備制定大型采購決策所必需的IT知識，”他補充道。“如果某位高級行政人員回避了采購審核流程，執(zhí)意簽署采購訂單并要求供應(yīng)商發(fā)貨，那么后續(xù)出現(xiàn)的一切技術(shù)失誤都應(yīng)該通過問責及追溯機制歸結(jié)到這家伙身上。這就像氪石之于超人——是他們最大的克星。”

IT骯臟秘密第五條：在客戶支持的天平中站在弱勢的一端

技術(shù)人員只是在玩弄腳本而已

相信大家對這樣的情景不會感到陌生：我們通過手機與相隔半個地球之外的技術(shù)支持人員進行溝通，但在寥寥數(shù)語之后我們就發(fā)現(xiàn)對方的技術(shù)水平根本不行、只是在對客戶照本宣科。猜猜怎么著？實際情況很可能正是這樣。

“IT支持是一種廉價商品，”Strive技術(shù)咨詢公司總裁Tim Singleton指出——這是一家高端技術(shù)支持企業(yè)、專為中小型客戶提供服務(wù)。“大部分能夠幫得上忙的工具都不用花錢，計算機對使用者的知識要求也不再像過去那么嚴苛。我們鄰居家的小女孩很可能與技術(shù)嫻熟的達人一樣有能力像IT企業(yè)那樣解決你的計算機故障。”

但也有人認為這樣的結(jié)論太過武斷。雖然某些簡單問題確實體現(xiàn)不出技術(shù)支持團隊的必要性，但在復(fù)雜問題方面專業(yè)建議仍然不可或缺，企業(yè)級遠程IT支持方案供應(yīng)商Bomgar公司服務(wù)與支持業(yè)務(wù)高級副總裁Aramis Alvarez指出。

“將IT支持稱為‘廉價商品’的不妥之處在于，我們不能對所有技術(shù)難題一概而論，”Alvarez表示。“某些基礎(chǔ)問題確實能被熟悉技術(shù)的普通用戶準確診斷，但病毒感染等更為復(fù)雜的情況則不行。鄰家女孩也許真的具備不少技術(shù)知識，但她最終很可能對計算機上的數(shù)據(jù)造成嚴重破壞。”

最后，我們不得不為了收拾殘局而付出更高代價，New York Computer Help公司CEO Joe Silverman補充道——這樣的問題往往發(fā)生在企業(yè)在技術(shù)方面偷工減料或者內(nèi)部IT部門負擔過重的情況下。

“在日常工作中，我們發(fā)現(xiàn)紐約當?shù)赜泻芏噢k公組織及職能部門在以馬馬虎虎的態(tài)度對待計算機維修工作或者IT崗位——從其它公司拉人、找家庭成員頂替或者招攬半吊子水平的朋友，”他指出。“有時候財務(wù)部門的員工也會跑來客串解決計算機問題，但他們往往太忙或者經(jīng)驗不夠豐富，無法修復(fù)發(fā)生故障的硬盤、主板或者電源。如果網(wǎng)絡(luò)或者服務(wù)器發(fā)生崩潰，大家真的打算依靠財務(wù)員工完成這項工作、還是更信賴擁有二十年從業(yè)經(jīng)驗的資深網(wǎng)絡(luò)工程師？”

IT骯臟秘密第六條：我們知道的比你想象的多得多

廣泛收集數(shù)據(jù)，掌握全盤信息

以為自己正處于國安局的密切監(jiān)控之下？與消費者營銷企業(yè)與數(shù)據(jù)代理商比起來，國安局真的只能算是小兒科。

其中最大的黑手就是賭場，前任賭場數(shù)據(jù)庫經(jīng)理、曾根據(jù)個人經(jīng)歷撰寫并出版《巧取豪奪：穿越繁榮之城》一書的J. T. Mathis這樣說道。“當大家走進賭場時，押下的賭注絕不只是金錢——各位其實是在用自己的個人數(shù)據(jù)碰運氣。”根據(jù)Mathis的估算，他前雇主營銷數(shù)據(jù)庫中大約包含十萬個以上活躍或者非活躍的賭徒姓名。

“從踏入賭場的那一刻起，大家的一舉一動就處于追蹤之下，”Mathis指出。“如果各位坐在一臺老虎機前，賭場管理者會知曉你的當前位置、一共拉下過多少次手柄、投下過多少個硬幣；他們知道你喜歡在4：30吃飯而且偏愛龍蝦拼盤。他們清楚你最喜歡的香煙與酒水品牌、知道你是否在房間內(nèi)觀看色情節(jié)目。而在你暑期再度光臨時，他們能夠一眼洞悉隨你一同前來的并非原配妻子，這樣員工才能叫對她的名字‘Cindy’而非你太太的名字‘Barbara’。”

前任賭場高管、現(xiàn)就職于路易斯安那州立大學的Michael Simon教授證實了Mathis的說法。但他補充稱，賭場收集數(shù)據(jù)的方式與CVS、PetSmart或者Amazon相比并無多大區(qū)別。

“我現(xiàn)在帶的MBA班主攻數(shù)據(jù)庫分析與發(fā)掘方向，我們調(diào)查過的所有企業(yè)都有收集客戶信息并根據(jù)客戶個人習慣提供服務(wù)的行為，”他表示。作為《我的游戲人生：前任賭場高管的個人視角》一書的作者，Simon補充稱“這已經(jīng)成為當下的常規(guī)商業(yè)慣例，而絕非什么不可告人的秘密。舉例來說，我?guī)е约旱墓返絇etSmart享受特殊產(chǎn)品與服務(wù)，他們提供的項目一定符合我的個人消費習慣——我對此感到非常滿意。從另一個角度看，PetSmart其實在以非常高效的方式提供我想要的東西、而不是浪費時間為我準備根本不可能接受的東西——例如折扣貓糧或者熱帶魚。”

但只有一件事有所不同：Mathis于2012年5月被賭場裁掉，但他當時手頭仍持有數(shù)據(jù)庫副本。而在嘗試將副本還給賭場方面時，他的運氣實在有些糟糕——對方拒絕接聽他的電話——既然這樣，他只好用手頭的數(shù)據(jù)談?wù)勱P(guān)于賭博的那些事兒了。

原文鏈接：http://www.infoworld.com/t/technology-business/6-dirty-secrets-of-the-it-industry-229416?page=0,0