IT人员揭发less-than-white谎言和黑暗的科技企业
IT人员通常知道尸体被埋在哪里。有时这是因为他们拿着铲子的人。
我们要求信息世界”的读者揭示了肮脏的秘密——less-than-white谎言和黑暗的技术,别人可能不知道的。然后我们跑的“秘密”通过BS探测器,核实有关领域的专家。在某些情况下,专家同意,在其他情况下,他们没有。
[也在信息世界”:要谨慎,年轻的技术人员,这些10个血的教训,一辈子的小心这些7致命的错误,你会如愿以偿。|认为你是坏的吗?看看信息世界的肮脏的IT工作的耻辱对于一个剂量的视角。|得到50美元的美国运通礼物支票如果我们发布您的技术从战壕的故事。寄给offtherecord@infoworld.com。]
做系统管理员行使权力远远超出了CIO最糟糕的噩梦?员工经常走了公司设备吗?可以将数据存储在云中真的瞬间消失吗?你支付太多的技术支持吗?
往下读,找出泄密者和专家认为。
最大的秘密你知道是什么吗?下面说漏嘴。(添加一个评论。)
肮脏的秘密没有。1:系统管理员有贵公司的短头发当它福克斯看守鸡舍的数据
的人都跟着爱德华·斯诺登的故事知道什么样的伤害可以做一个系统管理员议程。但即使是这人可能没有意识到的全部范围不受约束的管理访问它可以带来的痛苦。
说:“没有秘诀,”斯特拉,美国首席技术官管理安全服务提供商网络盒。“我可以运行一个嗅探器在我的防火墙,看看每一个包在一个特定的计算机。我可以看到人们写在他们的消息,他们去的地方在互联网上,他们发布在Facebook上。事实上,只有道德保持人滥用和滥用这种力量。认为它是有mini-NSA在你办公室。”
这种情况甚至比大多数cio知道更常见,说Tsion Gonen,数据保护公司SafeNet首席战略官。
“我估计这是真的在9的组织中,”他说。“企业安全只是安全值得信赖的IT管理员的伦理。他们中有多少人滥用访问权限的系统管理员很难说,但足以达到新闻几乎每一个星期。最可怕的事情是相同的人目前最大的风险往往是那些批准访问。”
Varonis副总裁大卫•吉布森数据治理解决方案提供者,同意,管理员常常能够访问数据他们不应该不被注意到的,但他把数字接近50%。他补充说这不仅仅是管理员;大多数用户访问数据远远超过他们所需要做的工作。
他说,解决方案可以归结为获得更好的处理两件事:减少访问到“最小特权”模型是谁的持续监控和访问数据。
“组织需要能够看到谁可以访问什么数据,数据属于谁,谁访问了哪些文件,”他说。“从这里开始,它可以包括数据所有者直接做出明智的决定权限和可接受的使用。”
肮脏的秘密没有。2:你的员工可能会帮助自己当“退休”IT资产享受意外第二职业
旧技术设备很少死亡,只是找到了一个新家,有时,它家是你的员工。
”员工盗窃退休设备普遍,”凯尔说标志、退休的CEO,公司专门从事欺诈和隐私相关的合规问题资产处置。“我从未见过有人从它没有硬件的集合。对许多人来说,退休的设备是一个没有受害者的犯罪案件。最不把它看成一个安全威胁。一旦设备是退休的,他们像公平比赛。”
把设备运往废料堆的问题或者回收站,它仍然经常包含敏感数据,如果失去了可能导致巨大的责任公司拥有设备,马克斯说。当然,它仍然是盗窃公司的设备。
“盗窃和欺诈严重的情况下,创建大量的隐私的责任,”他补充道。“一个反复无常的内幕可以昂贵的后果如果任其发展。然而,在大多数情况下,人负责确保资产得到妥善处理,删除所有数据)。组织需要一个“反向采购”的过程,保证资产退休的正确。”
但每一个它真的员工偷老硬件?资深IT资产处置的行业,要求匿名,他说问题不是那么普遍标志使出来。
“我并不是说盗窃是不存在,”他说。“我只是说,我从未见过任何人在业界与特定的心态。”
大多数设备失踪只是失去了其他,那么邪恶的原因——就像它被运送到错误的位置,他补充道。
“这听起来就像一个坏泛化当实际上很多公司引以为豪的提供安全服务和行动的方式是完全诚实和正直。”
肮脏的秘密没有。3:将数据存储在云端甚至比你想象的风险世界上所有的安全不会帮助强尼法律时敲门
将你的数据存储在云计算的方便,但是方便可能要付出很高的代价:失去你的数据在一个完全无关的法律上的混乱。
“大多数人没有意识到当你的数据存储在云上别人的系统与其他公司的数据,和法律问题的另一个公司,你的数据可能会披露,”Mike Balter说,校长的支持公司CSI公司。
换句话说,您的云数据可能卷入调查一个完全无关的事,因为它保持在相同的服务器上,真够倒霉的被调查人。
这一原则的经典例证发生在2012年1月,当美国和新西兰当局金网络MegaUpload文件锁关闭2012年1月。随着一批涉嫌盗版电影,当局没收了成千上万的守法的客户的数据,并拒绝归还。这些客户是否会收回他们的数据仍未得到解决。
“没收的风险是真实的,”证实了乔纳森•Ezor托罗法律中心研究所主任业务,法律和技术。“如果有任何法律依据执法或其他政府官员抓住存储设备或系统——这可能需要保证在某些情况下,这些系统包含数据的怀疑和nonsuspects所有可能。最终,任何时候一个组织的数据存储的控制之外,它不能阻止别人至少获得硬件。”
用户想保护自己免受这最坏的情况需要知道他们的数据实际上是保持和附属法律可能,云安全公司的首席执行官大卫•坎贝尔说JumpCloud。
“我们的建议是要找到云供应商保证服务器和数据的物理位置,如亚马逊、主动,这样你可以限制你的风险,”他说。
加密的数据将减少机会抓住它的人都可以读,Ezor补充道。另一个好主意:让附近最近的数据备份。你永远不知道何时会最终成为你唯一的副本。
肮脏的秘密没有。4:你的预算的削减,但老板有一个空白支票rfp的矿
几乎在每一个中型或大型组织,有两种方法可以购买得到批准,说迈克•多Hawkthorne集团的首席执行官,精品管理及信息技术咨询公司。有官方采购过程,一个耗时的过程,迫使你跳过比马戏火圈。这里是特殊采购钻石巷,只提供给一个特殊一些。
“人们在高级领导级别有自己的采购渠道,”他说。“以一个人八个月通过官方渠道获得这些高管可以在几周内,如果不是更早的话。这就是我所说的钻石最佳方案。我从来没有与一个组织在政府或私营企业,没有一个秘密采购道路。”
官方的采购流程的目的是让员工更难花公司的钱,说多——除非,当然,他们知道的秘密握手。不幸的是,他补充道,CIO通常不是这个俱乐部的一员,这意味着大型科技购买可以没有严重的成本效益分析和考虑的战略眼光只
“他们会出去午餐,供应商将在他们的耳朵低语甜言蜜语,接下来你知道他们已经花了一百万在移动应用管理解决方案,没有意识到你已经有一个,”他说。“现在你有两个。”
不是这样的,认为军事和财富100强企业的私人顾问要求保持匿名。虽然有情况下,组织可以绕过标准采购程序,它几乎总是为一些部门需要马上和不想浪费周切断繁文缛节得到它,他说。
“Nontechnology高管不知道足够的做一个大的购买决定,”他补充道。“如果一位高管避免了采购流程,采购订单必须有一个签名之前,供应商将船。如果出现任何问题与技术,负责行政和可追踪的。这是那些人的命门。”,
肮脏的秘密没有。5:你得到的短端客户支持技术员只是另一个学前脚本
阻止我们如果这听起来耳熟:你的电话支持技术员全球一半,但你得到了不同的印象他们知道你做不到并从一个脚本只是阅读。你猜怎么着?他们可能是。
说:“这支持是一个廉价的商品,”蒂姆Singleton,总统努力技术咨询、精品公司迎合美国中小企业的支持。”工具,为你做大部分是免费的,和电脑不需要现在比以前有更多的了解。你邻居的女儿在会计或精通技术的家伙可以修复你的电脑以及任何IT公司。”
但是有人说,评估太广泛了。虽然这可能适用于最简单的问题,这不是真的对于更复杂的,指出阿拉米斯阿尔瓦雷斯,Bomgar高级的服务和支持,使得远程it支持解决方案的企业。
“称其支持的问题“廉价商品”,并不是每一个问题是平等的,”阿尔瓦雷斯说。“一些基本问题可以被任何诊断技术的人,但是困难的,如病毒,不能。你的邻居的女儿可能拥有足够的知识是危险的,但她最终可能会摧毁你电脑上的数据。”
你可能会支付更多后收拾残局,纽约首席执行官乔•西尔弗曼补充道,计算机帮助——这常常发生在公司偷工减料通过欺骗或给内部的支持。
“我们已经许多纽约办公室和公寓的剩下的追踪劣质电脑修理或它从另一家公司工作,家人,或者朋友充当的家伙,”他说。“这家伙在会计有时负责电脑问题是最有可能太忙,太没有经验要修复硬盘失败,主板,或电源。如果网络或服务器崩溃,你想真正取决于你的会计人来完成工作,或高级网络工程师20年的经验吗?”
肮脏的秘密没有。6:我们知道更多关于你超过你的想象将所有数据收集
你认为美国国家安全局监视吗?他们朋克相比,消费者营销公司和数据代理。
最大的罪犯是赌场,j.t马西斯说,赌场数据库管理器和前的作者自费出版题为公开对他的经验,“我掠夺:骑在繁荣的城市”。当你进入赌场,赌博用的不仅仅是钱,你冒着你最个人数据。马修斯估计,他的前雇主的营销数据库的名字包含超过100000个活跃的和不活跃的赌徒。
“从你进入赌场,你所做的一切都是追踪,”马修斯说。“如果你坐在老虎机,他们确切地知道你在哪里,有多少次你把处理,和你投入多少钱。他们知道你喜欢吃龙虾盘4:30和秩序。他们知道你喜欢的香烟和酒,你是否观看色情片在你的房间里。当你到达在夏天的时候他们知道夫人你和不是你的妻子,所以员工确保给她打电话和辛迪没有芭芭拉。”
赌场前高管和路易斯安那州立大学教授迈克尔·西蒙确认马西斯的故事。但他补充称,这并不是说很多不同类型的数据收集由公司,如CVS,宠物,或者亚马逊。