理想情况下,你的网络不会有什么“宕机”时间,并得到了保护。你与所有的法律、法规保持一致,用户也可以自我管理。云几乎可以照顾你所有的基础架构需要,并且不会有一个设备在没有得到许可和控制的情况下就可以访问网络。而且,作为IT人的你会得到应有的尊重和羡慕。
事实上,梦想和冷酷现实之间的差距却越来越大。但是,这并不意味着你应当放弃,你需要认清现实,清楚自己可以改变什么以及必须接受什么。
下面就是IT必须学会接受的九大事实。
一、用户智能设备的革命已悄然兴起
越来越多的工作场所允许用户携带自己的设备。由IDC和Unisys在2011年5月作的一项调查,发现有95%的信息工作人员使用自己购买的设备来工作,这个数字大约是被调查的经营管理人员预计的两倍。IDC预计,工作场所中,雇员自己拥有的智能电话将在2014年增加一倍。
《企业中的iPad》的作者、移动设备管理公司ITR Mobility的首席软件架构师克伦温格说,iPhone和iPad是IT消费化的催化剂。技术部门要么使其安全地使用,要么就会带来安全风险。
如果IT不支持用户们需要的这种设备和技术,用户就会绕过IT并将其个人技术用于商业目的。克伦温格说,从安全的方面来看,这要比支持消费者设备更为危险。
基于云的移动设备管理供应商Trellia的产品管理副总裁拉非说,技术部门需要取中庸之道,要避免极端。要在企图(但无法)将消费者技术赶出工作场所和允许从任何设备自由地访问网络之间进行协调,就像大禹治水一样要善于疏导。
“带自己的设备”是IT部门正开始学会忍受的一个问题,但IT需要从安全、成本、操作等方面来管理雇员设备。在此问题上,很难做到既符合公司标准,又满足业务需求。IT需要一种管理方案,既能保证公司的数据安全,同时,在对IT操作和基础架构产生最小影响的情况下,又能管理成本。
二、IT失去了对公司如何使用技术的控制
不仅仅是消费者设备正在“侵入”工作场所。如今,没有任何技术才干的企业用户也可以使用第三方企业的云服务。在许多情况下,只需要一个Web表单,再单击一个按钮就可搞定。从此意义上讲,IT已经失去了对IT的控制。
这未必是一件坏事。蓬勃发展的云服务和移动应用可以给企业用户接触所需技术的机会,而不会对IT人员或预算带来额外的负担。
多年以来,IT控制着每种设备、每个应用程序以及关于技术的每个过程。但随着企业的各个部门获得越来越多的技术技巧,再加上受到IT的控制,它们在获得经营管理者的支持后,开始自己研究、取得、实施新的应用程序和小工具。这些新部门往往能够更快、更廉价地实施自己需要的程序和工具。
IT的工作不再是提供管理严密的解决方案,而是支持企业用户作出正确的决策。
技术部门不应当再试图重新获得控制,而应当努力争取更有价值的东西:影响力。当IT部门对待用户就像对待客户一样而不是像对待抱怨者那样时,就会获得比自己想要的更多结果。由全能IT部门来规定方法和机器的日子已经远去。IT认识到这一点的时间越早,就能越快地真正重新获得某种水平的控制。
三、“宕机”时间不可避免
最终,即使维护得最好的数据中心也会发生“宕机”。你认为自已有充足的冗余而不会发生故障吗?你只是少数幸运儿之一。
2010年9月,由Emerson Network Power发起并由Ponemon Institute实施了一项涉及到450名数据中心管理员的调查, 95%的受访者称自己在以前的24个月里至少遭受过一次没有预先准备的停机。平均的故障时间是107分钟。
理想的情况下,所有的数据中心都会围绕着高冗余、双总线架构来构建,其中的最大负载不会超过50%。即使在关键系统发生故障而且其它系统也由于维护而停机时,这种数据中心仍能够处理峰值负载,并使用一个独立的灾难恢复设施来应对区域性灾难。
然而,在现实世界中,100%的正常运行时间几乎是不可能的,因为其成本过高。这就迫使数据中心的管理员们只能期望在系统使用了超过50%的能力时,不会发生故障。
对于正常运行时间关系到其生死存亡的企业来说,最好对其数据中心进行分割,并为最关键的系统保留出可用性。例如,如果电邮发生故障达半小时,这虽令人讨厌但并非致命。但如果实时交易发生故障,企业有可能在一分钟的时间内丧失数千万的金钱。
企业最好拥有一定的可能用不到的性能,而不要在需要时却不具备这种能力。但是,能够在支票上签名的人是否总能够做出这种选择呢?
四、系统绝不可能完全合规
如同正常运行时间一样,百分之百合规只能是一个崇高目标,在实践中并不可行。在许多情况下,过度关注合规将会对其它方面产生损害。
合规水平根据企业所处的行业不同而不同。管理严格的企业(如金融行业中的企业)不太可能做到完全合规,因为其规则常常变更,并且对规则的解释也有不同的方式。
正如没有任何网络可以保证彻底安全,也没有任何企业可以保证百分之百地合规。如果一个厂商试图告诉你其产品完全合规,它就是在撒谎。
还有另外一个危险问题也属于合规陷阱,即企业花费了太多的资源试图与规范保持同步,但却忽视了其它问题,忽视了其运作中的关键部分。
过度追求实现合规的企业常常在其它领域出问题。合规仅仅是风险管理的一部分,而风险管理自身又是公司监管的一部分。
#p#
五、云不可能解决一切,甚至有可能破坏某些方面。
云计算正大行其道,根据Gartner的调查,到2015年,将有超过40%的CIO期望将其大部分IT运行在云中。
但云并非最终的解决方案。可靠性、安全性、数据丢失等将继续使IT部门感到头痛,因为IT部门对云中的数据等方面拥有较小的控制。
任何单位的数据损失都是不可避免的,在云中仍会发生。企业必须与其云供应商进行协作,为故障时间(停工期)、数据恢复和迁移、灾难造成的损失等做好规划,从而为最坏的情况做好准备。数据安全将一直是一个令人关注的问题,虽然云解决方案的不断进步减少了风险。
云计算还会带来一个新问题:企业如何精确地衡量其IT花费,特别是当企业用户在没有IT监视的情况下使用云服务时,问题显得跟难以处理。这个问题会迫使技术部门认真研究云所提供的服务价值。
六、你的网络已经受到损害
每个人都希望自己的网络易于管理,又不容易受到损害。虽然很多人对企业拥有的大量安全设备津津乐道,却不知这些设备难于管理并易于遭受攻击和破坏。
最糟糕的问题是,每种设备都需要不断地打补丁和更新,其结果就是造成一个不断滋长蔓延、极度复杂、价格昂贵的安全设施体系。
而且,根据国际计算机安全协会的最新调查,有40%的企业在2010年经历过恶意软件感染、僵尸网络、目标攻击等安全事件。还有10%的企业并不知道自己的网络是否已经遭受过侵害。
事实上,更聪明的方法是,先假设你的网络已经遭受过侵害,然后围绕此侵害设计安全。
现代恶意软件已经变得日益复杂和深入,对于如何在企业网络中隐藏自己也相当熟练。安全专业人士不必在公司防火墙上再增加一层补丁,而应该花更多的时间去关注网络黑手正在何处潜伏,是在端到端的应用程序中,还是在加密的社交网络中等等。
“零信任架构”的概念在国外的许多企业中正受到青睐。这并不是说这些企业正在简单地丢弃其原有的安全,而是将其注意力转向内部,寻找、检查可能已经受到感染或损害的用户(或系统)的蛛丝马迹。
七、公司最隐秘的信息很容易被泄露
公司的雇员正在使用社交网络,不管是否得到允许。社交网络造成的问题是什么?根据熊猫软件的社交媒体风险指数提供的数据,有三分之一的中小型企业已经受到由社交网络所带来的恶意软件的损害,同时有近四分之一的企业由于其雇员不慎“说漏了嘴”而泄露了敏感数据。
如今,人们使用社交媒体就像十年前使用电邮的行为一样。现在许多雇员已经知道不能随便点击邮件中的链接。但许多雇员却会点击社交网络中的每一个URL,因为他们信任发送方。这正是五年前已经遭到挫败的僵尸网络如今又借助社交媒体死灰复燃的原因。这是一个必须关注的重大风险。
即使企业已经使用了社交媒体的安全解决方案或DLP工具,也无法阻止某些社交媒体的“粉丝”泄露公司的机密。
最重要的是不断地反复教育。企业要从技术上部署解决方案,要经常提醒用户,警告用户访问网站的策略和规则,特别是在访问与业务无关的网站时更要注意公司的规定。
八、你的用户绝不可能达到“自支持”
“用户能够自支持”,这是每一个IT部门的梦想。虽然企业已经为网络知识库和自动支持解决方案进行了很多投资,但遇到问题寻求IT帮助仍是许多用户的最爱。
IT可以通过用户的自我服务解决很多常见问题,如口令重置等。但是,解决许多一次性问题和更复杂的问题却更有成本效益。即使技术100%地工作,用户仍完全不能自己解决问题。只要技术不断进步,雇员就不断地需要IT的支持。
有关专家建议,不必采用用户的自我服务和自我支持,而应投资于远程协助方案,这样会更好。在许多情况下,支持人员可以通过远程协助访问用户的计算机,并直接解决问题。
九、IT得不到应得的尊重
不管他们如何努力工作,也不管他们企业中如何举足轻重,IT专家不会得到除其职位之外的很多尊重。虽然IT人所需要的是被欣赏、被尊重、被理解。
依环境的不同,IT常常被认为是圣诞老人(为所有的企业员工带来新的工具)、“不行”先生(仅对阻止员工访问为完成其工作所需要的资源感兴趣)、保安(监视用户的每一个互联网访问,查找并切断可疑活动)等。
IT领导人如何对付这些误解?主要的问题是,重视用力所能及的任何方法向公司提供非凡的价值。要找到一个只需要少量技术就可以产生巨大效益的地方,并坚决执行。如果IT能够展示出IT确实非同凡响,自然会得到应有的尊重。
【编辑推荐】
