要揪出公司内部不可靠的安全员工,以免网络沦为他们的人质——有时候这并非危言耸听。
贵公司的安全员工值得信赖吗?胜任工作吗?见多识广吗?让安全专业人士讲讲这方面的可怕故事,你可能会改变想法。
Kevin McDonald向我们讲述了这样一则可怕故事,他是托管服务提供商Alvaka Networks公司的执行副总裁,也是美国电子协会全国理事会成员,还出过网络安全方面的几本著作。
他公司有个客户是一家建筑公司,对方的一名高级IT员工还兼任安全这块。不晓得这名安全主管到底用了什么办法,居然说服了公司老板,以为把该公司的雇员数据库放在他家来得比较省钱,而不是把这些数据库保存在异地。
你一眼就能预见这一幕:雇员与雇主后来起了冲突。你还没来得及说出“内部威胁”,那名安全主管就向这家建筑公司的好多客户发去了威胁性的电子邮件,告诉对方他掌握了他们的私密信息。
此举“基本上让这个家伙丢了饭碗,”McDonald说,并导致这家建筑公司的合同减少了大约70%。考虑到这名为非作歹的雇员原先是获得授权的用户,公司在几个月后关闭了他的帐户。只是这名雇员在网上公开扬言要非法利用数据后,洛杉矶的联邦调查局特工才闯入了他的家――这个家伙之前已经建好了网站,还订好了对前雇主实施破坏的计划。
这一幕糟糕透顶的安全场景是招聘不可靠的员工所造成的。遗憾的是,安全行当不缺少笨蛋、庸才或者无知家伙的身影。的确,安全专业人士不太可能像其他人那样按照工作业绩来加以评价。摆在他们面前的绊脚石可能包括:办公室政治、运气不好、误入歧途的高层主管、失去控制的顾问、缺乏沟通、与公司其他部门孤立起来、上司盲目信任安全证书;或者尽管确保了安全工作正常,却很难得到相应奖励。
而这只是一方面,而不是全部。
但要振作起来。即使安全部门出现了“烂苹果”,出色的公司也能经受得住考验。下面简要介绍了几类常见的不可靠的安全员工,以及如何不让他们得逞的方法。
在美国企业界的某个角落,眼下肯定会有安全员工在诅咒高层主管把简直如同垃圾的捆绑软件强加给自己。先说一说具体过程吧:各大安全厂商的销售人员上门向高层主管提议:对整个公司而言,他们提供的安全软件包将集桌面反病毒、电子邮件安全、入侵检测及Web过滤等功能于一体,而每个用户只要付38美元。
这种情况有什么不对劲的地方吗?一家不愿透露名称的安全软件厂商的主管说:“眼下,安全基础架构的这些关键部分已经成为商品化。问题在于,高层主管觉得,安全就是一种普通商品。这个安全产品与另一个安全产品一样,没啥区别。”
这倒不是说那些厂商不优秀,而是说它们并非样样精通。比方说,赛门铁克的反病毒产品颇负盛名;可是有些安全专业人士就认为它的反垃圾邮件功能不如同类中最佳的产品来得出色。