直面安全“伪命题”:谁扇动蝴蝶翅膀?

在电影里有这样的充满荒诞的描述,在自然界和人类生活中同样有着这样的案例,如美国有名的“扇动蝴蝶翅膀的那头疯牛”等。而在如今已在我们的生活中无处不在的信息社会里、遍布企业发展各个环节的信息系统里呢?同样会有这样的蝴蝶效应发生。扇动蝴蝶翅膀的,或有技术因素,更有人的因素。

员工扇动了蝴蝶的翅膀

讲一个案例,相信很多企业中都会感同身受。一集团性企业,分公司有各自的IT维护人员,但是核心系统共用集团统一的。某分公司的一维护人员发现服务器出了些问题,就自己解决,但是问题没有得到解决。只有由集团的IT部人远程解决,但是发现问题远不是一开始所描述的,也无法精确找到原因,本是一个并不算太难的问题,最后解决起来就很费时间。原因何在?

去细细分析会发现,原来分公司的员工在试图解决问题时,在操作上出现了些问题,也导致了一些问题的复杂化,但也因此影响了最后有效解决问题的效率。如果是发生在核心系统层面,可能带来的后果和损失就更大。

这样的案例,并不仅仅是发生在一些集团性企业中。在任何企业里,一方面是业务人员的IT水平不一,一方面是IT运维人员的专业知识层次不齐,这样就会发生我们上面所提的误操作所可能导致的致命的打击。

随着企业信息化的深入骨髓,这些或与技术无关,更是因为业务发展需求的必然结果。同时也正因为如此,企业的每个环节都有着IT的存在,如何让IT更完美地发挥作用,也是所有企业需要关注的。

对于技术能解决的问题,其不是最大的难题,在企业中往往最难的是人员的问题。当说服企业业务人员使用IT系统之后,一方面有效率提升的效果,但是也隐含着风险。而IT系统的维护必然需要更多的员工,其或不是最强的IT精英,对于问题的判断不会永远正确,自然也隐藏着不可预估的风险。

对于这些,难道只能用一句“是人就会犯错”来解释就行了吗?

安全伪命题也需面对

其实发生问题并不可怕,只需要能快速找到有效的解决办法、将风险降到最低即可。一直都说安全是伪命题,确实如此,无论是技术因素还是人为因素,在企业的IT运营中,安全问题不可能得到彻底的保证,但是不代表仅此消极对待,尤其是人为因素。

关于员工在IT系统中行为管理的产品早已在市场出现,众多的安全审计软件都可提供相应的软件产品服务。其实其核心的因素也是提供方的理念和服务能力。

日前记者也和国内专注于打造连接平台的金万维公司的产品经理李陈州有一个交流,也发现金万维同样提供这样的安全审计产品,即SSA和TSA,其关注点也是在如何防止误操作带来的风险。

但是他也认为其实最为重要的是,企业需要建立这样一套管理机制,利用IT技术发现问题,管理才能最终规避问题。

另一方面,从大的市场环境看,目前虽然我国的安全审计机制还不算太健全,但是安全问题、尤其是这样的涉及管理的安全问题,必然会被得到重视。李陈州给出了自己的一个预测,认为未来两三年内我国的安全审计市场会出现一个井喷。

随之而来的,也会日益健全的法律机制。对于企业而言,也是一方面选择相应的产品技术,一方面完善管理机制。

安全问题,很多企业可能都会“谈虎色变”,尤其提到各类员工的不同特性时,都会只能挠头叹息,但是这解决不了任何问题。要想降低员工扇动蝴蝶翅膀带来的效应,则需要提前防备,技术、管理双管齐下,尽量规避、出现问题也能快速找到问题和相关责任人。蝴蝶的翅膀不可怕,可怕的是我们并没有注意到蝴蝶已经在扇动了她的翅膀。