七、警惕面向大众的商业智能

　　随着商业智能（BI）逐渐从分析师和金融专家的桌面走向大众，就要警惕向大众提供BI时出现的“最坏习惯”。
　　
    如果你任由用户使用原始数据从头开始生成报表，这种报表可能会误导人，不同的团队会得出不同的结果。所以，最初的报表创建工作最好交给专家去处理。但公司要向那些希望深入学习的员工提供“学习课程”，惠普公司信息管理实践部门的负责人Jonathan Wu说。否则，“你就没法培养出高级用户（power user）。”
　　
    业务部门的经理们应当与公司内外的BI分析人员一起，帮助确定为员工们提供哪些衡量尺度和指标。他们还要就数据定义和命名标准达成一致。Wu曾与一家开发与客户关系管理（CRM）有关的报表系统的公司合作；对财务部门而言，这里的“客户”是指支付服务使用费的员工；而对营销部门来说，“客户”也指潜在客户。
　　适合使用BI的人会期待某些工具，比如仪表板，所以IT团队应该记下什么东西会添加到项目中。Wu说：“而更重要的是告诉用户将来缺什么东西。”
　　
    大多数公司并没有把BI当成是灾难恢复规划中的一项关键应用，哪怕员工依靠这些工具来作出关键决策，也是这样。Wu见过BI应用系统因服务器出现故障而停顿几周的例子。
　　
    IT团队还要准备好应对要求更改数据类型和报表的众多请求。除非员工开始使用BI系统，否则他们不会知道可以用它来做什么。Wu说：“如果他们不问，很可能是没在使用。”没有什么比花巨资搞起来的项目却闲置不用更为失败的了。
　　
    八、SaaS的缺点

    当然，你可以快速部署软件即服务（SaaS）应用。它们甚至能够为贵公司避免费用、为IT部门避免麻烦。但是SaaS应用到底适不适合你呢？
　　
    定制方面的限制是SaaS几乎一开始就饱受诟病的地方。与许多内部部署（on-premise）的应用不同，SaaS应用的代码是无法改动的。

    专业支持SaaS的服务公司Bluewolf的联合创始人Eric Berridge说，另一方面，SaaS应用的一大优点在于，Salesforce.com等厂商在不断添加功能，可以马上提供给用户。如果换成内部部署软件，新功能常常捆绑在重大版本里面，客户有时会错过这些功能。

    因为新功能频频添加到SaaS应用里面，客户必须保持灵活。这可能意味着需要添加流程以适应新功能，因而感到压力的是用户，而不是IT部门。Berridge说，不过对经理们来说，这意味着要随时了解变化，并且告知用户，以便他们愿意并且能够随时应变。

    太多的变化并不好。他说，如果新功能意味着你要改动流程或者应用本身的地方超过20%，最好还是采用内部开发的软件。

    弗雷斯特研究公司的分析师Liz Herbert说，SaaS的另一个缺点是：签署交易的常常是公司用户，而不是技术人员，而用户在安全和隐私方面可能毫无头绪，特别是由于针对SaaS的安全标准还在发展当中。虽然SaaS应用还没有出现任何重大的安全漏洞，“但人们要引起警惕，”她说。而Berridge认为，SaaS的安全问题更多地涉及软件在公司内部如何使用。“你未必想让纽约的销售代表看到新泽西州代表的销售数据。”他说，除非设定了规则，“否则每个人都能看到每个数据。”

    另外，许多公司改用SaaS时，要牢记诸如《健康保险可携性及责任性法案》和《萨班斯－奥克斯利法案》之类的法规。Berridge说，公司需要在本地保存数据副本，以免出现法规问题。这意味着要与SaaS厂商一起定好数据复制时间表。

    至于数据集成方面，有第三方软件包（包括Bluewolf的软件包）有助于SaaS 软件与SAP和Oracle等公司的内部部署软件连接起来。Berridge说，但如果数据交换的速度至关重要，如金融交易，这样的连接可能变得很棘手。

    九、JavaScript让人不安

    Web 2.0采用的是JavaScript动态语言。JavaScript通过Ajax编程，允许Web应用和用户个人之间进行交互。但JavaScript和Ajax也为网站入侵者带来了众多新的攻击途径。

    一年前，Yamanner蠕虫有段时间利用了雅虎邮箱的一处JavaScript漏洞，得以在网上迅速传播开来，还把地址簿上的电子邮件地址转发给垃圾邮件发送者。使用JavaScript允许用户上传内容的MySpace发生了几起这样的事件：恶意代码把跨站脚本安全漏洞植入到MySpace帐户中，然后传染给访问者使用的计算机。有人把“Sammy是我的大英雄”这条消息植入到了成千上万个MySpace页面上。

    为了评估将来的风险，不妨考虑使用Jikto，SPI Dynamics安全公司的首席研究员Billy Hoffman在去年3月24日举行的ShmoozCon黑客大会上演示了这个跨站脚本引擎。

    JavaScript拥有内置的安全模型，名为“同一来源”：JavaScript只能在来源网站上访问内容或者执行操作，而在其他任何网站上无法访问或者操作。但Jikto可用来绕过这种保护机制：把网站内容发送到Google Translate等代理网站，然后代理网站把网站内容从一种语言翻译成另一种语言。恶意的Jikto用户可以指示网站内容在Google Translate上显示，在此进行漏洞扫描，然后查看扫描结果。Jikto可以利用Google Translate或者原本另有其用的其他代理网站来检索一个个网站的页面，对它们进行扫描以查找漏洞，从而躲开JavaScript的安全模型。

    JavaScript可以经常变动，甚至按指令来改变自己，所以传统的病毒扫描通常发现不了它们。雅虎邮箱事件就牵涉上传照片的JavaScript功能，但该功能有可能被人恶意利用，因为雅虎的代码并不检查文件实际上是不是图片。网上有许多这样的后门。

    公布了Jikto的风险后，霍夫曼收到了为非作歹之徒发来的电子邮件，大意是“你可毁了我们的乐趣。”你要作好准备，因为这批家伙会想出别的点子来寻乐。