要揪出公司内部不可靠的安全员工,以免网络沦为他们的人质——有时候这并非危言耸听。
贵公司的安全员工值得信赖吗?胜任工作吗?见多识广吗?让安全专业人士讲讲这方面的可怕故事,你可能会改变想法。
Kevin McDonald向我们讲述了这样一则可怕故事,他是托管服务提供商Alvaka Networks公司的执行副总裁,也是美国电子协会(American Electronics Association)全国理事会成员,还出过网络安全方面的几本著作。
他公司有个客户是一家建筑公司,对方的一名高级IT员工还兼任安全这块。不晓得这名安全主管到底用了什么办法,居然说服了公司老板,以为把该公司的雇员数据库放在他家(他家已经铺好了光纤线路)来得比较省钱,而不是把这些数据库保存在异地。
你一眼就能预见这一幕:雇员与雇主后来起了冲突。你还没来得及说出“内部威胁”,那名安全主管就向这家建筑公司的好多客户发去了威胁性的电子邮件,告诉对方他掌握了他们的私密信息。
此举“基本上让这个家伙丢了饭碗,”McDonald说,并导致这家建筑公司的合同减少了大约70%。考虑到这名为非作歹的雇员原先是获得授权的用户,公司在几个月后关闭了他的帐户。只是这名雇员在网上公开扬言要非法利用数据后,洛杉矶的联邦调查局特工才闯入了他的家――这个家伙之前已经建好了网站,还订好了对前雇主实施破坏的计划。
这一幕糟糕透顶的安全场景是招聘不可靠的员工所造成的。遗憾的是,安全行当不缺少笨蛋、庸才或者无知家伙的身影。的确,安全专业人士不太可能像其他人(比如程序设计员)那样按照工作业绩来加以评价。摆在他们面前的绊脚石可能包括:办公室政治、运气不好、误入歧途的高层主管、失去控制的顾问、缺乏沟通、与公司其他部门孤立起来、上司盲目信任安全证书;或者尽管确保了安全工作正常,却很难得到相应奖励。
而这只是一方面,而不是全部。
但要振作起来。即使安全部门出现了“烂苹果”,出色的公司也能经受得住考验。下面简要介绍了几类常见的不可靠的安全员工,以及如何不让他们得逞的方法。
