信息周刊:首席信息安全官的一天
2013-12-11 13:57:36   来源:信息周刊   评论:0 点击:

导读:在美国康涅狄格州布卢姆菲尔德镇(Bloomfield, Conn )信诺保险公司(Cigna,下称信诺)办公大楼一间阳光明媚的小型会议室里,光彩照人的木头桌子的另一头

在美国康涅狄格州布卢姆菲尔德镇(Bloomfield, Conn.)信诺保险公司(Cigna,下称信诺)办公大楼一间阳光明媚的小型会议室里,光彩照人的木头桌子的另一头,坐着克雷格·舒马尔德(Craig Shumard)——这家保险公司的首席信息保护官(CISO)。现在是早上10:00,他正耐心倾听两名副手对一家潜在供货商的讨论。忽然他探身向前,用那略带威严的男中音问道:“他们是谁?他们有什么类型的客户?他们在金融业服务市场的渗透程度怎样?这些情况有助于我们了解他们产品的成熟度。” 

信诺的年营收额高达165亿美元,为了更好地指导这家雇员保险服务供应商在信息安全层面的操作,舒马尔德煞是严格,决不放过任何一个细节。 

   确保信诺的IT安全策略在客户的眼中行之有效,这就是舒马尔德的首要任务。顾客心之所系若不优先考虑必定会产生严重后果,这一点他心中非常有数。信诺的利润出现过滑坡,从2002年的193亿美元骤降至2006年的165亿美元,降幅达15%,罪魁祸首就是存在几个问题,其中包括一个造价高达10亿美元的IT改造和客户关系管理(CRM)系统项目。对于一个市场竞争异常激烈的公司而言,出现这种情况意味着形势不妙。不过,对细节的高度关注其实是舒马尔德的一贯做事风格。 

   权限管理会议是舒马尔德从早上9:00开始的这一天8个会议中的第二个,信诺销售效能主管塞西尔·哈得逊(Cecil Hudson)一起参加了会议。第三个会议的议题则是,对一家供货商的访问管理产品做最后的检视。之后,他将与医疗保险服务部门副总裁进行探讨,会见公司多元化委员会的几名成员。最后,他还将审视所有同安全相关的IT项目。此外,还有两场敏感度较高、记者不方便参加的会议:一是同公司法律顾问探讨应用程序访问的问题;二是与副总裁研究风险管理问题。 

   作为这名安全主管典型的一天,舒马尔德需要专心致志地忙于庞大的数据检视工作——信诺内部9,000台笔记本电脑、2.2万台桌面电脑,数千个应用程序,以及由2.65万名雇员和分布于全球的4,700万名使用其服务的人员所产生的140TB存储数据。但是,这些还不是全部,舒马尔德说。因为就权限管理而言,还余下大量工作,其中多数都是同客户对数据安全和隐私的关心休戚相关。 

   老板之所想 

   舒马尔德再次回到文章开头的办公室。这次与他将与信诺工程与标准部门的信息保护主管约翰·夏普德(John Shepard)、基础设施安全的趋势与计划部门主管塞吉·贝列荷(Serge Beaulieu)进行为时一个小时的讨论。他们俩的核心工作是保护客户和雇员的个人数据,也就是舒马尔德8年前被任命为数据安全副总裁以来所主管的工作。当时的舒马尔德单枪匹马。而现在,舒马尔德的信息安全部门成长迅猛,已经发展成一个拥有72名雇员的机构。原因是一方面信诺给予了客户在线访问的便利;另一方面因其他大公司的数据保护工作出现闪失,安全主题再次处于显要位置。像夏普德和贝列荷这样直接向舒马尔德汇报工作的共有7人。他们向舒马尔德简要报告,在IT部门自身开发之外,创建应用程序权限管理能力的多种其他途径。但哪怕是交情甚笃的老供货商,如毕益辉系统公司(BEA Systems)、CA公司、Jericho系统公司(Jericho Systems)和Securent公司,舒马尔德都不轻信其承诺,因为他仍不清楚这些供货商是否具备管理数以万计客户的能力。

  一小时的会议一结束,舒马尔德的注意力迅速转移到刚递来的一张纸上。这张纸折叠着,上面还标着红色“紧急”字样。他掏出了黑莓(BlackBerry)和眼镜,然后敲键盘回复讯息,似乎是某个供应商需要他立即给予答复。黑莓上的对话持续了一会儿。然后舒马尔德抓起一瓶水,径直走向下一个会议室。 

   黑莓急电 

   舒马尔德鼓捣起黑莓,毫无疑问是有要紧事要办。因为他基本上把电话和电邮留到了下午5点以后处理,以便确保能把所有的注意力集中到他所会见的人身上。 

   舒马尔德的家紧邻费城市区,与他同住的还有他的妻子和两个儿子——一个是宾州州立大学三年级学生,另一个还是高中生;他的妻子南希(Nancy)从事特需儿童的工作。每周的工作时间,舒马尔德忙碌地在两个地方之间来回奔波——一头是信诺在费城的总部,另一头则是布卢姆菲尔德镇150平方英尺的办公大楼,也就是信诺医疗保健部门的总部。 

   舒马尔德在信诺工作了25年,对业务、法规和技术要求了如指掌。他原在资产与事故部门中负责商业风险的投保业务,后来升任主管,然后一级级往上,并于1999年接管信息安全业务。 

   “那时,公司对于信息保护毫无主张。”信诺现任首席信息官(CIO)斯科特·史脱尔(Scott Storrer)说。史脱尔2001年进入公司,担任服务部门主管。当时,和其他业务经理一样,他对舒马尔德的主张心存疑虑。“我所听到的就是克雷格向我们要钱。”史脱尔说。但当他听完舒马尔德将信息保护与业务冲击和风险进行捆绑的计划描述之后,史脱尔心悦诚服了:“我真想多给他一些钱。” 

   在接下来的5年里,公司的安全开支计划翻了一番甚至是两番。但史脱尔拒绝透露信诺高达5亿美元的IT预算中有多少被分配到这个领域。他说,数据安全“正逐步成为终端用户及他们雇员做决定时不可或缺的一部分。” 

   检验供货商 

   舒马尔德的下一个会议主题还是访问管理。信诺即将同信息安全咨询公司Aveksa公司签署一份合同。Aveksa是麻省沃尔瑟姆市一家成立仅3年的访问控制软件供货商。Aveksa首席执行官(CEO)迪帕克·塔尼亚(Deepak Taneja)正在布卢姆菲尔德游说舒马尔德达成这笔交易。作为这家创业企业的大客户,舒马尔德说:“相比较大供货商,我能对他们产品的塑造施加更大的影响。” 

   Aveksa的兼容管理软件(Compliance Manager)能对雇员与承包人的应用程序和信息访问权限进行追踪,验证是否符合信诺安全策略的规定。随着时间推移,Aveksa的软件有能力在信诺扮演更多角色,例如,它可与国际商业机器公司(IBM)的Tivoli身份管理系统整合,并作为后者的管理控制台,塔尼亚说。正是这个正确的方向打动了舒马尔德——他想要一个同时具备认证和访问管理等多重功能的工具。 

   舒马尔德让他的4名职员确保Aveksa CEO谈到了必须解决的每一个问题。虽然他们已经同供货商碰面的次数不下10次,但对Aveksa的产品如何与IBM的Tivoli身份管理器协同工作、Aveksa软件是否能够帮助移除访问控制维护任务等问题,他们仍然很关心——例如定义和加强对多种系统和数据的访问能力,实现从IT杂工身份向商业小组专业团队的转变。

 一小时的会议接近尾声,结果也明朗了,舒马尔德和他的团队认为,Aveksa的产品有助信诺更好地实施对安全策略的兼容管理。实现对访问与认证管理系统更紧密整合这个问题还有待研究,但并不妨碍交易的达成。会后双方握手言欢,舒马尔德起身去吃午饭,留下他的团队去处理细节问题。(几周之后,信诺将同Aveksa签订一份合同。) 

   安全闲谈 

   在布鲁姆菲尔德,舒马尔德尽可能多地增加与职员同处的时间,就是吃饭的时候,也不例外。今天信诺的自助餐厅里就有他的身影,和他一起用餐的,有贝列荷、业务流程外包部门的经理史蒂夫·托马斯(Steve Thomas)和信息保护部门主管艾米·班尼特(Amy Bennett)。由于会议结束不久,大家的谈话内容仍然围绕着安全这个主题,纷纷交流着所听到的个人数据和隐私保护方面的新方法。 

   下一个安排,定于下午1:00,同信诺法律委员会以及舒马尔德隐私团队几名成员举行一场半小时的短会。然后是和医疗保健服务部门副总裁托德·李(Todd Lee)30分钟的聊天式商谈,一起推敲解决困扰信诺呼叫中心和其他服务业务的安全隐忧的办法。李特别关心公司4,500个台式机受到垃圾邮件影响的事情。“那是因为你访问了那些不该访问的站点。”舒马尔德开玩笑说道,然后他向李保证:会跟踪此事。 

   舒马尔德一整天的谈话中幽默感十足。他的才智“助他度过许多关口,尤其当年他孤军奋战的时候。”史脱尔说。 

   和李会谈结束后,舒马尔德暂时搁下了安全议题——他还要和公司多元化委员会的几个负责人召开一场半小时的会议,讨论公司雇用少数族裔从事IT工作的事情,参会人员包括人力资源高级主管马特·辛兹(Matt Hintz)和人力资源经理吉恩·麦基尔(Jean McGill)。麦基尔希望信诺建立一个正式的经理人员选拔机制,更好地反应职工队伍的种族成分。去年初委员会成立不久,辛兹就吸纳舒马尔德为执行发起人。辛兹指出,最近委任胡安·康德(Juan Conde)为医疗保险部门的CIO,就是多元化的一个范例。 

   “选择克雷格进入委员会可不是拍脑袋的决定,”辛兹在会后说道,“他认为,信息保护关系着方方面面,即使非核心竞争力层面的工作也同等重要,他还把这种想法变成了一个规划,让每个人都认识到自身在其中所扮演的重要作用。多元化是每个人的工作,就如同信息安全一样。” 

   长长的一天终于结束 

   长长的一天终于快要结束了。舒马尔德再次与夏普德和IT部经理马克·布朗(Marc Brown)会面。他们检视了同安全相关的26个项目,包括备份磁带加密、临时文件清理软件以及电邮加密服务。 

   会谈中,舒马尔德询问某一个供应商——他要求不予透露——是否已把反间谍软件增加到软件的最新版本中。布朗和夏普德都不知此事。“那你们是否确定,他们知道我们会因此而不高兴?”舒马尔德问。“我们已经郑重地告诉过他们了。”夏普德回答道。 

   然后,如同上面他所承诺的那样,舒马尔德让布朗跟踪李所反映的垃圾邮件问题,并建立一个列表,看公司里谁收到最多的垃圾邮件。“有一些员工,在网上注册的时候,没有把其他产品前面的默认勾选清除掉,最后我们不得不变更他们的电邮地址。”舒马尔德说。其间他的黑莓嗡嗡作响好几次,但他连看都没有看。他全神贯注投入到跟布朗谈话的中,会议直到将近四点半的时候才告结束。 

   然后他上楼,回到办公室,开始了长达数小时的电子邮件和声音邮件的回复。晚上,他还得赶往哈特福特(Hartford)的百利国际机场(Bradley International Airport)。舒马尔德承认,如果没有信诺职工百分之一百的合作,他一切的工作和计划,都是零。 

   “我们有多强取决于我们的弱点,”他说,“而最薄弱的一环就是那个根本不知道自己究竟在干什么的人。”这个人也许粗心地把写有客户姓名和私人数据的文档随手一扔,而不是把它搅碎;这个人或许向同事或者业务伙伴发送了一封未经加密的电子邮件,其中就包含了某个人的个人信息。消灭这些粗心做法、防范心怀不轨的内鬼和黑客,这就是无休止的会议、不计其数的讨论,以及不轻易放过每一个细节的做法所要达到的目的。(译/柯睿)

相关热词搜索:信息 周刊 首席

上一篇:首席信息官谈经济困难时期的安全管理
下一篇:2011PSN入侵事件催化索尼任命首席信息安全官

分享到: 收藏