首席信息安全官的一天

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

在美國(guó)康涅狄格州布盧姆菲爾德鎮(zhèn)（Bloomfield, Conn.）信諾保險(xiǎn)公司（Cigna，下稱信諾）辦公大樓一間陽(yáng)光明媚的小型會(huì)議室里，光彩照人的木頭桌子的另一頭，坐著克雷格·舒馬爾德（Craig Shumard）——這家保險(xiǎn)公司的首席信息保護(hù)官（CISO）?，F(xiàn)在是早上10：00，他正耐心傾聽(tīng)兩名副手對(duì)一家潛在供貨商的討論。忽然他探身向前，用那略帶威嚴(yán)的男中音問(wèn)道：“他們是誰(shuí)？他們有什么類型的客戶？他們?cè)诮鹑跇I(yè)服務(wù)市場(chǎng)的滲透程度怎樣？這些情況有助于我們了解他們產(chǎn)品的成熟度。”

信諾的年?duì)I收額高達(dá)165億美元，為了更好地指導(dǎo)這家雇員保險(xiǎn)服務(wù)供應(yīng)商在信息安全層面的操作，舒馬爾德煞是嚴(yán)格，決不放過(guò)任何一個(gè)細(xì)節(jié)。

確保信諾的IT安全策略在客戶的眼中行之有效，這就是舒馬爾德的首要任務(wù)。顧客心之所系若不優(yōu)先考慮必定會(huì)產(chǎn)生嚴(yán)重后果，這一點(diǎn)他心中非常有數(shù)。信諾的利潤(rùn)出現(xiàn)過(guò)滑坡，從2002年的193億美元驟降至2006年的165億美元，降幅達(dá)15%，罪魁禍?zhǔn)拙褪谴嬖趲讉€(gè)問(wèn)題，其中包括一個(gè)造價(jià)高達(dá)10億美元的IT改造和客戶關(guān)系管理（CRM）系統(tǒng)項(xiàng)目。對(duì)于一個(gè)市場(chǎng)競(jìng)爭(zhēng)異常激烈的公司而言，出現(xiàn)這種情況意味著形勢(shì)不妙。不過(guò)，對(duì)細(xì)節(jié)的高度關(guān)注其實(shí)是舒馬爾德的一貫做事風(fēng)格。

權(quán)限管理會(huì)議是舒馬爾德從早上9：00開(kāi)始的這一天8個(gè)會(huì)議中的第二個(gè)，信諾銷售效能主管塞西爾·哈得遜（Cecil Hudson）一起參加了會(huì)議。第三個(gè)會(huì)議的議題則是，對(duì)一家供貨商的訪問(wèn)管理產(chǎn)品做最后的檢視。之后，他將與醫(yī)療保險(xiǎn)服務(wù)部門副總裁進(jìn)行探討，會(huì)見(jiàn)公司多元化委員會(huì)的幾名成員。最后，他還將審視所有同安全相關(guān)的IT項(xiàng)目。此外，還有兩場(chǎng)敏感度較高、記者不方便參加的會(huì)議：一是同公司法律顧問(wèn)探討應(yīng)用程序訪問(wèn)的問(wèn)題；二是與副總裁研究風(fēng)險(xiǎn)管理問(wèn)題。

作為這名安全主管典型的一天，舒馬爾德需要專心致志地忙于龐大的數(shù)據(jù)檢視工作——信諾內(nèi)部9,000臺(tái)筆記本電腦、2.2萬(wàn)臺(tái)桌面電腦，數(shù)千個(gè)應(yīng)用程序，以及由2.65萬(wàn)名雇員和分布于全球的4,700萬(wàn)名使用其服務(wù)的人員所產(chǎn)生的140TB存儲(chǔ)數(shù)據(jù)。但是，這些還不是全部，舒馬爾德說(shuō)。因?yàn)榫蜋?quán)限管理而言，還余下大量工作，其中多數(shù)都是同客戶對(duì)數(shù)據(jù)安全和隱私的關(guān)心休戚相關(guān)。

老板之所想

舒馬爾德再次回到文章開(kāi)頭的辦公室。這次與他將與信諾工程與標(biāo)準(zhǔn)部門的信息保護(hù)主管約翰·夏普德（John Shepard）、基礎(chǔ)設(shè)施安全的趨勢(shì)與計(jì)劃部門主管塞吉·貝列荷（Serge Beaulieu）進(jìn)行為時(shí)一個(gè)小時(shí)的討論。他們倆的核心工作是保護(hù)客戶和雇員的個(gè)人數(shù)據(jù)，也就是舒馬爾德8年前被任命為數(shù)據(jù)安全副總裁以來(lái)所主管的工作。當(dāng)時(shí)的舒馬爾德單槍匹馬。而現(xiàn)在，舒馬爾德的信息安全部門成長(zhǎng)迅猛，已經(jīng)發(fā)展成一個(gè)擁有72名雇員的機(jī)構(gòu)。原因是一方面信諾給予了客戶在線訪問(wèn)的便利；另一方面因其他大公司的數(shù)據(jù)保護(hù)工作出現(xiàn)閃失，安全主題再次處于顯要位置。像夏普德和貝列荷這樣直接向舒馬爾德匯報(bào)工作的共有7人。他們向舒馬爾德簡(jiǎn)要報(bào)告，在IT部門自身開(kāi)發(fā)之外，創(chuàng)建應(yīng)用程序權(quán)限管理能力的多種其他途徑。但哪怕是交情甚篤的老供貨商，如畢益輝系統(tǒng)公司（BEA Systems）、CA公司、Jericho系統(tǒng)公司（Jericho Systems）和Securent公司，舒馬爾德都不輕信其承諾，因?yàn)樗圆磺宄@些供貨商是否具備管理數(shù)以萬(wàn)計(jì)客戶的能力。

一小時(shí)的會(huì)議一結(jié)束，舒馬爾德的注意力迅速轉(zhuǎn)移到剛遞來(lái)的一張紙上。這張紙折疊著，上面還標(biāo)著紅色“緊急”字樣。他掏出了黑莓（BlackBerry）和眼鏡，然后敲鍵盤回復(fù)訊息，似乎是某個(gè)供應(yīng)商需要他立即給予答復(fù)。黑莓上的對(duì)話持續(xù)了一會(huì)兒。然后舒馬爾德抓起一瓶水，徑直走向下一個(gè)會(huì)議室。

黑莓急電

舒馬爾德鼓搗起黑莓，毫無(wú)疑問(wèn)是有要緊事要辦。因?yàn)樗旧习央娫捄碗娻]留到了下午5點(diǎn)以后處理，以便確保能把所有的注意力集中到他所會(huì)見(jiàn)的人身上。

舒馬爾德的家緊鄰費(fèi)城市區(qū)，與他同住的還有他的妻子和兩個(gè)兒子——一個(gè)是賓州州立大學(xué)三年級(jí)學(xué)生，另一個(gè)還是高中生；他的妻子南希（Nancy）從事特需兒童的工作。每周的工作時(shí)間，舒馬爾德忙碌地在兩個(gè)地方之間來(lái)回奔波——一頭是信諾在費(fèi)城的總部，另一頭則是布盧姆菲爾德鎮(zhèn)150平方英尺的辦公大樓，也就是信諾醫(yī)療保健部門的總部。

舒馬爾德在信諾工作了25年，對(duì)業(yè)務(wù)、法規(guī)和技術(shù)要求了如指掌。他原在資產(chǎn)與事故部門中負(fù)責(zé)商業(yè)風(fēng)險(xiǎn)的投保業(yè)務(wù)，后來(lái)升任主管，然后一級(jí)級(jí)往上，并于1999年接管信息安全業(yè)務(wù)。

“那時(shí)，公司對(duì)于信息保護(hù)毫無(wú)主張?！毙胖Z現(xiàn)任首席信息官（CIO）斯科特·史脫爾（Scott Storrer）說(shuō)。史脫爾2001年進(jìn)入公司，擔(dān)任服務(wù)部門主管。當(dāng)時(shí)，和其他業(yè)務(wù)經(jīng)理一樣，他對(duì)舒馬爾德的主張心存疑慮。“我所聽(tīng)到的就是克雷格向我們要錢?！笔访摖栒f(shuō)。但當(dāng)他聽(tīng)完舒馬爾德將信息保護(hù)與業(yè)務(wù)沖擊和風(fēng)險(xiǎn)進(jìn)行捆綁的計(jì)劃描述之后，史脫爾心悅誠(chéng)服了：“我真想多給他一些錢?！?/FONT>

在接下來(lái)的5年里，公司的安全開(kāi)支計(jì)劃翻了一番甚至是兩番。但史脫爾拒絕透露信諾高達(dá)5億美元的IT預(yù)算中有多少被分配到這個(gè)領(lǐng)域。他說(shuō)，數(shù)據(jù)安全“正逐步成為終端用戶及他們雇員做決定時(shí)不可或缺的一部分?！?/FONT>

檢驗(yàn)供貨商

舒馬爾德的下一個(gè)會(huì)議主題還是訪問(wèn)管理。信諾即將同信息安全咨詢公司Aveksa公司簽署一份合同。Aveksa是麻省沃爾瑟姆市一家成立僅3年的訪問(wèn)控制軟件供貨商。Aveksa首席執(zhí)行官（CEO）迪帕克·塔尼亞（Deepak Taneja）正在布盧姆菲爾德游說(shuō)舒馬爾德達(dá)成這筆交易。作為這家創(chuàng)業(yè)企業(yè)的大客戶，舒馬爾德說(shuō)：“相比較大供貨商，我能對(duì)他們產(chǎn)品的塑造施加更大的影響?！?/FONT>

Aveksa的兼容管理軟件（Compliance Manager）能對(duì)雇員與承包人的應(yīng)用程序和信息訪問(wèn)權(quán)限進(jìn)行追蹤，驗(yàn)證是否符合信諾安全策略的規(guī)定。隨著時(shí)間推移，Aveksa的軟件有能力在信諾扮演更多角色，例如，它可與國(guó)際商業(yè)機(jī)器公司（IBM）的Tivoli身份管理系統(tǒng)整合，并作為后者的管理控制臺(tái)，塔尼亞說(shuō)。正是這個(gè)正確的方向打動(dòng)了舒馬爾德——他想要一個(gè)同時(shí)具備認(rèn)證和訪問(wèn)管理等多重功能的工具。

舒馬爾德讓他的4名職員確保Aveksa CEO談到了必須解決的每一個(gè)問(wèn)題。雖然他們已經(jīng)同供貨商碰面的次數(shù)不下10次，但對(duì)Aveksa的產(chǎn)品如何與IBM的Tivoli身份管理器協(xié)同工作、Aveksa軟件是否能夠幫助移除訪問(wèn)控制維護(hù)任務(wù)等問(wèn)題，他們?nèi)匀缓荜P(guān)心——例如定義和加強(qiáng)對(duì)多種系統(tǒng)和數(shù)據(jù)的訪問(wèn)能力，實(shí)現(xiàn)從IT雜工身份向商業(yè)小組專業(yè)團(tuán)隊(duì)的轉(zhuǎn)變。

一小時(shí)的會(huì)議接近尾聲，結(jié)果也明朗了，舒馬爾德和他的團(tuán)隊(duì)認(rèn)為，Aveksa的產(chǎn)品有助信諾更好地實(shí)施對(duì)安全策略的兼容管理。實(shí)現(xiàn)對(duì)訪問(wèn)與認(rèn)證管理系統(tǒng)更緊密整合這個(gè)問(wèn)題還有待研究，但并不妨礙交易的達(dá)成。會(huì)后雙方握手言歡，舒馬爾德起身去吃午飯，留下他的團(tuán)隊(duì)去處理細(xì)節(jié)問(wèn)題。（幾周之后，信諾將同Aveksa簽訂一份合同。）

安全閑談

在布魯姆菲爾德，舒馬爾德盡可能多地增加與職員同處的時(shí)間，就是吃飯的時(shí)候，也不例外。今天信諾的自助餐廳里就有他的身影，和他一起用餐的，有貝列荷、業(yè)務(wù)流程外包部門的經(jīng)理史蒂夫·托馬斯（Steve Thomas）和信息保護(hù)部門主管艾米·班尼特（Amy Bennett）。由于會(huì)議結(jié)束不久，大家的談話內(nèi)容仍然圍繞著安全這個(gè)主題，紛紛交流著所聽(tīng)到的個(gè)人數(shù)據(jù)和隱私保護(hù)方面的新方法。

下一個(gè)安排，定于下午1：00，同信諾法律委員會(huì)以及舒馬爾德隱私團(tuán)隊(duì)幾名成員舉行一場(chǎng)半小時(shí)的短會(huì)。然后是和醫(yī)療保健服務(wù)部門副總裁托德·李（Todd Lee）30分鐘的聊天式商談，一起推敲解決困擾信諾呼叫中心和其他服務(wù)業(yè)務(wù)的安全隱憂的辦法。李特別關(guān)心公司4,500個(gè)臺(tái)式機(jī)受到垃圾郵件影響的事情。“那是因?yàn)槟阍L問(wèn)了那些不該訪問(wèn)的站點(diǎn)。”舒馬爾德開(kāi)玩笑說(shuō)道，然后他向李保證：會(huì)跟蹤此事。

舒馬爾德一整天的談話中幽默感十足。他的才智“助他度過(guò)許多關(guān)口，尤其當(dāng)年他孤軍奮戰(zhàn)的時(shí)候。”史脫爾說(shuō)。

和李會(huì)談結(jié)束后，舒馬爾德暫時(shí)擱下了安全議題——他還要和公司多元化委員會(huì)的幾個(gè)負(fù)責(zé)人召開(kāi)一場(chǎng)半小時(shí)的會(huì)議，討論公司雇用少數(shù)族裔從事IT工作的事情，參會(huì)人員包括人力資源高級(jí)主管馬特·辛茲（Matt Hintz）和人力資源經(jīng)理吉恩·麥基爾（Jean McGill）。麥基爾希望信諾建立一個(gè)正式的經(jīng)理人員選拔機(jī)制，更好地反應(yīng)職工隊(duì)伍的種族成分。去年初委員會(huì)成立不久，辛茲就吸納舒馬爾德為執(zhí)行發(fā)起人。辛茲指出，最近委任胡安·康德（Juan Conde）為醫(yī)療保險(xiǎn)部門的CIO，就是多元化的一個(gè)范例。

“選擇克雷格進(jìn)入委員會(huì)可不是拍腦袋的決定，”辛茲在會(huì)后說(shuō)道，“他認(rèn)為，信息保護(hù)關(guān)系著方方面面，即使非核心競(jìng)爭(zhēng)力層面的工作也同等重要，他還把這種想法變成了一個(gè)規(guī)劃，讓每個(gè)人都認(rèn)識(shí)到自身在其中所扮演的重要作用。多元化是每個(gè)人的工作，就如同信息安全一樣。”

長(zhǎng)長(zhǎng)的一天終于結(jié)束

長(zhǎng)長(zhǎng)的一天終于快要結(jié)束了。舒馬爾德再次與夏普德和IT部經(jīng)理馬克·布朗（Marc Brown）會(huì)面。他們檢視了同安全相關(guān)的26個(gè)項(xiàng)目，包括備份磁帶加密、臨時(shí)文件清理軟件以及電郵加密服務(wù)。

會(huì)談中，舒馬爾德詢問(wèn)某一個(gè)供應(yīng)商——他要求不予透露——是否已把反間諜軟件增加到軟件的最新版本中。布朗和夏普德都不知此事?！澳悄銈兪欠翊_定，他們知道我們會(huì)因此而不高興？”舒馬爾德問(wèn)。“我們已經(jīng)鄭重地告訴過(guò)他們了。”夏普德回答道。

然后，如同上面他所承諾的那樣，舒馬爾德讓布朗跟蹤李所反映的垃圾郵件問(wèn)題，并建立一個(gè)列表，看公司里誰(shuí)收到最多的垃圾郵件?！坝幸恍﹩T工，在網(wǎng)上注冊(cè)的時(shí)候，沒(méi)有把其他產(chǎn)品前面的默認(rèn)勾選清除掉，最后我們不得不變更他們的電郵地址?！笔骜R爾德說(shuō)。其間他的黑莓嗡嗡作響好幾次，但他連看都沒(méi)有看。他全神貫注投入到跟布朗談話的中，會(huì)議直到將近四點(diǎn)半的時(shí)候才告結(jié)束。

 然后他上樓，回到辦公室，開(kāi)始了長(zhǎng)達(dá)數(shù)小時(shí)的電子郵件和聲音郵件的回復(fù)。晚上，他還得趕往哈特福特（Hartford）的百利國(guó)際機(jī)場(chǎng)（Bradley International Airport）。舒馬爾德承認(rèn)，如果沒(méi)有信諾職工百分之一百的合作，他一切的工作和計(jì)劃，都是零。

“我們有多強(qiáng)取決于我們的弱點(diǎn)，”他說(shuō)，“而最薄弱的一環(huán)就是那個(gè)根本不知道自己究竟在干什么的人?！边@個(gè)人也許粗心地把寫有客戶姓名和私人數(shù)據(jù)的文檔隨手一扔，而不是把它攪碎；這個(gè)人或許向同事或者業(yè)務(wù)伙伴發(fā)送了一封未經(jīng)加密的電子郵件，其中就包含了某個(gè)人的個(gè)人信息。消滅這些粗心做法、防范心懷不軌的內(nèi)鬼和黑客，這就是無(wú)休止的會(huì)議、不計(jì)其數(shù)的討論，以及不輕易放過(guò)每一個(gè)細(xì)節(jié)的做法所要達(dá)到的目的。（inforweeks）