首席信息安全官的一天

申請免費(fèi)試用、咨詢電話：400-8352-114

在美國康涅狄格州布盧姆菲爾德鎮(zhèn)（Bloomfield, Conn.）信諾保險公司（Cigna，下稱信諾）辦公大樓一間陽光明媚的小型會議室里，光彩照人的木頭桌子的另一頭，坐著克雷格·舒馬爾德（Craig Shumard）——這家保險公司的首席信息保護(hù)官（CISO）?，F(xiàn)在是早上10：00，他正耐心傾聽兩名副手對一家潛在供貨商的討論。忽然他探身向前，用那略帶威嚴(yán)的男中音問道：“他們是誰？他們有什么類型的客戶？他們在金融業(yè)服務(wù)市場的滲透程度怎樣？這些情況有助于我們了解他們產(chǎn)品的成熟度?！?/FONT>

信諾的年營收額高達(dá)165億美元，為了更好地指導(dǎo)這家雇員保險服務(wù)供應(yīng)商在信息安全層面的操作，舒馬爾德煞是嚴(yán)格，決不放過任何一個細(xì)節(jié)。

確保信諾的IT安全策略在客戶的眼中行之有效，這就是舒馬爾德的首要任務(wù)。顧客心之所系若不優(yōu)先考慮必定會產(chǎn)生嚴(yán)重后果，這一點他心中非常有數(shù)。信諾的利潤出現(xiàn)過滑坡，從2002年的193億美元驟降至2006年的165億美元，降幅達(dá)15%，罪魁禍?zhǔn)拙褪谴嬖趲讉€問題，其中包括一個造價高達(dá)10億美元的IT改造和客戶關(guān)系管理（CRM）系統(tǒng)項目。對于一個市場競爭異常激烈的公司而言，出現(xiàn)這種情況意味著形勢不妙。不過，對細(xì)節(jié)的高度關(guān)注其實是舒馬爾德的一貫做事風(fēng)格。

權(quán)限管理會議是舒馬爾德從早上9：00開始的這一天8個會議中的第二個，信諾銷售效能主管塞西爾·哈得遜（Cecil Hudson）一起參加了會議。第三個會議的議題則是，對一家供貨商的訪問管理產(chǎn)品做最后的檢視。之后，他將與醫(yī)療保險服務(wù)部門副總裁進(jìn)行探討，會見公司多元化委員會的幾名成員。最后，他還將審視所有同安全相關(guān)的IT項目。此外，還有兩場敏感度較高、記者不方便參加的會議：一是同公司法律顧問探討應(yīng)用程序訪問的問題；二是與副總裁研究風(fēng)險管理問題。

作為這名安全主管典型的一天，舒馬爾德需要專心致志地忙于龐大的數(shù)據(jù)檢視工作——信諾內(nèi)部9,000臺筆記本電腦、2.2萬臺桌面電腦，數(shù)千個應(yīng)用程序，以及由2.65萬名雇員和分布于全球的4,700萬名使用其服務(wù)的人員所產(chǎn)生的140TB存儲數(shù)據(jù)。但是，這些還不是全部，舒馬爾德說。因為就權(quán)限管理而言，還余下大量工作，其中多數(shù)都是同客戶對數(shù)據(jù)安全和隱私的關(guān)心休戚相關(guān)。

老板之所想

舒馬爾德再次回到文章開頭的辦公室。這次與他將與信諾工程與標(biāo)準(zhǔn)部門的信息保護(hù)主管約翰·夏普德（John Shepard）、基礎(chǔ)設(shè)施安全的趨勢與計劃部門主管塞吉·貝列荷（Serge Beaulieu）進(jìn)行為時一個小時的討論。他們倆的核心工作是保護(hù)客戶和雇員的個人數(shù)據(jù)，也就是舒馬爾德8年前被任命為數(shù)據(jù)安全副總裁以來所主管的工作。當(dāng)時的舒馬爾德單槍匹馬。而現(xiàn)在，舒馬爾德的信息安全部門成長迅猛，已經(jīng)發(fā)展成一個擁有72名雇員的機(jī)構(gòu)。原因是一方面信諾給予了客戶在線訪問的便利；另一方面因其他大公司的數(shù)據(jù)保護(hù)工作出現(xiàn)閃失，安全主題再次處于顯要位置。像夏普德和貝列荷這樣直接向舒馬爾德匯報工作的共有7人。他們向舒馬爾德簡要報告，在IT部門自身開發(fā)之外，創(chuàng)建應(yīng)用程序權(quán)限管理能力的多種其他途徑。但哪怕是交情甚篤的老供貨商，如畢益輝系統(tǒng)公司（BEA Systems）、CA公司、Jericho系統(tǒng)公司（Jericho Systems）和Securent公司，舒馬爾德都不輕信其承諾，因為他仍不清楚這些供貨商是否具備管理數(shù)以萬計客戶的能力。

一小時的會議一結(jié)束，舒馬爾德的注意力迅速轉(zhuǎn)移到剛遞來的一張紙上。這張紙折疊著，上面還標(biāo)著紅色“緊急”字樣。他掏出了黑莓（BlackBerry）和眼鏡，然后敲鍵盤回復(fù)訊息，似乎是某個供應(yīng)商需要他立即給予答復(fù)。黑莓上的對話持續(xù)了一會兒。然后舒馬爾德抓起一瓶水，徑直走向下一個會議室。

黑莓急電

舒馬爾德鼓搗起黑莓，毫無疑問是有要緊事要辦。因為他基本上把電話和電郵留到了下午5點以后處理，以便確保能把所有的注意力集中到他所會見的人身上。

舒馬爾德的家緊鄰費(fèi)城市區(qū)，與他同住的還有他的妻子和兩個兒子——一個是賓州州立大學(xué)三年級學(xué)生，另一個還是高中生；他的妻子南希（Nancy）從事特需兒童的工作。每周的工作時間，舒馬爾德忙碌地在兩個地方之間來回奔波——一頭是信諾在費(fèi)城的總部，另一頭則是布盧姆菲爾德鎮(zhèn)150平方英尺的辦公大樓，也就是信諾醫(yī)療保健部門的總部。

舒馬爾德在信諾工作了25年，對業(yè)務(wù)、法規(guī)和技術(shù)要求了如指掌。他原在資產(chǎn)與事故部門中負(fù)責(zé)商業(yè)風(fēng)險的投保業(yè)務(wù)，后來升任主管，然后一級級往上，并于1999年接管信息安全業(yè)務(wù)。

“那時，公司對于信息保護(hù)毫無主張。”信諾現(xiàn)任首席信息官（CIO）斯科特·史脫爾（Scott Storrer）說。史脫爾2001年進(jìn)入公司，擔(dān)任服務(wù)部門主管。當(dāng)時，和其他業(yè)務(wù)經(jīng)理一樣，他對舒馬爾德的主張心存疑慮。“我所聽到的就是克雷格向我們要錢?！笔访摖栒f。但當(dāng)他聽完舒馬爾德將信息保護(hù)與業(yè)務(wù)沖擊和風(fēng)險進(jìn)行捆綁的計劃描述之后，史脫爾心悅誠服了：“我真想多給他一些錢?！?/FONT>

在接下來的5年里，公司的安全開支計劃翻了一番甚至是兩番。但史脫爾拒絕透露信諾高達(dá)5億美元的IT預(yù)算中有多少被分配到這個領(lǐng)域。他說，數(shù)據(jù)安全“正逐步成為終端用戶及他們雇員做決定時不可或缺的一部分?！?/FONT>

檢驗供貨商

舒馬爾德的下一個會議主題還是訪問管理。信諾即將同信息安全咨詢公司Aveksa公司簽署一份合同。Aveksa是麻省沃爾瑟姆市一家成立僅3年的訪問控制軟件供貨商。Aveksa首席執(zhí)行官（CEO）迪帕克·塔尼亞（Deepak Taneja）正在布盧姆菲爾德游說舒馬爾德達(dá)成這筆交易。作為這家創(chuàng)業(yè)企業(yè)的大客戶，舒馬爾德說：“相比較大供貨商，我能對他們產(chǎn)品的塑造施加更大的影響?！?/FONT>

Aveksa的兼容管理軟件（Compliance Manager）能對雇員與承包人的應(yīng)用程序和信息訪問權(quán)限進(jìn)行追蹤，驗證是否符合信諾安全策略的規(guī)定。隨著時間推移，Aveksa的軟件有能力在信諾扮演更多角色，例如，它可與國際商業(yè)機(jī)器公司（IBM）的Tivoli身份管理系統(tǒng)整合，并作為后者的管理控制臺，塔尼亞說。正是這個正確的方向打動了舒馬爾德——他想要一個同時具備認(rèn)證和訪問管理等多重功能的工具。

舒馬爾德讓他的4名職員確保Aveksa CEO談到了必須解決的每一個問題。雖然他們已經(jīng)同供貨商碰面的次數(shù)不下10次，但對Aveksa的產(chǎn)品如何與IBM的Tivoli身份管理器協(xié)同工作、Aveksa軟件是否能夠幫助移除訪問控制維護(hù)任務(wù)等問題，他們?nèi)匀缓荜P(guān)心——例如定義和加強(qiáng)對多種系統(tǒng)和數(shù)據(jù)的訪問能力，實現(xiàn)從IT雜工身份向商業(yè)小組專業(yè)團(tuán)隊的轉(zhuǎn)變。

一小時的會議接近尾聲，結(jié)果也明朗了，舒馬爾德和他的團(tuán)隊認(rèn)為，Aveksa的產(chǎn)品有助信諾更好地實施對安全策略的兼容管理。實現(xiàn)對訪問與認(rèn)證管理系統(tǒng)更緊密整合這個問題還有待研究，但并不妨礙交易的達(dá)成。會后雙方握手言歡，舒馬爾德起身去吃午飯，留下他的團(tuán)隊去處理細(xì)節(jié)問題。（幾周之后，信諾將同Aveksa簽訂一份合同。）

安全閑談

在布魯姆菲爾德，舒馬爾德盡可能多地增加與職員同處的時間，就是吃飯的時候，也不例外。今天信諾的自助餐廳里就有他的身影，和他一起用餐的，有貝列荷、業(yè)務(wù)流程外包部門的經(jīng)理史蒂夫·托馬斯（Steve Thomas）和信息保護(hù)部門主管艾米·班尼特（Amy Bennett）。由于會議結(jié)束不久，大家的談話內(nèi)容仍然圍繞著安全這個主題，紛紛交流著所聽到的個人數(shù)據(jù)和隱私保護(hù)方面的新方法。

下一個安排，定于下午1：00，同信諾法律委員會以及舒馬爾德隱私團(tuán)隊幾名成員舉行一場半小時的短會。然后是和醫(yī)療保健服務(wù)部門副總裁托德·李（Todd Lee）30分鐘的聊天式商談，一起推敲解決困擾信諾呼叫中心和其他服務(wù)業(yè)務(wù)的安全隱憂的辦法。李特別關(guān)心公司4,500個臺式機(jī)受到垃圾郵件影響的事情?！澳鞘且驗槟阍L問了那些不該訪問的站點。”舒馬爾德開玩笑說道，然后他向李保證：會跟蹤此事。

舒馬爾德一整天的談話中幽默感十足。他的才智“助他度過許多關(guān)口，尤其當(dāng)年他孤軍奮戰(zhàn)的時候?！笔访摖栒f。

和李會談結(jié)束后，舒馬爾德暫時擱下了安全議題——他還要和公司多元化委員會的幾個負(fù)責(zé)人召開一場半小時的會議，討論公司雇用少數(shù)族裔從事IT工作的事情，參會人員包括人力資源高級主管馬特·辛茲（Matt Hintz）和人力資源經(jīng)理吉恩·麥基爾（Jean McGill）。麥基爾希望信諾建立一個正式的經(jīng)理人員選拔機(jī)制，更好地反應(yīng)職工隊伍的種族成分。去年初委員會成立不久，辛茲就吸納舒馬爾德為執(zhí)行發(fā)起人。辛茲指出，最近委任胡安·康德（Juan Conde）為醫(yī)療保險部門的CIO，就是多元化的一個范例。

“選擇克雷格進(jìn)入委員會可不是拍腦袋的決定，”辛茲在會后說道，“他認(rèn)為，信息保護(hù)關(guān)系著方方面面，即使非核心競爭力層面的工作也同等重要，他還把這種想法變成了一個規(guī)劃，讓每個人都認(rèn)識到自身在其中所扮演的重要作用。多元化是每個人的工作，就如同信息安全一樣?！?/FONT>

長長的一天終于結(jié)束

長長的一天終于快要結(jié)束了。舒馬爾德再次與夏普德和IT部經(jīng)理馬克·布朗（Marc Brown）會面。他們檢視了同安全相關(guān)的26個項目，包括備份磁帶加密、臨時文件清理軟件以及電郵加密服務(wù)。

會談中，舒馬爾德詢問某一個供應(yīng)商——他要求不予透露——是否已把反間諜軟件增加到軟件的最新版本中。布朗和夏普德都不知此事?！澳悄銈兪欠翊_定，他們知道我們會因此而不高興？”舒馬爾德問?！拔覀円呀?jīng)鄭重地告訴過他們了?！毕钠盏禄卮鸬馈?/FONT>

然后，如同上面他所承諾的那樣，舒馬爾德讓布朗跟蹤李所反映的垃圾郵件問題，并建立一個列表，看公司里誰收到最多的垃圾郵件?！坝幸恍﹩T工，在網(wǎng)上注冊的時候，沒有把其他產(chǎn)品前面的默認(rèn)勾選清除掉，最后我們不得不變更他們的電郵地址。”舒馬爾德說。其間他的黑莓嗡嗡作響好幾次，但他連看都沒有看。他全神貫注投入到跟布朗談話的中，會議直到將近四點半的時候才告結(jié)束。

 然后他上樓，回到辦公室，開始了長達(dá)數(shù)小時的電子郵件和聲音郵件的回復(fù)。晚上，他還得趕往哈特福特（Hartford）的百利國際機(jī)場（Bradley International Airport）。舒馬爾德承認(rèn)，如果沒有信諾職工百分之一百的合作，他一切的工作和計劃，都是零。

“我們有多強(qiáng)取決于我們的弱點，”他說，“而最薄弱的一環(huán)就是那個根本不知道自己究竟在干什么的人?！边@個人也許粗心地把寫有客戶姓名和私人數(shù)據(jù)的文檔隨手一扔，而不是把它攪碎；這個人或許向同事或者業(yè)務(wù)伙伴發(fā)送了一封未經(jīng)加密的電子郵件，其中就包含了某個人的個人信息。消滅這些粗心做法、防范心懷不軌的內(nèi)鬼和黑客，這就是無休止的會議、不計其數(shù)的討論，以及不輕易放過每一個細(xì)節(jié)的做法所要達(dá)到的目的。（inforweeks）