当托马斯Weisel Partners的公共去年去了,它被迫在总部位于旧金山的投资银行公司是如何处理它的一些戏剧性的变化 - 在CSO伯大炮的职位描述。她最近完成了公司遵循一切从管理到使用移动设备变化的政策和程序的18个月的再加工。展望未来,她看到的是目标,许多公司的650名员工的日常使用移动设备在地平线上的威胁,新的作物。
那里的报告结构是什么?你是IT组的一员,对吗?
我和我的CIO,谁报告给首席行政官员,谁是我们的执行委员会的报告的一部分。
这个结构对你来说是怎样的?
它的工作原理确定为我。我在它开始了,所以我有很多IT的关系,我不能让我的工作没有做到的。However, because I’ve been here for a number of years and because of my past duties running engineering and infrastructure — of which a part was the security of the desktops, laptops, servers and network — I also have relationships with the compliance and legal teams as well. As a CSO, you cannot get your job done without those relationships. For me it would work either way. I think you have pros and cons on both sides.
什么是一些你必须遵守的主要法规?
在经纪人/交易商方面,有许多NASD和[纽约证券交易所]的规定影响IT组,从书面通信规则说,我们必须存档所有的即时消息和电子邮件。我们还必须担心移动设备,以及人们用它们做什么,这可能超出了我们现有的政策、程序和法规。我们被要求屏蔽那些会让我们不遵守规定的网站,比如[IM site] meebo。用户可以在这里使用某些即时通讯服务,但我们不能使用任何我们无法记录或存档的即时通讯服务。我们有一个代理服务器允许IM网络,如美国在线,雅虎和MSN。
|
口头禅是基本上,如果您不能登录了,归档和监督它,你最好阻止它。这是很难做到的今天与为员工提供技术,如MySpace,播客和博客的选项。监管机构正准备发出许多新的通信技术对书面通讯和监管规则,将考虑到移动设备的新的指导,以及。因此,我们需要考虑限制仅是我们可以控制和日志访问的附加装置。所有这些事情都是一个问题。该技术允许用户灵活地做新的事情是远远领先的技术来阻止它,存档或以某种方式防止企业利用它。
你必须阻止事情的公司所有人或只是某些人?
这是全公司。我们记录和归档全公司。
你要保存档案多久?
规定规定三年,但如果你要进行任何形式的诉讼,你都必须保留它(直到诉讼完成)。因此,我们从1999年开始经营以来,一直保留着所有的电子邮件记录。似乎总有一些事情在阻止记录的破坏。
自去年2月上市以来,萨班斯 - 奥克斯利法案合规一直在我的生活了一年半的前列,并将继续如此。第一年,我们花了很多的时间工作,以确定我们是什么,我们需要做补救,这样我们就可以在Sarbanes-Oxley法案控制和线得到[对信息控制目标和相关技术]标准,我们使用作为我们一般计算的控制框架。在过去的四到五个月,我们一直在努力巩固附带新的和更新的控制和策略的行为改变。这是一个很多的人,并与IT部门合作,以确保我们总是尽一切一贯和下面的过程。
有哪些行为变化?
此前SOX,我们不得不变更控制一个简单的政策。当我们做了更改生产系统中,我们记录了它的一种方式。但在审查过程中,我们发现,它没有足够的控制,并没有提供必要的证据。因此,我们内置了一些新的工作流程和修改的政策和程序。
我认为最大的改变行为已经让人们以确保我们都这样做每一个时间,并确保有批准的测试的证据。不只是说:“我们做了测试,”但显示我们做了测试,通过你是怎么做到的或文档中的日志文件的书面文章证明它。如果我们没有文件和它成为样本集测试的一部分,我们在测试不及格,这是一个大问题。
有迹象表明已经改变了其他事情,如保持证据的小径,我们所做的一切。我们很多人用来保持材料的电子邮件。事件会发生在系统上和电话的人会发送一封电子邮件大约分辨率。我们大多数人会放弃电子邮件到一个文件夹或删除这些问题得到解决之后。但它是拉的证据很难出来的电子邮件。因此,有是一个很大的变化有跟踪所有的,我们做的事情更形式化的过程。这并不是说我们以前没有做的任务,但我们的证据步道是非正式和随意,以及证据并不总是在一个位置。
你在这里基本上是在谈论变革管理,而这却落在你——CSO?
我负责SOX和其他与it相关的控制——确保控制、政策和程序到位、可接受和有效。因此,我有责任确保我们正在这样做。
其他类型的安全隐患是什么做这些规定有哪些?
这是一切的控制。该条例规定,我们必须在控制一切,但技术动作快速,多次的便利和“酷”技术的因素超过控制和安全性方面。这就是为什么我担心移动设备。如果一个企业允许使用个人手持设备,也有不少安全隐患。如果你有一个供应公司,黑莓,我们几乎控制了设备的每一个方面。如果你带个人Treo我可以把你连接到我们公司的电子邮件系统,但还有很多电子邮件之外的事情,你可以做,但我们无法控制或看到。
你是如何处理的,目前?你发出自己的移动设备?
我们曾经发布过所有的黑莓手机。如今,黑莓手机仍然是主流,但现在也有其他设备被允许进入。几年前,对于公司来说,不购买企业设备在节约成本方面似乎是一个巨大的好处,因为如果你只看成本而不考虑风险,这些设备非常昂贵。现在我们在讨论是否要回到我们可以控制的设备。
我们有相应的政策来保护我们的数据和移动设备,并且我们在所有移动设备上执行这些政策,无论是公司提供的还是你自己的。还有与无法登录IM或非公司电子邮件有关的风险,以及多平台病毒和恶意软件的风险。关键是试图找出在遵从性和安全性方面的风险在哪里以及风险是什么。如果出现安全漏洞、病毒或有人从公司窃取数据,公司会付出什么代价?
我们也有关于个人即时通讯和非公司电子邮件的书面政策和程序。很明显,没有人会用我们无法登录或存档的电子邮件、即时通讯账户或服务来做公司业务。然而,我认为监管者真的希望公司能够通过技术来控制它。
它甚至有可能为控制这些东西的技术?
我不认为你可以用技术控制一切。每天我都能听到规避控制的新方法。我们可以控制一定的比例,我们依赖我们的安全供应商能够阻止事情,并对新的安全问题进行更新。但我不知道你是否有办法阻止每个人做每件事。技术是对政策、程序和培训的支持和执行。
你如何处理需要员工能够协作彼此对需要提供有效的身份管理,以确保他们没有看到他们不应该看到的数据吗?
一个我们今年开工的项目是一个全公司的数据分类项目。尽管我们采取了数据的安全性和工艺,我们并没有对数据片段,如“机密”或分类标签“公开”。该项目是与个体工商户合作,研究他们所使用的信息和偏析机密和机密信息的手动过程。
讨论的另一个主题是用户配置。目前,我们有一个非常手工的过程,这使得SOX的证据具有挑战性。这家公司是一家中等规模的公司,我们发现自己面临着大公司的挑战,但却没有大公司的预算。手工处理变得太麻烦了。所以,我们正在研究自动化这些过程中的一些,用户配置是一个正在讨论的问题。
w ^帽子是一些新的风险,你所看到的,或者你希望看到什么?
随着存储卡技术对大量的新手机,它们基本上是大容量存储设备,所以你必须对公司数据和知识产权以及敏感信息的安全隐患。我认为,移动设备也成熟了恶意软件和病毒的多平台。我不知道它是如何的一切会在未来18至24个月改变,但我觉得我们会看到很多的问题和挑战。有没有对像你有一台笔记本电脑或台式机系统在移动设备上的保护很多选择。我们不能让所有的今天那里都出了设备的防病毒软件,并且没有提供成熟的保护机制,如行为分析模块。电子邮件病毒已经证明,它很容易让人们点击任何东西,所以我不用担心,可以从一个手机操作系统跨越到内部网络的跨平台病毒。
所有这些移动设备和USB设备本质上都遇到了防止数据泄漏的问题——你是如何处理的呢?
我们致力于开发风险缓解技术,以尽可能多的方式获取数据,并利用政策和程序来解决技术所不包括的问题。我们为笔记本电脑加密,我们有针对移动设备的政策,我们有超时和密码的规定。作为数据分类项目的一部分,我们正在寻找任何属于知识产权、机密性或个人识别[信息]法律和法规的数据,并在这些法律和法规中增加保护机制。
你加密整个硬盘驱动器,然后呢?
是的,我们是的。我们觉得这最大限度地减少我们的风险比加密硬盘驱动器的只是一个部分,并根据人员的所有文件保存到特定的位置更好。
将来,我们可能还会研究其他技术,这些技术将有助于防止其他领域的数据泄漏,例如的Vontu或其他提供者。(Ed。注:Vontu产品声称可以在流量通过网络查找敏感信息时监视流量。]
您还使用了哪些关键工具来保持一致性?
赛门铁克防病毒,网络行为分析工具的企业,Websense内容过滤,笔记本电脑加密,并且我们的系统是记录和存档电子邮件和IM通信。我们也做漏洞扫描整个企业,以确定哪些系统可能会受到攻击。现在,我们正在寻找一些可整合事件的事件监视工具。我们白天看着这么多的活动,这将有利于我们巩固和他们相关。
是否遵守各种规定采取安全资金远离领域,你认为这笔钱将被更好地用于需要?
对我们来说,现在还没有。问我这个问题在几年。眼下遵守一些规定需要给我们的预算安全技术,我们要落实。所以,我要说,到目前为止,它已经帮助。
你是否认为有些地方的人们过于松懈了?