几乎所有人都认为正确的安全茎尽可能多的利好政策,因为它从技术,但你没有听到太多关于创造伟大的策略。Arun DeSouza在惯性汽车系统公司负责政策和更多的工作,该公司是一家塑料燃料系统的制造商,销售给世界各地的汽车制造商。公司在18个国家拥有4500名员工,不可能通过达成一致意见来制定政策。DeSouza解释了他用来塑造Inergy公司的安全策略,并分享了他对适当的身份管理解决方案如何使安全业务推动者,而不是一种负担视图策略。
几乎每个人都同意,适当的安全来自好的策略和技术,但你很少听到关于如何创建好的策略。Arun DeSouza在惯性汽车系统公司负责政策和更多的工作,该公司是一家塑料燃料系统的制造商,销售给世界各地的汽车制造商。公司在18个国家拥有4500名员工,不可能通过达成一致意见来制定政策。DeSouza解释了他用来塑造Inergy公司的安全策略,并分享了他对适当的身份管理解决方案如何使安全业务推动者,而不是一种负担视图策略。
在Inergy公司组织中的角色是什么?
我头一个叫战略规划和信息安全的全局组,这是信息系统和服务,我们称之为IS&S的一个部门。我到Inergy公司CIO弗朗索瓦Fromange报告,具有双重作用:我管理IS&S治理举措,如预算和风险管理。我还担任Inergy公司的首席信息安全官。
为什么惯性将战略规划角色与安全结合起来?
将这些领域联系起来的中心主题是治理和过程。当然,策略是一个持续的过程,它有助于促进IS&S和组织之间的协调,以确保IS&S满足当前和未来的需求。但是,当我们从事新技术项目以实现业务时,不应忘记安全的影响。另一个关键考虑事项是确定新投资的优先级和管理IT项目组合。
你是什么意思的治理?
治理是流程和纪律,以确保企业目标是在一个适当的纪律框架对齐。有几个不同的角度,包括会计和财务控制。再有就是治理集中在投资组合管理:确保项目来在预算之内,提供他们承诺的价值,并与对齐企业的目标。还有一个合规层到它。治理实际上是一个包罗万象的作用,为重要的商业管理学科的想法。这不仅仅是IT,这真是一个业务功能。我重点治理它,但治理可以扩展到整个企业本身。
谁参与了在英瑞杰塑造安全策略?
我们有一个跨职能的团队,包括人力资源、IS&S以及法律部门。这个团队有各种各样的代表,但目标是提出一套基于行业最佳实践和[国际标准组织]指导方针的核心政策。
我们创建使用我们的母公司政策和行业最佳实践稻草的人的政策。然后,我们通过部分的工作部分,只是提炼它通过[微软的] NetMeeting和电话会议。在某些情况下,我们不得不从从我们公司Inergy公司的位置和母公司的法律部门的人亲自出席会议,以及确保政策没有与任何特定地区的任何隐私或其他法规相抵触。
|
被任何部门基层员工参与?
没有,只是一个核心团队提名的执行发起人,谁在当时人力资源的副总裁和IS&S的副总裁。
最终,员工不得不忍受这些政策,那么你如何得到他们的买入?
在40多个地点,拥有4500名员工的公司里,你不可能真正让每个人都满意。我们采取的方法是首先从我们的执行赞助商——人力资源和IT的副总裁那里获得支持。然后,我们有一个由公司高管组成的管理委员会。他们会和自己的直属经理、下属讨论任何问题、意见或担忧。在一些情况下,我们做了一些修改。效果很好。我认为人们接受它要比我们要求那么多人提供意见然后不能及时完成任何事情要好得多。此外,我们也考虑了我们的母公司的安全政策和其他地方,所以我们有一个很好的想法,什么是物理上可能的,而不是做一个空想的政策。
什么时候这一切发生的呢?
此安全政策最初是在2003年发布。
你随时间推移进行修改?
我们还没有作出许多修改的核心政策,因为它是非常全面的。它在这四个部分的计算机使用,电子邮件和语音邮件的使用,互联网的使用,以及合规性和纪律处分。这是一个简单的英语政策,即平均每位员工都能理解。不时,我们已经开发,以解决某些情况下的辅助政策。例如,可接受的互联网内容政策,说什么网站,你不能去,或无线接入策略和供应商准入政策。我们有一个吹出来,我们如何解决特定的利基安全需要的具体政策。
你如何衡量你在任何给定区域面临的风险程度,这样你就可以编写相应的政策?
经典的一个是供应商准入政策,因为我们希望有良好的机制,以允许外部供应商或客户的安全访问。关键是要评估风险的基础上要授予访问资源的水平。如果我们确定这是一个相当低价值的资源,如也许只是一个产品列表,我们可以使用基于HTTPS的FTP。欲了解更多高价值的资源,我们可以使用集成身份验证与Active Directory。
谁做的评估,以什么价值的各种资源有哪些?
这始终是一前一后与我们的关键内部业务合作伙伴,包括财务和人力资源问题作出决定。今天,我们这样做是在需要的基础上。在未来,我们将企业架构委员会,该委员会目前正在形成,并且将每季度召开一次在10月开始的范围内做到这一点。
您有什么政策的基石相对于什么是员工并不允许这样做?
我们不允许员工是违反可接受的内容政策的访问网站。他们也被允许在他们的台式机或笔记本电脑有问题的色情内容。这是通过我们的管理SurfControl实现。
到Inergy公司网络的远程访问,必须专门授权,并且只提供给公司的笔记本电脑的批准业主。即使你有顾问认为,需要大量接入我们的网络,他们必须提供笔记本电脑或台式机与公司标准杀毒软件之类的东西。员工也除非张贴首先已经批准管理层不得将公司机密材料的任何可公开访问的互联网的计算机系统上。在同一个主题,无线接入是由配有标准的安全控制公司批准的笔记本电脑只允许。还有我们正在考虑的其他领域,如即时消息的政策。但是有一个实用性有:直到我们找到一个很好的解决方案,我们不会只锁定下来。我们尝试用解决方案来平衡控制,而不仅仅是推出追杀业务协作的政策。
如何监控所有这些策略的遵从性?
我们使用的大部分荣誉系统。我们不想过调,但我们采取一定的预防措施。例如,我们有定期审计管理员运行看是否有人试图侵入域控制器或我们的代理服务器,也许看我们的日志。这提醒我们,某些事情,如果我们需要采取行动,我们做的。因此,其实它与发现和让员工帮助我们与安全进程平衡选择性的技术审核的组合。而人们也出面在某些情况下[提醒我们违法行为。
什么是有些情况下员工会挺身而出?
举例来说,如果他们看到有人想看看他们的计算机上令人反感的内容。
你如何教育你的员工关于你的政策?
在大多数国家,员工经过一个标准定位会议。作为其中的一部分,还有的是需要做的事情的清单。其一是,它们被引入到由当地人力资源组的安全策略。在一些国家,他们必须签署他们已经读它,如果他们有任何问题,他们可以与我联系或本地IT员工。每年两到三次,我们也发布安全通讯或点出版物。如果有紧急情况,人们需要了解,这样的病毒爆发,那么我们发布使用电子邮件和我们的互联网门户网站在紧急情况下。我们倾向于使用我们的门户级联这些通信。
员工不遵守规定的后果是什么?
通常情况下,事故会报告给当地的人力资源部门和我。我们与适当的指挥链一起工作,以解决这一问题并采取适当的行动。结果可能会被记入人事档案、受到训斥或其他纪律处分,甚至被解雇。这是相当简单的。
您如何在生产系统上实现您的策略?
主要做法是有一个多层次防御,包括防火墙,代理服务器,防病毒和QoS设备,所有一起工作,以确保在每一点上有某种备份的。至于访问控制得好,我们有对企业防火墙和代理服务器的规则。在代理服务器,我们有SurfControl的内容过滤系统,以确保人们不能去那些不认可非商业站点。我们也有垃圾邮件过滤为我们所有的面向Internet的电子邮件,以确保我们没有得到病毒和恶意软件。
公司总部设在法国,在18个国家设有办事处。在制定全球安全政策时,这会带来哪些挑战?
每个国家都有自己的具体挑战。因此,政策的制定过程中,我们始终在很大程度上依赖于咨询和指导,从内部Inergy公司或我们的母公司的法律部门,根据不同的区域。例如,在法国有称为CNIL的组织[国家委员会L'INFORMATIQUE和des自由法],这就好比消费者安全监督。它具有隐私保护非常严格的准则。因此,特别是在法国,在那里我们的母公司和公司总部的基础,我们必须平衡这些类型的任务。
谁是负责跟踪的新规定?
在美国,我读了雷竞技比分它。在其他国家,我们在每个地区公司法律部门是提醒我们,如果他们遇到我们需要做一些事情。
但我们在Inergy有一点喘息的空间,因为我们是一家私营公司,所以我们不必像上市公司那样严格遵守所有规定。
有了这样一个庞大的队伍,你怎么教育人们在那里的各种威胁,尤其是那通过电子邮件到达日常社会工程攻击的新形式?
我们有被绑定到安全策略的最佳做法。指导密码,电子邮件该做什么和不该做什么,这样的事情。很显然,我们试图去教育他们,但随着时间的推移,人们忘记了。因此,我们继续重申该消息。我们必须使用方向,通讯和定期在线研讨会的组合。在未来,我们会做网络研讨会来教育他们。
您认为安全性在哪些方面可以成为业务的推动者,而不仅仅是员工和业务的负担?
我能给出的最好的例子是身份管理领域,因为良好的身份管理提供了许多好处。您可以通过在提高安全性的同时尽量减少对多个密码的需要,以降低成本的方式提高工作效率。这就减少了帮助台工作人员重置密码的负担,这样他们就可以专注于更高效的工作,并防止员工长时间被自己的系统锁住。如果人们必须用50个不同的密码登录50个不同的系统,那么他们的效率就会降低,安全就会受到威胁因为他们开始在笔记本电脑下面粘贴便利贴之类的东西。