布鲁斯Bonsall,安全在万通金融集团联合设立金融集团自1991年以来,旨在表彰说最好的金融行业多年来的变化增加了协作打击威胁。不过,这并不是说,他不希望他的公司的安全级别的区别。“有老话说,解释说如果你和一个朋友在森林里徒步旅行,一只熊袭击,你没有能够逃脱的熊,你只需要能够超过朋友,“CISO的斯普林菲尔德说。,公司。“如果我们有更好的安全比公司在街上,然后他们就越有可能会袭击。”Bonsall, who has 50 people in his charge and oversees management of some 3.4 million identities, recently shared more of his thoughts on network security with有个足球雷竞技app丹尼斯Dubie高级编辑。
|
2007年哪些项目你最重要的药物清单?
我们的优先级分为几行。一是自动化很多我们所做的手工工作,特别是在身份管理区域的id添加到所有系统和设置的访问,人们所需要的。我们需要自动化的原因是,虽然我们非常擅长[ID管理],我们成长,我们不能。我们可以一直扔的身体,但我认为通过自动化,我们将更加灵活。公司处于增长模式,我们希望在一个位置我们可以收购其他的公司,并让他们快速。如果我们要做手工,它能阻碍我们的成长。
你考虑新技术帮助确保基础设施吗?
另一个领域是改善我们管理的业务信息安全的能力。直到最近我们一直集中在战术的实施对策和防御应对威胁和新技术。我们已经穿上了一层又一层的防火墙、入侵检测和访问控制。但现在我们必须能够管理所有这些的技术,能够更全面的了解我们的安全姿势在任何给定的时间。你通常听到这称为安全信息管理。我们插装很多技术我们仪表盘和计分卡来帮助我们更清楚地了解我们如何管理安全。整个想法是管理风险。你需要了解你所有的资产,他们是多么宝贵的你,如何威胁他们,然后制定一些重点在哪里投资安全的美元。和它真的从变化当威胁兴衰所以你必须能够适应。
你认为在信息安全的最大威胁?
真是的趋势更复杂的攻击,混合威胁和多重向量的攻击。坏人变得越来越复杂,越来越有针对性。过去,似乎很多攻击和探讨真的是随机的,但现在他们的目标是金融部门。他们正在寻找身份制药。
有什么技术保护比其他人反对这种未知的威胁和有针对性的攻击?
修补系统漏洞是其中一个最重要的方面。这些攻击是利用一些已知的漏洞。不幸的是最终用户经常成为目标,和击键记录者被用于获取密码。我只能补丁万通金融集团联合设立的系统,旨在表彰,我们必须教育我们的用户,所以他们自己补丁。
你如何保持领先的修补周期从不同的供应商吗?
我们现在正在与我们有工具,在实施阶段,那就是我所说的合规监控。我们正在努力确保我们遵守我们的标准配置。我们有软件漏洞扫描器,扫描系统和网络。我们扫描一切。
如何让最终用户和客户来保护他们的信息的时候你的手吗?
这是一个艰难的一个。不仅我要教育我们的家庭办公人口和机构场力——这是分散在全国各地,但现在我们已经与客户沟通,因为他们实际上是我们扩展网络的一部分。例如,当他们使用电脑在家,检查他们的401 (k)账户,如果电脑已经受到威胁,那么他们在面临风险时使用我们的系统。我们正在与我们的营销和客户服务部门提供论据。例如,TJX情况带来了不少询问我们的呼叫中心如何万通金融集团联合设立预防旨在表彰,具体的事情。
你如何平衡新技术采用对安全问题吗?
如果工具获得足够的大众的欢迎,这是不可避免的你不能抗拒它。我们必须一点前瞻性和很多关注技术和采用的技术。有些时候我们会说我们不建议使用某些技术在某些能力。例如,通过IP语音是其中之一,如果我们使用它在我们的内部校园网的安全是更大的然后我没有问题。但在公共网络上使用VoIP是我们可能会抵制一点。
你在等标准成熟?
我们看到的是,当新协议他们往往是有点不完善,控制往往不会和安全往往没有那么强劲。从安全从业者的角度看落后于出血边缘往往是一个更舒适的地方。但当我们知道业务是反复使用一些技术然后我们需要挺身而出,找出最好的方法来控制它和政策制定。
什么是你的新兴网络访问控制(南汽从供应商如思科和微软)技术吗?
有很多供应商在该地区销售产品,我们现在正在评估NAC工具。艰难的是注意所有这些新兴技术足以找出如果他们蒸汽或者如果有真正的物质。在大多数情况下,建筑的安全是一个好主意。有时是有意义的抽象的某些类型的安全。我们远离利基产品和最佳的产品套件。
你认为在构建安全成为一个有价值吗操作系统和Vista,比如微软已经做了吗?
这个概念很好。我不知道微软已经完全达到了。现在有绝对安全改善Vista,但是我们不认为他们是重要的足以迫使我们搬到Vista。
什么人在你的位置上学习公共安全漏洞等公司TJX,损害客户数据?
第一次认识坏事情发生,不要在否认问题的存在。因为它还没有发生这并不意味着它是不可能发生的。我们开始加密所有笔记本电脑五,六、七年前,在许多场合都救了我们当硬件可能失去工作,数据可能已经。有市场的身份这一事实就足以吓到任何人。如果你有非公开个人信息在你的系统上,你最好希望这是一个目标,尽你所能保护它从一分钟进入系统直到它的删除。
你觉得在发生此类安全隐患应该负责?
视情况而定。有时疏忽,有时它是一个替罪羊。如果你解释问题,商人和他们的资金,却没有能够把正确的对策,然后我想说的是业务方面的错。但是如果你不够解释得很好,那么你就是玩忽职守。显然有一个平衡的钱和精力花在获得任何东西。你不能花的比你保护的东西的价值。
是什么改变了更好的在你20年这个行业呢?
我很高兴关于金融业的方式了,以帮助改善我们的弹性的威胁。有很多伟大的业内同行之间的合作,也有很多交叉行业讨论。罪犯被组织,但好人也是如此。
更好的与竞争对手分享安全策略还是让万通金融集团联合设立,旨在表彰劣势吗?
好的安全可以是一个积极的区别,它可以是一个竞争优势。但我不希望我们的同伴是一个目标。我希望他们的系统是安全的,因为如果他们不是,他们的系统可能是一个发射台或撒布机的下一个破坏性的病毒。我们希望我们的同事受到良好的保护,因为它减少了影响我们遭受坏的东西。所以我们不隐瞒我们安全系统是如何从我们的同行企业试图保持优势。我们只是尽量在我们所做的比他们更好的业务。
解释你的一些责任在万通金融集团联合设立金融集团旨在表彰。
我是一个副总裁兼CISO我全面负责信息安全的各个方面对万通金融集团联合设立,旨在表彰我们的一些子公司,但不是全部。从设置运行政策,发展战略,进行认识和教育,以维护安全基础设施与防火墙、入侵检测系统和加密的服务器上。我做很多的网络流量监测入侵的迹象。还我们监控自己的配置设置,以确保我们符合自己的政策,例如,如何强化服务器上。
你的团队有多大?
现在我们有超过50人的团队,这在过去的两年里几乎翻了一番。这种增长在很大程度上是由公司本身的发展,而且很多额外的监管机构的审查。
你的环境是什么尺寸?
我们有超过1000台服务器和一些6000台电脑连接到网络。我们有一些地点在美国,和我们的网络横跨亚洲和欧洲。雷竞技比分我在斯普林菲尔德的校园和恩菲尔德,康涅狄格州,位置和一些子公司。奥本海默基金,一些是大到足以有自己的安全团队。我们仍然协作和交换最佳实践之类的东西,但他们有自己的政策,我不要求你。
参与组织制定政策是什么?
我们有一个过程,我的管理团队和其他部门的高级成员每周见面,我们讨论技术趋势,趋势和监管趋势的威胁。我们想到我们可能需要制定什么样的政策。作为一个例子,使用黑莓和无线这样的技术发展新技术来对我们考虑什么类型的政策我们需要帮助控制它。我们制定的政策。我们有一些在我们的法律部门律师与我们合作,我们给他们寄政策以确保合法的政策要站起来。然后我们发布季度政策我们不需要插入改变每天更有序。在任何给定的时间,我们可以说在这个季度这些政策将有效。我们将报告发送给合规顾问成员代表每个业务线在每个企业领域,这样他们就可以告诉我们的政策是否他们的商业成分可以忍受的。
似乎与It安全成功的一半是让用户遵守政策。你如何处理?