在2002年的时候,TriWest Healthcare Alliance公司参与了国防部的一项竞标。在那次竞标活动中,他们试图取得一份管理军方人员医疗保健工作的合同。
但是,在谈判进行到几个月的时候,TriWest遭受到了一次严重的安全入侵。对此,TriWest的CSO和后来的联邦医疗保健承包商,John Pontrelli先生表示:“有人用一张偷来的智能卡入侵了系统。他们偷窃了记录有50万份受益人记录的三张硬盘。”
在盗窃事件发生时,TriWest的环境安全是由设备部门负责的,而信息安全则是CIO的责任范围。
CIO被解雇了。TriWest雇佣了Rick Green作为新一任CIO,Pontrelli作为新建立的CSO岗位的人选。Pontrelli对CEO负责,Green对CFO负责。
Pontrelli在最近的波士顿IDC论坛和博览会(Boston IDC Forum and Expo)上说,他和Green必须要学习如何在公司中协同工作。媒体中出现的重大的安全事故说明了环境安全和信息安全管理需要进一步加强。因此,专家认为,对CISO的需求将继续增加。健康保险流通与责任法案(Health Insurance Portability and Accountability Act)和如Sarbanes-Oxley法案的安全规范曾强了这一需求。
很多机构在最近才在他们的企业中设立了CISO这一职位——TriWest也是如此。信息安全相对来说是一个较新的行业,特别是对那些中小企业来说。而对于那些具有IT背景和具有安全背景的人来说,都有很多东西需要学习。
Pontrelli说,他的专长在于环境安全,但是在到TriWest之前,他突击学习了一些信息安全方面的知识。Pontrelli意识到明了信息安全的重要性,通过了Certified Information Systems Security Professional (CISSP)和Compete-Protect-Perform (CPP)认证。但是,虽然他可能已经准备好和CIO协同工作,但是Green方面却缺少和CSO一同工作的经验。
Pontrelli说:“我对他说,如果出现一个信息安全漏洞,我会和他一起出现在那里。对他来说很重要的一点是:我说,在我们发现问题(有关IT安全的)并进行评估的时候,我们会来找你,而不是避开你。”
尽管两人都十分繁忙,但是Green和Pontrelli还是随即开始紧密地工作在一起。(从Green本来预定和Pontrelli一同发言,但中途有事被叫走,留下Pontrelli一人进行讲演这一事上可以看出他们有多忙。)
Pontrelli说:“我们建立了每月一同开会的机制。曾经有三四次会议被取消了,于是我们就在午餐时间来进行讨论。这就象锻炼。到哪(体育馆)很困难,但是一旦我到了,我会很高兴我来了。如果你能经常性地与你的CSO会面讨论,我认为没有什么问题是不能解决的。”
随着共同工作的展开,Pontrelli和Green改变了TriWest应用开发的过程。Pontrelli说:“我请他让我在开发的早期就进入到开发过程中,而不是当项目进行到95%时才这么做。”
Pontrelli认为,在协同工作中,CSO和CIO需要明确两者之间的界限。他们还需要不断地向对方明确自己的角色和任务。他还说,他们同时需要在CSO对于机密性需求和CIO对于提供互通性的本能中寻求平衡。
Pontrelli说,正象CSO可能缺乏对信息安全的认识一样,IT专业人士也很可能缺乏对环境安全的基本理解。但是一个象Pontrelli这样曾经在美国特种部队服役,并具有刑法学位的CSO来说,是可以帮助设计一个IT部门如何实现安全管理的。同样,一些CIO可能会不得不和一个是退伍老兵的,没有信息安全经验并没有兴趣和CIO合作的CSO一起工作。
最后,Pontrelli讲到:“我们正在建立一个样板式的从环境安全的转变过程。一切都将围绕信息安全。这是很多人还正在思考的问题。”
他表示,“你至少可以坐下来和他谈谈。”
本篇文章共有 1 页,当前为第 1 页
