引:信诺的年营收额高达165亿美元,为了更好地指导这家雇员保险服务供应商在信息安全层面的操作,舒马尔德煞是严格,决不放过任何一个细节
在美国康涅狄格州布卢姆菲尔德镇(Bloomfield, Conn.)信诺保险公司(Cigna,下称信诺)办公大楼一间阳光明媚的小型会议室里,光彩照人的木头桌子的另一头,坐着克雷格·舒马尔德(Craig Shumard)——这家保险公司的首席信息保护官(CISO)。现在是早上10:00,他正耐心倾听两名副手对一家潜在供货商的讨论。忽然他探身向前,用那略带威严的男中音问道:“他们是谁?他们有什么类型的客户?他们在金融业服务市场的渗透程度怎样?这些情况有助于我们了解他们产品的成熟度。”
信诺的年营收额高达165亿美元,为了更好地指导这家雇员保险服务供应商在信息安全层面的操作,舒马尔德煞是严格,决不放过任何一个细节。
确保信诺的IT安全策略在客户的眼中行之有效,这就是舒马尔德的首要任务。顾客心之所系若不优先考虑必定会产生严重后果,这一点他心中非常有数。信诺的利润出现过滑坡,从2002年的193亿美元骤降至2006年的165亿美元,降幅达15%,罪魁祸首就是存在几个问题,其中包括一个造价高达10亿美元的IT改造和客户关系管理(CRM)系统项目。对于一个市场竞争异常激烈的公司而言,出现这种情况意味着形势不妙。不过,对细节的高度关注其实是舒马尔德的一贯做事风格。
权限管理会议是舒马尔德从早上9:00开始的这一天8个会议中的第二个,信诺销售效能主管塞西尔·哈得逊(Cecil Hudson)一起参加了会议。第三个会议的议题则是,对一家供货商的访问管理产品做最后的检视。之后,他将与医疗保险服务部门副总裁进行探讨,会见公司多元化委员会的几名成员。最后,他还将审视所有同安全相关的IT项目。此外,还有两场敏感度较高、记者不方便参加的会议:一是同公司法律顾问探讨应用程序访问的问题;二是与副总裁研究风险管理问题。
作为这名安全主管典型的一天,舒马尔德需要专心致志地忙于庞大的数据检视工作——信诺内部9,000台笔记本电脑、2.2万台桌面电脑,数千个应用程序,以及由2.65万名雇员和分布于全球的4,700万名使用其服务的人员所产生的140TB存储数据。但是,这些还不是全部,舒马尔德说。因为就权限管理而言,还余下大量工作,其中多数都是同客户对数据安全和隐私的关心休戚相关。
老板之所想
舒马尔德再次回到文章开头的办公室。这次与他将与信诺工程与标准部门的信息保护主管约翰·夏普德(John Shepard)、基础设施安全的趋势与计划部门主管塞吉·贝列荷(Serge Beaulieu)进行为时一个小时的讨论。他们俩的核心工作是保护客户和雇员的个人数据,也就是舒马尔德8年前被任命为数据安全副总裁以来所主管的工作。当时的舒马尔德单枪匹马。而现在,舒马尔德的信息安全部门成长迅猛,已经发展成一个拥有72名雇员的机构。原因是一方面信诺给予了客户在线访问的便利;另一方面因其他大公司的数据保护工作出现闪失,安全主题再次处于显要位置。像夏普德和贝列荷这样直接向舒马尔德汇报工作的共有7人。他们向舒马尔德简要报告,在IT部门自身开发之外,创建应用程序权限管理能力的多种其他途径。但哪怕是交情甚笃的老供货商,如毕益辉系统公司(BEA Systems)、CA公司、Jericho系统公司(Jericho Systems)和Securent公司,舒马尔德都不轻信其承诺,因为他仍不清楚这些供货商是否具备管理数以万计客户的能力。
一小时的会议一结束,舒马尔德的注意力迅速转移到刚递来的一张纸上。这张纸折叠着,上面还标着红色“紧急”字样。他掏出了黑莓(BlackBerry)和眼镜,然后敲键盘回复讯息,似乎是某个供应商需要他立即给予答复。黑莓上的对话持续了一会儿。然后舒马尔德抓起一瓶水,径直走向下一个会议室。
黑莓急电
舒马尔德鼓捣起黑莓,毫无疑问是有要紧事要办。因为他基本上把电话和电邮留到了下午5点以后处理,以便确保能把所有的注意力集中到他所会见的人身上。
舒马尔德的家紧邻费城市区,与他同住的还有他的妻子和两个儿子——一个是宾州州立大学三年级学生,另一个还是高中生;他的妻子南希(Nancy)从事特需儿童的工作。每周的工作时间,舒马尔德忙碌地在两个地方之间来回奔波——一头是信诺在费城的总部,另一头则是布卢姆菲尔德镇150平方英尺的办公大楼,也就是信诺医疗保健部门的总部。
舒马尔德在信诺工作了25年,对业务、法规和技术要求了如指掌。他原在资产与事故部门中负责商业风险的投保业务,后来升任主管,然后一级级往上,并于1999年接管信息安全业务。
“那时,公司对于信息保护毫无主张。”信诺现任首席信息官(CIO)斯科特·史脱尔(Scott Storrer)说。史脱尔2001年进入公司,担任服务部门主管。当时,和其他业务经理一样,他对舒马尔德的主张心存疑虑。“我所听到的就是克雷格向我们要钱。”史脱尔说。但当他听完舒马尔德将信息保护与业务冲击和风险进行捆绑的计划描述之后,史脱尔心悦诚服了:“我真想多给他一些钱。”
在接下来的5年里,公司的安全开支计划翻了一番甚至是两番。但史脱尔拒绝透露信诺高达5亿美元的IT预算中有多少被分配到这个领域。他说,数据安全“正逐步成为终端用户及他们雇员做决定时不可或缺的一部分。” |
