第四章案例研究--------------------- 基于业务驱动的企业安全架构(翻译,原作者John Sherwood ;Andrew Clark; David Lynas)---仅学习使用

第 4 章:案例研究

本书的目的是提供一个高度实用的指南,尽可能将作品与读者的现实生活环境和经历联系起来。 因此,它借鉴了尽可能多的案例研究。 一些案例研究是一次性的小事,通常来自作者在许多不同行业领域遇到的真实例子。 然而,大部分案例研究材料已合并为一个虚构的案例研究:星际银行和金融服务公司 (IBFS)。
在本章中,您将了解用于在许多其他章节中提供示例的 IBFS 案例研究。

4.1 星际银行和金融服务公司

这里描述了 IBFS 的初始轮廓。 随着本书的展开,有关 IBFS 的新信息将在其相关章节中呈现,并在整本书中形成一个全球金融服务机构的连贯、详细的图景。
通过 IBFS 的示例,目的是对如何着手开发企业安全架构进行务实的描述。 它将为读者提供一个清晰的通用框架,可以在任何业务环境中具体和独特地应用,无论该业务是否与 IBFS 属于同一行业。
星际银行和金融服务公司及其员工完全是虚构的。 与任何真实组织或人员的任何相似之处纯属巧合。 另一方面,小说是根据这个行业的广泛经验构建的,所以希望业内的每个人都能认识到它是现实的。

4.1.1 星际银行和金融服务公司概述

星际银行和金融服务公司 (IBFS) 是一家全球性公司集团。 顾名思义,它的商业利益涵盖了整个商业世界的所有银行和金融产品和服务。
IBFS 业务部门包括:
 零售银行业务(活期账户、直接借记、长期订单、借记卡、信用卡、支票支付、互联网支付);
 公司银行业务(经常账户、外汇、国库、支付);
 一般保险(家庭、汽车、旅行、医疗保健等);
 人寿保障;
 养老金;
 个人投资产品(单位信托、年金、每个国家或地区的特殊投资产品);
 储蓄、贷款和抵押贷款;
 资产管理(代表管理投资组合
 客户);
 托管和其他代理服务;
 证券交易(买卖股票、股份和债券);
 企业融资(就合并、收购、撤资和股票市场上市提供咨询);
 发票融资(保理 - 为销售分类账的抵押品提供分类账价值百分比的融资)。
IBFS 是全球性的,在 84 个国家/地区建立了许多不同的公司。 因此,它必须处理各种各样的多文化、多语言和多时区问题。
IBFS 通过各种渠道营销和销售其产品和服务,包括分支机构、独立代理、报纸和电视广告以及呼叫中心,以及越来越多的互联网(万维网和电子邮件)。 正是业务的后一种发展推动了一个项目来定义企业范围的安全架构。
IBFS 的早期互联网产品包括一些基于 Web 的系统,这些系统非常具有战术性,市场渗透率很小,由一些业务部门内的小型项目团队设计和运营。 现在,IBFS 需要采取更具战略性的方法,通过开发能够支持广泛的新业务应用程序的基础设施(技术和流程)。 该企业安全架构计划是该战略发展的一部分。

4.2. IBFS 的采访

IBFS 的企业安全架构项目正在进行中。 为了深入了解 IBFS 面临的业务问题,架构团队的业务分析师与高级管理人员进行了多次访谈,以了解 IBFS 业务的企业级安全架构的业务需求。
以下访谈笔记总结了团队在访谈过程中获得的主要信息。

4.2.1. 采访集团首席执行官大卫·史密斯

大卫史密斯常驻纽约。 52岁的他从哈佛毕业后一直从事银行业。 作为“纽约人”,他曾在伦敦、法兰克福和香港任职。 他已经在 IBFS 工作了 10 年,最后四年在他现在的位置上。 他通过一系列重大收购监督了该组织最近的发展。
大卫史密斯:采访笔记
“IBFS 是一家全球性公司,拥有许多重要品牌,并在一个多世纪以来享有盛誉。 我们由股东所有,我们承诺在他们的投资期间最大化他们的财务回报。 我们通过长期投资于人员和技术以及开发、营销和销售优质产品和服务来实现这一目标。 我们的目标是通过提供物有所值和优质的服务与客户保持持久的关系。
“银行业比几乎任何其他行业都更依赖于信任。 客户把他们所有的钱都给了我们,并要求我们照顾他们——你还能信任一个组织吗? 如果我们被发现违反了这种基本信任,那么我们与客户的关系以及我们在市场上的声誉将受到极大的影响。 你可以承受一些孤立的事件,但如果有信任被破坏的事件不断发生,那么你就完了。 在我们所有的信息系统中,保护这种信任必须是主要的业务需求。
“我们的业务战略基于保持我们在市场上的领先地位。 为实现这一目标,我们将继续重组我们的组织并重新设计我们的业务流程,以跟上快速变化和发展的金融服务市场的步伐。 目前,我们专注于利用新技术,以提高我们在现有业务中的效率部门,并启用新的业务线和新的营销和分销方法。 尤其是互联网非常重要,我们将继续在这些技术上进行大量投资,以保持领先地位。这将使我们能够利用新产品和服务率先进入市场的竞争优势。
“我们也很清楚,当客户在银行家和保险公司手中遭受损失时,该行业可能会损害声誉。 我们将继续保持严格的法律和监管合规政策,并在处理客户事务时始终表现出尽职调查。”

4.2.2. 采访首席运营官胡安·卡洛斯

Juan Carlos,45 岁,目前在 IBFS 伦敦办事处工作。 他发现这个位置为他提供了与世界各地不同时区的同事的最佳接触,因为它跨越了远东和美洲之间的时差。 虽然他现在已经在 IBFS 工作了七年,但之前他在一家全球零售连锁店拥有高级管理经验。
胡安·卡洛斯:采访笔记
“作为首席运营官,我主要关心的问题之一是需要在真正的全球范围内运营我们的业务。 这意味着我们必须同时具备多文化和多语言能力。 我们还必须在所有时区和所有宗教日历中运行,这确实意味着 365 天 24 小时运行。 有人,某处总是在工作。
“地理分布也意味着我们必须将自己组织成虚拟团队,其中团队成员很少面对面见面,而且由于时区不同,他们的工作时间经常只是短暂重叠。 为了在这种环境中取得成功,我们必须最大限度地利用信息和通信技术。
“我试图鼓励我的经理团队将他们花在海外旅行上的时间花在与员工建立牢固的关系上,而不是在今天的运营问题上浪费如此宝贵的面对面时间(当然,除非有特定的危机 这促使了这次旅行)。 运营管理必须每天都在进行,无论您是否在场,因此我们必须创造最佳的远距离沟通环境。 技术,无论多么好,总是会干扰您面对面的特殊交流,这意味着我们需要建立良好的关系,以便在我们唯一的交流方式是使用技术系统的时候支持我们。
“话虽如此,新技术一直在出现,其中一些显着提高了个人通信的质量,所以我总是热衷于让我们的技术人员评估新技术并推荐我们应该采用的技术 让我们在精神上更紧密地联系在一起,同时保持地理上的分离。

4.2.3. 专访电子商务高级副总裁 Rosemary Brown

Rosemary Brown 加入 IBFS 时,她所在的保险集团三年前被 IBFS 集团收购。 她现年 48 岁,自 16 岁离开学校后一直从事保险工作。她曾在一家总部位于伦敦的公司工作,该公司多年来已成为全球性公司。 Rosemary 仍然对 IBFS 业务的保险方面有着浓厚的兴趣,但现在还负责在集团的业务活动中开发数字业务渠道。
迷迭香布朗:采访笔记
“在过去的美好时光里,我们曾经控制着这项业务。 我们过去常常告诉我们的客户他们可以拥有哪些产品和服务,他们可以在何时何地获得这些产品和服务,以及这些产品和服务将如何交付。 这一切都在改变。 这项业务正在发生转变。 未来将由客户来控制。 他们将领导这个业务部门,他们将确定其特征。 我们必须听取他们的意见并跟随他们。
“这意味着我们必须对客户和潜在客户的需求和期望非常敏感。 互联网赋予了人们权力并扩大了他们的选择范围。 他们将利用这种权力来选择他们觉得最舒服的提供者。 我们绝不能忘记,在网络上,客户只需点击几下鼠标即可将其业务转移到另一个提供商。
“‘客户关系管理’和‘客户服务’已经成为流行语,而且有充分的理由。 客户与我们进行业务往来的体验,无论是面对面、电话还是通过互联网,将决定该客户是否会继续与我们公司开展业务。 不仅如此,他们还期望所有这些不同界面的流畅性和一致性,并且他们希望我们了解他们已经告诉我们的关于他们的事情。 一旦我们知道他们的姓名和地址,我们就永远不应该再要求它,除非它要更改这些细节。同样,我们应该始终了解我们之前与该客户的所有交易,尤其是他或她与我们持有的所有账户、保险单和投资。
“我最大的挑战是在这样一个多样化的商业环境中控制客户关系管理的这些方面,其中有许多不同的业务部门催生了许多不同的应用程序开发项目。 如果这些项目中的任何一个在客户信息管理方面自行其事,那么我拥有的企业范围的客户关系管理计划将受到严重损害。

4.2.4. 采访集团首席财务官 Helmut Meyer

Helmut Meyer 现年 54 岁,常驻 IBFS 法兰克福办事处。 他在整个职业生涯中一直是一名金融人士,并且经验丰富。 他 18 岁开始在一家销售发票财务公司担任信用控制员,在此期间,他看到了大多数客户试图拉扯的伎俩,并学会了如何与难缠的人打交道。 此后,他在几家高科技公司从事财务运营管理工作,然后在 35 岁时加入银行财务部。他从 IBFS 晋升到现在的首席财务官职位,在那里他逐步培养了自己的铁腕管理手段。
采访笔记:赫尔穆特·迈耶
“这个行业的竞争压力一直在挤压我们的利润,因此盈利能力和现金流总是受到密切关注。 例如,我们对办公物业进行了大量投资以支持我们的全球业务运营,我们渴望变现其中的一些资产并更好地利用我们在全球的办公空间。
“如今,金融服务业务非常流畅,新的合作伙伴关系和合资企业一直在催生。 这些安排有时寿命很短,具体取决于市场条件,因此我们在合并、收购、撤资和合资企业方面处于不断变化的状态。 如果业务的一部分不再是利润表,或者不再是我们核心业务战略的一部分,那么我可能想向董事会建议我们将其出售。 或者,我们有时可能希望发展一家企业,只是为了以后卖掉它以赚取利润。 在所有这些情况下,我们必须小心确保我们可以根据当前的业务战略整合和分解企业使用的 ICT 系统和网络基础设施。 在我看来,不断变化的业务战略的灵活性是我们信息系统决策的最重要驱动因素之一。
“恐怕我对安全性持怀疑态度。 过去,我们付出了很多,却没有任何明显的好处。 我们在此架构计划下制定的任何计划都必须经过清晰的成本和收益分析。我希望看到我们的投资回报的明确证明。 我不相信我们所谓的“安全”有任何真正的商业利益,在某些情况下,在我看来,它实际上阻碍了业务。

4.2.5. 采访营销和分销高级副总裁 Brian Jones

布赖恩琼斯是通过集团活动的投资银行部门来到他现在的位置的。 他常驻纽约,但他在全球每个主要金融区都有营销人员,因此发现自己经常出差。 他最初是一名债券交易员,并凭借对良好商机的敏锐眼光成为明星交易员。 他很快成为了一个专门研究期货市场上某些类型衍生品的新集团的领导人。 现在,在 43 岁的相对年轻时,他领导整个 IBFS 集团的营销和分销,尽管他明显缺乏正式的营销培训或营销经验。 他带来的是对金融服务市场的高度直观和智能的理解。 他是一位强大的战略思想家,他创建的团队拥有所需的更广泛的营销技能。
布莱恩·琼斯:采访笔记
“近年来,IBFS 业务战略的一个重要部分是发展合资伙伴关系,特别是与我们以前没有强大业务的类似业务领域但在世界不同地区的公司建立合资伙伴关系。 IBFS 的好处主要在于可以随时进入新的大型市场。 我们的合作伙伴受益于外部投资和发展基础设施的能力,从而比以前更有效地利用其市场地位,特别是在向现有客户交叉销售各种金融产品方面。 合资企业的概念需要一种特殊的安全方法。 IBFS 和相关合作伙伴都需要让对方访问业务信息系统,但同时他们需要保持独立性和自己的控制权。 我们分享一些东西,但不是全部。 我们的安全架构必须解决这个问题。
“我也非常关心业务系统的可用性,尤其是安全性经常给合法业务用户带来的困难。 我们必须在未来解决这个问题。 没有什么比我们的许多系统需要的无穷无尽的用户 ID 和密码层更让用户灰心了。 我们的代理和独立财务顾问 (IFA) 网络对这些困难提出了很多投诉,这确实变成了一个竞争问题。 如果我们的系统难以使用,而其他供应商的系统更容易使用,那么如果代理商和 IFA 更喜欢使用其他供应商,我们就不会感到惊讶。 使用我们的系统必须为用户带来愉快、有趣和富有成效的体验; 否则他们会到别处寻求服务。
“我们经常使用特殊的产品线来吸引新客户,通常是通过引诱他们远离其他供应商。 最喜欢的是低息信用卡、高息储蓄账户或低成本汽车保险。 目的是一旦我们吸引他们,我们就可以交叉销售各种其他产品和服务。 如果当它们与我们的系统交互时,它又将它们关闭,那么这一切都是白费力气。
“作为我所说的问题类型的一个例子,我们有抱怨的历史,当我们有特殊的区域或有条件的优惠,例如从其他银行转移信用卡余额的 0% 利息时,我们不会跟进, 系统没有正确或按时更改以满足这些需求,我们没有兑现对客户的承诺。

4.2.6. 采访首席信息官 Ranjit Patel

Ranjit Patel 在美国的电信行业开始了他的职业生涯,首先为美国的电信公司工作,后来随着 1990 年代市场的发展,为一家为全球客户提供语音和数据服务的大型网络公司工作。 其中一位客户是 IBFS,在休了一些“园艺假”以满足各种合同安排后,他从网络服务提供商转到了 IBFS。 他现在仍然只有 39 岁,但已迅速晋升为该集团的首席信息官。
Ranjit Patel:采访笔记
“IBFS 信息系统应用架构正在修订中。 与该行业中的许多组织一样,我们遭受具有烟囱式架构的遗留应用程序的问题。 也就是说它们各自有自己的接口和自己的数据仓库,很难将它们集成在一起,或者在它们之间共享数据。 客户关系管理 (CRM) 的业务需求意味着我们必须能够为客户数据提供单一的中央数据存储库,并且该存储库必须在所有应用程序之间共享。 我们的新应用程序架构基于提供数据仓库来实现这个中央存储库功能。 所有新的应用程序都将围绕这个概念进行架构,但当然,我们面临一些重大的技术挑战,将一些遗留应用程序集成到这个新架构中。
“我们有许多遗留系统,几十年来我们对这些系统进行了大量投资。在快速变化的商业环境中不断改变这些系统是一项重大挑战。例如,我们的许多主要全球客户和财富 100 强客户都习惯于要求我们立即转账大笔资金,以便他们在任何一天利用特定国家的更好利率——他们甚至可能转账资金转移到另一个机构。不幸的是,这些客户可以在许多不同的子公司拥有许多不同类型的许多不同帐户,并且包含信息的大多数系统都是长期建立的遗留系统。更糟糕的是,许多是批处理系统,它们的设计并不是为了提供实时、完整的客户可用资金总额的综合图片。这使我们面临双重风险:我们可以在不确定资金是否可用的情况下转移资金,或者我们可能会扰乱我们所依赖的主要客户。但是,丢弃我们的遗留系统是不可接受的,并且重新设计每个系统的成本令人望而却步。这是我们的架构团队面临的最重要和最普遍的问题。
'当你开始深入思考企业想要什么——特别是对客户、代理和员工等一致、易于使用的界面的渴望,并且这种一致性必须跨越不同的应用程序和不同的访问渠道——然后你 很快就会意识到“单点登录”是一种强制性策略,而不是一个很好的策略。 我们可能不会在一个简单的步骤中实现单点登录,但我们确实必须拥有一种架构,使我们能够越来越多地朝着这一目标迈进。未来。 如果不是这样,那么我们关于 CRM 的想法以及在用户与我们的系统交互时为他们提供愉快体验的想法都将落空。 我的同事 Brian Jones(营销和分销高级副总裁)经常在架构委员会会议上提出这个问题。
“商业战略往往变化迅速,有时会给我们带来规模上的重大变化,无论是向上还是向下。 并购通常会增加业务运营的规模,尽管它们也会带来 ICT 服务和设施的合理化。 在某些情况下,市场条件会发生变化,业务部门需要缩减规模。 这意味着出售一项业务活动,并且必须将该领域的应用程序从我们的基础架构中移除并转移到其他人的基础架构上,因此我们需要基础架构架构工作方式的灵活性。
“安全架构的另一个主要驱动因素或制约因素是外包所有不被视为核心业务的运营服务的业务战略。 这尤其适用于 ICT 服务。 当然,我们将始终拥有我们的业务应用程序及其数据,但我们将越来越不负责运营托管这些应用程序的平台和网络。 我们的一些基于大型机的应用程序已经外包,我们将在今年晚些时候发出招标邀请,以外包我们的广域网。 我们现在甚至有一个可行性研究进展,以考虑将台式电脑外包给第三方服务提供商。 当我们开发新的应用程序,尤其是基于 Web 的应用程序时,从一开始这些应用程序就可能由第三方服务提供商托管。
“我们安全架构的指导原则必须是任何平台和任何网络都可以外包。 该架构必须能够以最小的中断和对每个物理域的所有权、策略制定和策略执行的最小影响来实现这一点。 它还必须使我们能够管理在责任和服务水平管理方面出现的一些有趣问题。

4.2.7. 专访合规总监 Ho Siew Luan (Sarah)

Ho Siew Luan 35 岁,在她的家乡新加坡为 IBFS 工作。 她拥有丰富的国际经验,曾在英国上大学并获得一流的法律学位(为了方便起见,她还采用了 Sarah Ho 的名字),后来在美国获得了 MBA 学位。 随后的职业任命将她带到了华盛顿特区、香港和悉尼等地。 作为 IBFS 的合规总监,她必须监督该集团运营所在的所有 84 个国家/地区的合规性,密切合作以协调这些地区当地合规官的个人活动,以应对不同的,有时是冲突的, 这些国家的立法和监管机构的要求。
何秀銮:采访笔记
“如今,合规是主要的业务驱动力。 主要金融机构在妥善保管客户资金方面发生了太多令人震惊的失败。 在 IBFS,我们涉足范围广泛的业务线,这些业务线受到多个不同监管机构的支持,甚至在一个国家/地区。此外,我们是一家在 80 多个国家/地区开展业务的全球性公司,每个国家/地区都有业务运营 有不同的法律和监管制度。 还有旨在防止和侦查洗钱的主要国际法规,在欧盟,我们有一套非常全面的立法,涵盖数据保护(我们在业务过程中收集的个人数据的隐私)。 目前,我们也在评估新巴塞尔资本协议(巴塞尔协议 II)的影响,以及我们必须在操作风险管理领域对新监管制度做出的反应。
“内幕交易是该行业非常敏感的另一个领域。 在 IBFS,我们既有公司金融业务,为客户就合并、收购、收购和上市提供建议,也有证券交易业务,通过买卖股票和股份来赚钱。 必须将公司财务信息与可能利用该内幕信息进行非法交易的证券人员分开。
“所有这一切都非常具有挑战性,但我们的董事会非常致力于强有力的治理并尽职尽责地履行这些职责。 这意味着我们必须在每个运营国家/地区建立遵守法律和行业法规的强大文化。 我们还必须在我们的系统和流程中构建一系列技术和程序控制机制,以确保我们确实合规。 为了能够在排除合理怀疑的情况下证明我们的合规性,我们还必须能够向监管机构或法院提供可靠的书面证据。

4.3. 总结:IBFS Inc

本章中对 IBFS 的描述是贯穿全书的持续案例研究的基础。 受访者是:
Juan Carlos 首席运营官
Rosemary Brown 电子商务高级副总裁
Helmut Meyer 集团首席财务官
Brian Jones 高级副总裁,营销和分销
Ranjit Patel 首席信息官
Ho Siew Luan (Sarah) 合规总监

你可能感兴趣的:(安全学习,安全架构,学习,安全)