Friday, November 03, 2006

Real Insider Threats

Just cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r day I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following in Cliff Berg's book High-Assurance Design:

Roles should be narrowly defined so that a single role does not have permission for many different functions, at least not without secure traceability.

The CTO of a Fortune 100 financial services company once bragged to me over dinner that if he wanted to, he had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to secretly divert a billion dollars from his firm, erase all traces of his actions, and disappear before it was discovered.

Clearly, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 principles of separation of duties and compartmentalization were not being practiced within his organization.


Now I read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following in VARBusiness:

Federal law enforcement officials Tuesday arrested cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 well-known CEO of White Plains, N.Y.-based MSP provider Compulinx on charges of stealing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 identities of his employees in order to secure fraudulent loans, lines of credit and credit cards, according to an eight-count indictment unsealed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 U.S. Attorney's office in White Plains.

Terrence D. Chalk, 44, of White Plains was arraigned in federal court in White Plains, along with his nephew, Damon T. Chalk, 35, after an FBI investigation turned up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 curious lending and spending habits. The pair are charged with submitting some $1 million worth of credit applications using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 names and personal information -- names, addresses and social security numbers -- of some of Compulinx's 50 employees...

Terrence Chalk is also charged with racking up more than $100,000 in unauthorized credit card charges. If convicted, he faces 165 years in prison and $5.5 million in fines, prosecutors say. Damon faces a maximum sentence of 35 years imprisonment and $1.25 million in fines.


These are exactly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problems I mentioned earlier. Both cases make me sick. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 former, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Fortune 100 CEO knew his organization was broken but he thought it was a joke. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latter, someone in a position of authority abused his access and ruined cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 financials lives of his employees.

This is a great example of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to implement proper corporate governance by not centralizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 roles of CEO, President, and Chairman of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Board in a single person. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, none of those people should have access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data abused by Mr Chalk. That level of access should stop at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 VP for Human Resources.

Obviously cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 smallest of companies (mine included) can't separate certain duties because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are too many roles for too few people! However, organizations with 100 or more employees should certainly be taking steps to limit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 access all employees have -- including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CEO.

This includes system and security administrators. According to surveys like those conducted by Dark Reading, a certain percentage of those with privileged access are abusing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir power.

I often hear that system administrators should be responsible for securing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir systems. I believe that sys admins should configure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir systems as securely as possible, but outside parties (auditors, independent security staffs) should be responsible for auditing system activity and ensuring operation in compliance with security policies.

At some point we will also be able to remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability of system administrators to access sensitive data, perhaps using role-based access control (RBAC). There is no need for a sys admin who maintains a platform housing Social Security numbers and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 like to be able to read those records. It will not be popular for current sys admins to relinquish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir "godlike" powers, but it will result in more secure operations. Sys admins are data custodians; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are not data owners.

13 comments:

Anonymous said...

Hi,

I don't usually post to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r peoples' blogs, although I couldn't pass this one up:

At some point we will also be able to remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability of system administrators to access sensitive data...

Won't happen. Your rationale behind this is correct, but I believe it's a utopian fantasy where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact access parameters of those who Make Things Work (tm) are so strictly defined as to defy any potential for abuse of access rights. There are a few problems in this argument, though.

I hope this doesn't sound like a strawman, but I'm very worried about any approach that goes out from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 idea of systems administrators as inherent weak points in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of a system. The user-as-weakness argument has been proven, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moment you begin to approach those who need near-unfettered access as a reality of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir daily work as a liability, you run into trouble.

My experience in several large banks has shown me that this leads to over-proceduralization and excessive control mechanisms, which stymie innovation and often substantially reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability of IT to respond to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business' needs. With cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result that, instead of waiting for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approved change window, a trader will often go ahead and roll his own.

This leads to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem of people who need a certain functionality simply ignoring security policies and restrictions. A bond trader bringing in $20 million per day is rarely subject to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same sort of security limitations as a line employee, and I don't see this being cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case anytime soon.

Likewise with banal things like senior managers and password resets. At some point, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a gray zone between what is permissible security-wise and what is necessary to ensure profitability. I suppose a sensible middle ground of "permit within reason, but control" is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way to ensure things get done. Sorry for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 diatribe.. :-)

Richard Bejtlich said...

Hi John,

Your bond trader example made me think of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 many scandals involving bond traders.

Anonymous said...

someday someone will write a simple little app that logs sysadm activity in a way that can't be tampered with (hash values?) and present a synopsis of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actvity to management - by fax or something. Some easy way that sysadmins will begin to become accountable...

Or not. I probably don't know what I am talking about anyway.

John Ward said...

I believe I have commented on this before. I believe that Sysadmins have entirely too much power and too little capacity to handle it. The often inflated egos become such that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y believe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are above accountability. Example: I have a friend in law enforcement. He is constantly fighting to keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TI folks OUT of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir systems since it contains sensitive, fedarly protected information. It gets even hazier since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is information about minors in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir systems. The admins believe it is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir business and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir right to gain access and control cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se systems. They bitch, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y threaten, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y try sneaky stuff to try to force cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir way into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se systems, some of which has landed one or two of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wrong end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 law enforcement agencies attention. Problem is, this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attitude I come across in just about every organization I've been in. It's scarry to think how easily cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can get information like SSN's, bank routing information, performance reviews, and in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 law enforcement agency mentioned above, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 names and "places where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad man touched" of juvinile victims.

Anonymous said...

Richard,

From what little I know about it, its been done and by in large cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 market did not want it. B class systems or better. The problem is you need to get rid of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 G_d bit, for real. By "for real" I mean that you need to make sure not only that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 os supports this but that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bussiness does not give any one person all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 access needed to do SA work. This means things that used to take 15-20 min to do could now take days. It also makes normal personel issues like vacation really painful to small shops.

John,

Don't scare cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SA's, as a SA many of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad ones are too arogant and imature to believe that it can happen to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, scare cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir bosses and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir legal department(even if it is yours). Make a list of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 laws that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SA's will break just by looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 info with out a valid legal reason and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bad consiquences that will happen to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 managenet involved, along with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SA of course. Explaine how you guys are dead serious about this and how win loose or draw you pay for your own lawyer etc. Have this all written up for every manager who will supervise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SA's, up to VP/Director level, to sign. Let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m read it and ask cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m are you sure you want access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se systems?

Anonymous said...

To be honest, my beef isn't usually with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SAs--in my humble experience, including several years as a mail, web, unix, storage, network, firewall, god-knows-what-administrator, normally you're just plain not interested in what's going through your hands. Mr. Ward hits cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nail on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 head when he fears what info cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se guys _can_ get at; however, I always snicker at managers who have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 unspeakable arrogance to think that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir mails are interesting enough for someone who's probably working a 14 hour day anyway to waste time on... :-) So Mr. Spitzer is pretty bang-on. There are things you can do technically and things you just need to do as a matter of policy and management (good example here being web blocking--if your users are spending 5 hours a day looking at porn, that's not a technical problem, that's a leadership problem, and to say ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise is cowardly, but I digress...)

The bond trader example touches on a very good point--those of you who've worked in or consulted for financial institutions know how frequently traders, especially those dealing in more exotic financial products, write and manage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own software. These are generally smart guys bringing in massive amounts of cash. I'm always interested to watch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sparks fly whenever anyone suggests systematic governance for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se often kludged-up applications, and find it interesting to watch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attempts to get senior management backing develop. You see, we'd love to stand behind this policy, but alas, we have this bond issue coming up..

Mr. iamnowonmai is probably cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most spot-on; 'sulog' and its ilk, i.e. consistent and secure logging and change control, have always proven to be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best way to keep track of whats going on and still let people get work done.

Anonymous said...

Thank you for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kind words, Mr Salomon!

I have a part-time position opening next year, and I am trying to get administration to allow a full background, psychological, and polygraph exam on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lucky candidate. Don't think it will get far, buit will still try.

Anonymous said...

Well, polygraphs are pretty inaccurate (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're not admissible as court evidence, except, I believe, as supporting evidence), and as for psychological exams, most that I'm familiar with are notoriously unreliable. My girlfriend has a masters in psych, and does enormous amounts of interviewing for her company (large international strategy consulting outfit.) She's got some hilarious stories in that regard...

I think you're best off with references and clustered interviews. Nothing goes above experience. You should have an HR drone who takes care of all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 administrata like background checks and, IMHO, no more. :-)

John Ward said...

Salomon,

The road goes both ways. SA's are part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 issue, managers are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r part. I've been in organizations where managers have access to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same info as SA's. And anyone who has been in corporate management knows it doesn't take long for petty pissing matches to start between managers. I always thought it was a curious trend in my current job that managers make "good friends" with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TI folks. While I am sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 large part of that is so that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can pull favors, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest downside is when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y "pull favors". I have yet to see it happen however. Rich's argument about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 seperation of powers makes sense, but I always refer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 AT&T breakup. From a consumer perspective, it just made things ridiculous as you got bounced back and forth with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "Its not our problem, go to your long distance/local provider" runaround. And look what happened in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end. On one hand, it keeps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 power spread among cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 different titles, on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r hand it just increases bueracracy.

Anonymous said...

The past emphasis on network security racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than information-centric security has led to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem of IT staffers who are unaccountable for snooping. They do need to run cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't need to access sensitive data to do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir jobs.

An improved MLS/TOS implementation which governs business data flow can assure that anyone who needs certain access privileges to maintain systems can do so without abusing access rights. In smaller shops where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are less options for separation of duties, non-negotiable audit trails that are forensically defensible will help act as a deterrent where certain persons are forced to wear 2 hats. Behaviors tend to straighten out quickly when staff know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are being monitored anyway.

Security policies that are unenforceable are useless against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 revenge motivated staffer or one who goes off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 beam. Technology that can provide internal controls post-aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication will remove opportunities for abuse and remove temptation for authorized users.

To Mr. Salomon who thinks that to "be able to remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability of system administrators to access sensitive data.....won't happen", we are doing it already with no interference with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SA's ability to do his job.

The difference is that it must be done at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host level, not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network.

Anonymous said...


To Mr. Salomon who thinks that to "be able to remove cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability of system administrators to access sensitive data.....won't happen", we are doing it already with no interference with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SA's ability to do his job.


This is fine and good. Maybe my absolute statement was poorly worded; even a basic set of role-based privilege definitions on a system provides a good start. However, it all relies pretty heavily on a willingness to implement not just technical privilege restrictions and auditability for SAs. I'm more concerned about creating an enforceable bullet-proof, no-exceptions, always-enforced Chinese wall preventing senior management from essentially cajoling or browbeating SAs into going beyond what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're supposed to be doing, even if it's (technically) within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir rights to do so.

Data protection legislation and audit trail requirements (SOX, anyone?) provide some safeguard. However, I've seen a staffer ordered by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 head of HR of a Fortune 500 company to brazenly break a data privacy law, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ca. $35,000 penalty in case of discovery was far outweighed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential financial damage to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company were cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 law to be respected. Kind of difficult to resist when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CIO, CFO and CEO are tacitly behind such an order, especially in countries with weak whistleblower protection.

My point? I believe that this is an area lacking control and audit far too frequently neglected, in favor of what often seems to border on paranoia about what evil, uncontrolled systems administators might do left to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own devices.

Anonymous said...

First of all Richard was right to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 terms data custodians and data owners. This is an important distinction.
Second of all, my experience is that propper data classification does not get in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way of routine SA/IT work. As far as traders go, well as said before, all you can do is present a statement of risk and potential compliance violations to management and let cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m decide. This is my 2cents based on years of doing itsec for financials.

Anonymous said...

There is obviously a need for addressing concerns at both SA and C-levels. Non-negotiable auditing addresses both levels and would give SEC auditors trails to determine inappropriate actions. The CSO should be implementing that Chinese wall, if necessary, through domain and role separation, or whatever, because that is his job. The CSO or any SA should also make sure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own backsides in cases where a superior orders cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to violate a regulation.

The same forensically defensible audit logs give C-level execs proof that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have performed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir duty properly (due diligence) as well as assist in legal cases against a peer or a staffer.

There may come a time when, if one chooses to do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 easy thing instead of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right thing, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will be an eventual cost to be paid for that decision and hopefully cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re will be less and less tolerance for unethical behaviors and criminal acts, expressed by large fines and jail terms. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mean time, I am of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 belief that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company that protects trade secrets and private data will hold a competitive advantage.