很多公司都有计算机安全事件响应小组(CSIRT)来应对恶意软件爆发以及其他类型的网络攻击和潜在内部威胁，在网络巨头思科公司，CSIRT团队由约60人组成，他们试图保护公司和75000名员工。

　　思科CSIRT团队信息安全调查经理Matthew Valites表示：“我们主要负责监测和调查对思科的政策的违反行为。”这意味着保护直接由员工使用的企业IT资产或用于处理目的的业务资产，使重要信息不外泄。然而，在思科接受BYOD(携带自己设备到工作场所)战略后，思科的CSIRT关心的政策执行变得更加复杂。

　　“随着用户携带自己的设备来公司，政策执行变得更加困难，”Valites在讨论思科的安全事件响应做法时表示，“BYOD是一个真正的问题。”为了节约成本，思科不再向员工提供智能手机，而希望员工使用他们自己的手机，除非他们的工作受到政府的监管限制而必须使用企业配备的设备。Valites承认：“对于我的团队而言，这是一个很大的问题。”

　　除了BYOD问题的困扰外，思科CSIRT团队每天还要面对不断涌现的恶意软件，监测未经授权流量和抵御隐身在线攻击。另外，还有很多不可避免的问题，例如错误登录，但CSIRT最困难的工作之一是试图确认未经授权访问。

　　这一切都需要在合规性的框架内完成。Valites指出：“我们在圣何塞有一个医疗中心，在企业内部部署医疗保健专业人士被视为对员工的福利。而这意味着所有相关的安全和隐私政策都必须符合联邦HIPAA法案规定。”

　　Valites表示，思科公司高层主管是该团队的重点保护对象，因为这些高管是网络间谍和攻击者最有价值的目标。与其他员工相比，Valites表示，“我们更加注重他们的资产。”

　　然后是思科的整体团队(例如整个实验室)，经常受到各种攻击，他们的计算机经常冒出各种恶意软件。Valites表示：“实验室有点像狂野的西部。”对于攻击者，思科CSIRT团队别无选择，只能通过额外的控制，例如切断整个实验室的网络或者隔离其网络，使实验室仅限于内部局域网。

　　对于CSIRT团队而言，每天的主要挑战是获取对任何类型安全事件的可视性，然后快速决定何时以及如何升级响应。思科设计了自己的事件响应跟踪系统，任何类型的问题都会被记录。

　　当一个事件发生时，第一项任务是确定问题计算机设备的特定所有者，Valites表示：“我们需要资产所有者向我们提供必要的信息，但在我们这样的大型跨国企业内，这是一个挑战。虽然我们部署了各种防病毒、VPN、Web应用程序控制、入侵检测等工具，但最终解决问题还需要依赖于人与人之间的沟通和信息共享。”

　　CSIRT团队也需要考虑到潜在的内部威胁，在任何企业，都可能存在“流氓”员工或者承包商想要窃取公司数据或者做其他破坏行为。这是非常棘手的问题，权限升级必须交给人力资源和法律部门来控制。

　　Valites表示，“我们具有良好的合作伙伴关系。”并指出，法律顾问很清楚他们在事件响应调查中的角色，并且它们想要参与关键信息泄露等事情的潜在调查中。所有类型的调查都需要计算机取证，而思科CSIRT需要负责做到一点。

　　由于思科是一家全球性企业，他们需要跨时区和跨北美大陆和亚太地区来协调其CSIRT的工作。Valites表示，思科将受益于物理安全运营中心(SOC)，他表示，思科目前正在建设两个这样的SOC，一个在圣何塞，另一个在印度，其中将利用很多类型的技术，包括思科自己的专用思科网真系统。