フィッシング詐欺を利用する攻撃者は、何らかのデータを盗み出そうとします。スピア型フィッシングともなれば、データベースごと盗み出そうとするかもしれません。

今日の企業が直面している多様な脅威のなかでも、標的型攻撃は特に厄介であることが多く、防ぐのも容易ではありません。最新のセキュリティインフラストラクチャを備えている企業でさえ、標的型攻撃を検知して遮断することは難しいと考えています。セキュリティの構成要素のなかで最も弱い部分を突いてくる、つまり人間を標的にしているからです。巧妙にカスタマイズされたスピア型フィッシングメールを作成したり、ブラウザの動作を悪用したりする攻撃者は、システムではなく人間を欺くほうが、ネットワークへの侵入は簡単だと考えています。

事実、シマンテックが発行する最新の『インターネットセキュリティ脅威レポート』（ISTR）によれば、標的型攻撃の件数は 2013 年に 91% も増加しました。人的な要因を悪用するために、攻撃者は今まで以上に辛抱強くなっており、時間をかけてシステムに侵入し、攻撃のときを待つようになっています。攻撃が存続する日数は、2011 年の 4 日間、2012 年の 3 日間と比べ、2013 年には 8 日間と伸びました。このような攻撃の長期化は、ハッカーが長期にわたる永続に集中しつつあることを示しており、その目的は攻撃活動を隠すことにあります。

2013 年のスピア型フィッシング

フィッシング攻撃を支えるソーシャルエンジニアリングは、その成否を決める重要な鍵のひとつです。どの場合も、メールは受信者の関心を引くように工夫されており、少しでも多く開封されることを狙っています。標的型攻撃ともなると、ソーシャルエンジニアリングは年を重ねるごとに磨きがかかり、研究も念入りになっています。そのため、適切な技術を実装して身を守らないかぎり、攻撃を認識することはきわめて難しくなります。

とは言っても、どの企業も一様に標的型攻撃の被害を受けているわけではありません。傾向として、企業の規模が大きくなるほど、攻撃を受けるリスクが高くなります。昨年は、スピア型フィッシングメールのうち 39% が、従業員数 2,500 人以上の企業を狙ったものでした。また、業種で見ると、2013 年に狙われたトップは行政機関であり、攻撃全体の 16% を占めていました。標的型攻撃が国家によるスパイ活動に利用されていることを考えれば、これは驚くに値しません。

小規模な企業が標的になるリスクも高くなってきました。従業員数 250 人以下の企業を標的とする攻撃の比率は、1 年を通じて増加し、ピークとなる 11 月には 53% に達しています。これも、驚くようなことではありません。というのも、大規模な企業に侵入しようとするとき、まず請負業者に侵入するというのは攻撃者にとって有効な手口であり、請負業者は小規模な企業であることが多いからです。

フィッシング攻撃の標的になるユーザーの数はこの 10 年間増え続けてきましたが、昨年の全世界平均を見ると 1 日当たりのメール攻撃は 83 件に減っています。前年の 1 日平均 116 件と比べるとかなりの減少ですが、件数が減ったからと言って攻撃者がペースを落としているという証拠にはなりません。むしろ、攻撃が注意を引かないように、さらに戦術を変えつつあるということを示唆しています。

新たな脅威: 水飲み場型攻撃

フィッシングに関する従業員の意識が高くなってくると、攻撃者は作戦を細かく調整するだけにとどまらず、攻撃を偽装すべくさらに複雑で見つかりにくい新しい戦術を考案するようになります。

2013 年にシマンテックは、コンピュータにマルウェアを仕掛ける「水飲み場型」攻撃の増加を確認しました。攻撃者は、標的としたユーザーがアクセスする正規のサイトに侵入して悪質なコードを埋め込み、標的がそのサイトにアクセスするのじっと待ちます。この攻撃は、狙われた個人またはグループが興味を持つ特定のコンテンツが掲載された正規の Web サイトに仕掛けられるのが一般的です。

よく知っていて信頼もしている正規の Web サイトを本能的に疑うことはまずないので、このドライブバイダウンロード方式は、きわめて効果的です。そのため、水飲み場型攻撃はますます流行しつつあり、2013 年にはスピア型フィッシングより水飲み場型攻撃のほうが大企業を狙う可能性が高くなりました。

では、こうした脅威に対して、自分や自分の会社をどのように守ったらいいのでしょうか。第 1 段階は、最大の脆弱性である従業員とパートナーに対処することです。そのためには、教育と技術ツールを提供して攻撃が到達する数を減らし、到達したものについても成功しないよう図る必要があります。

自分の会社が標的型攻撃に対して脆弱かどうか不安がある場合のために、明日から実行できる 3 つの事項を紹介しておきます。

1. 従業員意識についてのトレーニング:  まず始めるのは、ユーザーの教育です。脅威とそれによるダメージを従業員が理解できるよう努めます。そのうえで、標的型攻撃がどんな仕組みか、そしてリスクを最小限にとどめるために従業員はどんな行動をとるべきかを指導します。
2. 高機能なメールセキュリティシステムを配備:  クラウドベースの効果的なメッセージセキュリティシステムは、スパム、マルウェア、フィッシング攻撃、標的型攻撃などから保護するためにメールをスキャンし、その一方でオンサイトの技術のような煩雑さは緩和されています。
3. ネットワークでアクセスをセグメント化:全ユーザーがアクセスするのは、ネットワークのうちそのユーザーの業務に関連する部分に限定してください。こうすれば、ネットワークの一部が侵入を受けても、攻撃者はそこを足掛かりにしてシステムに深く侵入することはできません。

【参考訳】

Today was a good day! In conjunction with the general availability of Ghost Solution Suite 3.0, we held the third in our series of "How-to" webcasts to help our customers get up to speed on this exciting new release.

• Download or play the webcast recording 
• Slides (attached to this post)
• Q&A transcript (coming soon)

Symantec team has just returned from another terrific experience of OpenStack summit - this time in Vancouver. Check out our awesome SYMC talks on YouTube:

オンラインでの企業の安全対策は、コンピュータとネットワークの安全対策に従業員も関与するところから始まります。

情報セキュリティとは、常に構築と強化の段階を続けていくプロセスです。セキュリティは過程であって目的地ではありません。情報セキュリティのプロセスには多くの戦術と活動がありますが、いずれも大きく言うと予防、検出、対応の 3 つのフェーズに分類することができます。

情報セキュリティのプロセスの最終的な目標は、次にあげる情報の 3 つの属性を保護することです。

• 機密性 -情報は、閲覧の権限をもつユーザーのみが閲覧するようにします。情報に機密が求められるのは、組織が開発し所有している専有の情報だから、あるいは法的な責任において守秘義務のある顧客の個人情報かもしれないからです。
• 整合性 -情報は破損、劣化、改変されていてはなりません。不慮もしくは故意の変更から情報を隔離する措置をとる必要があります。
• 可用性 -情報は、権限をもつユーザーが必要とするときにいつでも利用できなければなりません。

攻撃があるとシステムはさまざまな形で侵害され、これらの属性のすべてではないにしても、いずれかに影響します。機密性に対する攻撃は、情報の不正な開示につながります。整合性に対する攻撃は、情報の破壊や減損につながり、可用性に対する攻撃は業務の中断やサービス拒否（DoS）を引き起こします。

情報セキュリティは、こうした属性を以下の手段で保護します。

• 機密性を保護する
• 整合性を確保する
• 可用性を管理する

組織がこうした属性を確実に保護するには、適切な計画が必要です。インシデントが発生する前に適切な計画があれば、攻撃のリスクは大幅に小さくなり、仮に攻撃が起こってしまった場合にも、タイムリーで効果的な検出と対応ができる可能性ははるかに高くなります。

重要なデータの保全と企業リソースの保護について、従業員が各自の役割と責任を理解していなければ、たとえ世界最高のセキュリティ技術があっても何の役にも立ちません。たとえば、セキュリティを推進する慣例とポリシーを実施すること、リスクを見極めて回避できるように従業員をトレーニングすることが必要です。

企業のセキュリティ戦術は、従業員がそれに関して適切なトレーニングを受けて初めて機能します。したがって、情報セキュリティ意識に関するトレーニングの重要性はけっして軽視できません。意識向上プログラムの目標は、セキュリティ上想定される脅威と、それを防ぐ対策について従業員をトレーニングすることだけにはとどまりません。セキュリティの重要性に重きを置き、セキュリティ上の脅威から身を守るうえでユーザー自身もひとつの保護層として機能するという考え方に賛同してもらえるように、いわば企業文化を変革することが、もっと大きい目標です。

従業員からの賛同を得られたら、業務の保護に必要な情報を従業員に提供するよう図るという段階に移ります。有効なセキュリティ意識向上プログラムでは、具体的な脅威の種類についての教育が必要です。以下のような脅威がありますが、これに限るものではありません。

• マルウェア
• トロイの木馬
• ウイルス
• ソーシャルエンジニアリング
• フィッシング

トレーニングで考えるうえでもうひとつ重要なのが、パスワード作成の大切さとセキュリティの問題です。小さいことのように思えますが、甘く見てはいけません。信じられないかもしれませんが、上級のハッカーの手にかかれば特に、パスワード解析は驚くほど簡単だからです。ユーザーが毎日繰り返すこの「小さな」手順が、企業の重要な情報を保護するうえで、大きい違いになることがあります。

従業員に伝えること

• コンピュータをクリーンな状態に保つ: 従業員が各自のコンピュータでインストールあるいは常用してよい範囲を明確にルール化する。従業員がルールを理解し順守する指導も必要です。素性のわからない外部のプログラムは、ネットワークでセキュリティ上の脆弱性を悪用する恐れがあります。
• パスワードに関するベストプラクティスを守る: 大文字小文字の英字、数字、記号を組み合わせて、長く強力なパスワードを決める。そのうえで、定期的に変更し、秘密にしておくことが、データを保護するために従業員がとれる確実に有効な手順です。
• 疑わしきは、捨てる: 電子メール、ツイート、投稿、オンライン広告、メッセージ、添付ファイルなど、たとえ送信元がわかっていても、そこにある疑わしいリンクは開かないよう従業員に徹底する。企業が用意しているスパムフィルタと、フィルタを利用して有害な一斉メールを防ぐ方法についても指導します。
• 作業をバックアップする: 従業員のコンピュータが自動バックアップに設定されていても、手動バックアップが必要でも、作業内容を保護するうえでの役割について周知させる。
• 警戒を怠らず、情報を共有する: 従業員には、常に警戒を怠らず、コンピュータで何か異常に気付いた場合には連絡するよう奨励する。

情報セキュリティ意識向上プログラム

良好な情報セキュリティ意識向上プログラムでは、情報セキュリティの重要性を強調し、情報セキュリティに関するポリシーと手続きを、シンプルだが有効な形で導入することによって、従業員がそのポリシーを理解し、手続きを自覚できるようにします。

情報セキュリティに関するポリシーと手続きを従業員に伝える際の手法を以下にあげておきます。

1. 情報の機密区分、取り扱い、処分

あらゆる情報は、機密度と対象者に応じてラベルを付けます。情報のラベルは「Secret（極秘）」「Confidential（機密）」「Internal Use Only（社内限定）」「Public（一般）」などとし、「Secret」または「Confidential」のラベルが付いた文書は、就業時間の最後に鍵をかけて保管してください。「Secret」または「Confidential」扱いの電子情報は、暗号化するかパスワードで保護します。情報が不要になったら、文書はシュレッダーで処分し、ファイルは電子的に完全消去してください。

2. システムアクセス

ユーザー ID とパスワードの共有を禁止し、従業員にはユーザーアカウントとパスワードを守る責任を自覚させます。また従業員には、安全なパスワードを選択する方法について、パスワードに関する実用的なヒントも示してください。

3. ウイルス

すべてのコンピュータにウイルス対策ソフトウェアをインストールします。そのうえで、各自が定期的にコンピュータをスキャンするのは従業員の責任です。ソフトウェアと受信したファイルをすべてスキャンし、新しいデータファイルとソフトウェアは、開いたり実行したりする前にスキャンするよう従業員に助言します。従業員には、スキャン実行の重要性を徹底し、ウイルスがハードディスクをクラッシュさせ、オフィスのネットワークを停止に追い込む経緯を説明します。

4. バックアップ

各自が使っているコンピュータのバックアップを少なくとも週に 1 回は、それぞれの責任で作成するよう助言します。

5. ソフトウェアライセンス

ソフトウェアの不正コピーは法律違反であることを伝え、正規のライセンスがないソフトウェアは絶対にインストールしないよう従業員に助言します。

6. インターネットの利用

インターネットの利用は監視されていることを従業員に伝えます。ハッカーサイト、アダルトサイト、ギャンブルサイトなどの不適切な Web サイトにはアクセスしないように指示してください。ソフトウェアもハッカーツールも、ダウンロードは禁止です。

7. 電子メールの使用

従業員は、以下の理由で電子メールシステムを使ってはなりません。

• チェーンメール
• 会社の後援しないチャリティーの勧誘
• 政治活動
• 宗教活動、いやがらせ
• それ以外でも、業務に関係のないあらゆる用途

メールの私的な利用は、妥当な範囲で許可します。

8. ノート PC の物理的なセキュリティ

ノート PC はすべて、就業時間が終わったらキャビネットやドッキングステーションに保管し、チェーン錠をかけます。

9. 社内ネットワークの保護

ネットワークに不正アクセスされないように、ワークステーションはすべて、スクリーンセーバーをパスワードで保護します。Windows 7 を使っている場合には、ワークステーションをロックしてください。従業員がインターネットからスクリーンセーバーをダウンロードしないように、スクリーンセーバーは Windows 7 付属のデフォルトに制限することもできます。

10. 第三者への情報提供

機密情報は第三者に提供しないでください。知る必然性があれば例外ですが、その場合でも秘密保持契約を交わしてからにします。企業の情報を守ることは、従業員全員の責任です。

トレーニング用資料についても企業ポリシーの確認は必要で、従業員のなかに疑わしい、もしくは悪質な行為があった場合の結果を詳しく記載します。便宜上、各種のセキュリティポリシーに関する情報を以下にまとめてみました。

• 利用規定
• ソーシャルメディア
• Bring Your Own Device（個人所有デバイスの持ち込み）
• セキュリティインシデント管理

推奨事項と禁止事項

新しく入社した従業員には、「推奨事項と禁止事項」のチェックリストを渡します。まだ実際のセキュリティトレーニングを受けていない段階かもしれないので、このチェックリストは、すべきことと、してはいけないこととを新しい従業員に伝えるには簡単で有効な手段です。このチェックリストに載せる情報を以下にまとめました。

禁止事項

• パスワードは、たとえば従業員間であっても他人と共有しない。
• パスワードを紙、ホワイトボード、付箋紙などに書いておかない。
• 「Aug2001」のような覚えやすい言葉をパスワードとして使わない。
• 個人情報や、言語にかかわらず回文になる（前からでも後ろからでもスペルが変わらない）語は使わない。
• 不適切な Web サイト（アダルトサイトやハッカー用 Web サイトなど）にアクセスしない。
• 非合法の、またはライセンスのないソフトウェアをインターネットからダウンロードしない。
• ライセンスのないソフトウェアをコンピュータにインストールしない。

推奨事項

• パスワードは、各システムで定期的に変更する。
• パスワードには、英字、数字、記号を組み合わせて使う。
• 6 文字以上の難しいパスワードを使う
• ［スクリーン セーバー パスワードの設定］を有効にするか、ワークステーションをロックする。
• コンピュータで定期的にウイルススキャンを実行し、ディスク類もコンピュータで使用する前にスキャンする。
• デスクトップサポートから定期アップデートに関するメールを受け取ったときは、ウイルス対策ソフトウェアのパッチが更新されていないかどうかチェックする。
• 少なくとも週に 1 回はデータをバックアップする。バックアップは各ユーザーの責任。
• 機密文書、ファイル、ディスク類は就業時間の最後にすべて厳重に保管する。

従業員のトレーニング

従業員のトレーニングは、セキュリティに不可欠の要素です。顧客や同僚の情報を保護することの意味と、保護するうえでの各自の役割を従業員は理解する必要があります。また、その他のリスクと、オンラインでの適切な判断についても基本的な知識が必要です。

なかでも、インターネットの安全性に関して職場で従業員が従うべきポリシーと慣例については必ず知っておかねばなりません。

【参考訳】

Hi Everyone,

This week we dropped the latest cumulative hotfix release on the Enterprise Vault 11.0.1 version! 

11.0.1 CHF2 is now available - head this way for more details and the download:

http://www.symantec.com/docs/TECH230560

Cheers,

Chris

Another day, another issue from a different era….

Enterprise Vault comes with a little utility to control services and tasks, called EVService.exe. You can find it in the install folder, typically C:\Program Files(x86)\Enterprise Vault. This was written many moons ago to allow easy control of services so they could be stopped and started from a script as part of your backup process. Of course, now there's Backup Mode instead, so all that fiddling with services and tasks is not needed as part of that process, but this little utility still persists.

And as it turns out, it doesn't do exactly what it says on the tin.

The usage goes something like this:

EVService start EVSERVER "Enterprise Vault Storage Service"

As you'd expect, that will attempt to connect to the Windows Service Control Manager on EVSERVER and start the storage service.

Where it can go a little awry is with tasks:

EVService start EVSERVER "Index Administration Task"

The intention here is obviously to start the index admin task on EVSERVER. However, Enterprise Vault tasks are not controlled by their name, but by their id, so EVService has to look up the task by name to get it's id. Unfortunately, and for reasons lost in the mists of time, the given EVSERVER is taken simply to be the connection point to the Enterprise Vault Directory. The task is found by name alone, and the result of that lookup is both the task id, and also the computer where the matching task resides.

That's not necessarily a problem...unless you have two tasks with an identical name. For example, you have a couple or three Enterprise Vault Servers with an Index Administration Task on each one. Now the task that will be controlled is the one that pops out of the directory first and that might not be the one on the EVSERVER you specified.

The good news is that this is fixed in 11.0.1 CHF2. The (potentially) bad news is that the EVSERVER name you specify to control tasks must now match the alias you used when the Enterprise Vault server was installed. This is visible on the Admin Console:

One other small change to note is in the usage of the utility with a file listing the services and/or tasks to control. The usage is:

EVService start listfile.txt

where listfile.txt contains entries like this:

EVSERVER:Index Administration task

Previously, the EVSERVER name in the list file could only be up to 15 characters long. Again the reasons for this are lost in the haze of history, but this is obviously going to be too short in the majority of cases, and so it's been updated to allow a maximum of 128 characters.

As mentioned above, this utility was really there for backup, so if you are still using it we'd be interested to know what your use case is; either via a comment or, if it's a bit hush-hush, a private message.

Every June 5th we celebrate World Environment Day, a day that celebrates the environment and our capacity to contribute to the well-being of our planet.  This year’s theme, “Seven Billion Dreams. One Planet. Consume with Care,” highlights the importance of responsible natural resource management and the impact of individual actions in creating a difference. As UN Secretary-General Ban Ki-Moon said, "Although individual decisions may seem small in the face of global threats and trends, when billions of people join forces in common purpose, we can make a tremendous difference.”

At Symantec, we share this belief and  understand the importance of environmental stewardship for our short and long-term business success. Our environmental strategy focuses on four key areas: green IT, resource conservation, travel and events, and responsible sourcing. In each area, Symantec has made strides to improve performance. We’re honored and proud that Symantec was recently announced as the winner of the IMEX 2015 Green Meeting Award!

The IMEX Green Meeting Award recognizes companies that demonstrate outstanding initiatives to reduce negative environmental and social impacts in travel and events. Symantec was acknowledged for its sustainability success in the organization and implementation of the Symantec EMEA Vision Symposium events. There were four events held in 2014 – Dubai, Munich, Paris, and London – and sustainability was incorporated from the onset of the event planning stages. All of the key suppliers had sustainability expectations in their contracts and were required to collect data for measurement of sustainability indicators. Each detail was considered, from the event locations (all were environmentally certified spaces) down to eliminating plastic badge holders and plastic cups. During the events, attendees were encouraged to participate in Plant-for-the-Planet initiative, garnering a total of 19,228 pledges to plant trees. Overall, the events succeeded in capturing a 88 percent reduction in waste and 67 percent reduction in CO2 emissions among other highly impressive numbers.

Read Claudia van 't Hullenaar’s Sustainability Spotlight and how she’s spearheading the integration of sustainability into Symantec’s corporate events.

We also realize the influence our individual employees can make. Last Earth Day, we launched the “One Mug, One Planet” campaign to inspire our employees to reduce waste in one simple way, by ditching the disposable coffee cup for a reusable mug.  In just one year the “One Mug, One Planet” campaign received 2,647 pledges saving 208, 887 lbs of CO2 and 55, 223 lbs of waste!

With seventeen Green Teams across the globe, we’re excited to continue enaging our global teams on ways we can contribute to environmental awareness. Our most recent Green Talk was hosted in Syndey with speaker Tim Silverwood of Take 3 reminding us to keep our beaches and waterways clean.  His simple message, take three pieces of trash away with you when you leave the beach, is another reminder of the simple actions we can all take to keep our planet healthy.

Watch Tim Silverwood’s TEDx Talk.

On this day of environmental awareness, share your dream for the planet!

Please join us for the Pittsburgh Security & Compliance User Group meeting in July!  Agenda and details are below.

You may sign up here.

AGENDA

Welcome & Introductions

Presentations:

• Two Factor Authentication – Symantec VIP – Frank Hervert & Jeff Lagana from Reed Smith
• New SEP release RU6/SEP Device Control & ATP:Endpoint – Josh Etsten Product Manager Symantec

Wrap up, Prize drawings & Conclusion

Happy Hour

*************************************************

Location:  Sharp Edge, 922 Penn Ave, Pittsburgh, PA 15222 (location and catering)
Time:  2pm - 5pm EST

Have you ever had the situation where an email with attachments just looks 'odd' after it has been archived? I know I have. It doesn't normally happen on environments that I have had direct dealings with, but from time to time I look at a lot of other systems, and I see an attachment that looks a little bit like this:

<<

[English] Somefilename.pdf (267.0KB)

(267.0KB)

>>

It is a little puzzling at first, as it's just that text in the body of the message.. but it all comes down to the simple settings relating to shortcut content, which of course is on the Archiving Policy:

Have you ever seen people using this type of attachment setting? Let me know in the comments below.

Microsoft Lync® is a communications platform offering instant messaging (IM), conferencing, and media sharing, and has become an increasingly popular form of corporate communication alongside email. Lync communications may include content that must be preserved for legal and compliance purposes. Organizations subject to regulations such as Sarbanes/Oxley, Dodd/Frank, FINRA, FSA, IIROC and other regulations are required to preserve IM conversations. There is also a desire on the part of end users to view old IM conversations and to preserve conversations for future use and reference.

Lync Connector is a new Enterprise Vault.cloud feature that enables organizations to archive Lync IM conversations and content from on-premise Lync Server 2010 and 2013 environments. The Lync Connector extracts Lync content from the Lync archiving database and pushes it to Enterprise Vault.cloud via SMTP.  

Enterprise Vault.cloud supports the following Lync content sources:

•          Instant messages
•          Multiparty IMs (conferences, meetings)
•          Conference content (hand-outs)
•          Conference activity (users joining, leaving)
•          Conference whiteboards & polls

Once archived, the content is available for eDiscovery searches with Enterprise Vault Discovery.cloud, and can be accessed from each end user's Enterprise Vault Personal.cloud archive. Instead of capturing each post individually, a conversation is archived as a single item, to provide the full context during review.

All content is stored in a single, searchable cloud archive alongside other archived content including email, and SharePoint Server and Box files, enabling rapid search and retrieval across multiple content sources. Users can instantly access any type of archived content via a web browser, mobile devices, or their Microsoft Outlook or IBM Domino email client.

Support for Lync archiving is available to Enterprise Vault.cloud customers at no additional cost. 

Click here to learn more.

Alan Turing (1912-1952), a British computer scientist and cryptographer, once said “We can only see a short distance ahead, but we can see plenty there that needs to be done.”  This encompasses our approach at Symantec. Over the past year, the Diversity and Inclusion team has worked hard with SymPride (Symantec’s LGBT employee resource group), Human Resources, the Legal and Public Policy department and the office of Mike Brown to advance inclusion and support of our LGBT communities around the world. 

“We’ve made great strides in expanding our LGBT employee resource group, SymPride,” says Fran Rosch, executive vice president of the Norton business unit. “SymPride has an important role to play in advocating for equality, cultural sensitivity, and LGBT awareness, and I’m excited to have the opportunity to work with SymPride’s global leaders, as the group’s executive sponsor.”

New SymPride chapters have recently launched in Ireland and the UK, and champions from around the US, EMEA, India and APJ have been meeting regularly to create a new strategy and charter, focusing on the development of our LGBT talent and on creating inclusive workplaces at all our sites.

While awaiting a recent referendum on gay marriage in Ireland, our Dublin LGBT employees found community within the newly established SymPride chapter.  They shared stories and resources with each other on how to advocate for their rights in the referendum outside of work. This is one of the reasons Symantec encourages and supports employee resource groups like SymPride. They give members the opportunity to find support and encouragement on issues they deal with not just at work, but outside Symantec – at home and in their communities. (And in case you haven’t heard, Ireland voted ‘yes’ to same-sex marriage!)

This year, Symantec has also expanded its LGBT partnerships beyond the Human Rights Campaign and Out & Equal. In February of this year we partnered with a new organization, Lesbians Who Tech, by supporting their summit for lesbians in technology and their advocates. Leanne Pittsford, the founder of Lesbians Who Tech, will also be speaking at our Mountain View office on June 25th about the importance of visibility, mentorship and advocacy by allies for the LGBT community in the technology sector.

In the coming weeks, we will be highlighting inspirational employees who have taken leadership roles in supporting the LGBT community at Symantec, be it through being visible LGBT role models, leading philanthropic and volunteer efforts locally, or by being visible allies. Allies, supporters of the LGBT community who do not themselves identify as LGBT, are essential to inclusion both at Symantec and in society at large. Our LGBT allies at Symantec have been instrumental in starting and running SymPride at various sites, and one of our upcoming features will highlight the allies that have worked to make Symantec a welcoming community. 

But we also recognize that progress needs to happen outside our offices as well. In April, Symantec signed a statement in response to public officials in Indiana and other US states considering potentially discriminatory laws. The statement challenges bills that could allow individuals and businesses to discriminate against lesbian, gay, bisexual and transgender people, as well as other minorities. 

As a business, taking a stand against such legislations is not only about standing up for our values as a company; it is also about doing good business.  Our CEO, Mike Brown, stated "Any piece of legislation that legitimizes discrimination of any kind is not only contrary to our core values, but also simply bad business." He added, "[a]t Symantec, we value diversity and inclusion, and believe we benefit as a business as a result. This is more than just race, gender and ethnicity. We embrace every culture, language, age, sexual orientation, disability, background and experience. Legislation in opposition to this position negatively impacts our ability to attract talent, and hinders our ability to meet the needs of our diverse customer base – and that stifles economic growth."

LGBT Pride Month History

Lesbian, Gay, Bisexual and Transgender Pride Month (LGBT Pride Month) is celebrated each year in the month of June to honor the 1969 Stonewall riots in Manhattan. The Stonewall riots were a tipping point for the Gay Liberation Movement in the United States. In the United States the last Sunday in June was initially celebrated as “Gay Pride Day,” but the actual day was flexible. In major cities across the nation the “day” soon grew to encompass a month-long series of events. Today, celebrations include pride parades, picnics, parties, workshops, symposia and concerts, and LGBT Pride Month events attract millions of participants around the world. Memorials are held during this month for those members of the community who have been lost to hate crimes or HIV/AIDS. The purpose of the commemorative month is to recognize the impact that lesbian, gay, bisexual and transgender individuals have had on history locally, nationally, and internationally.

You can read more about the history of Pride month here, in last year’s Pride article by Antoine Andrews, Director of Global Diversity & Inclusion.

For more information on Symantec’s diversity and inclusion visit us here.  

Denny Young is Symantec's VP Finance, Global Business Transformation