保护明尼苏达州的数据:州政府安全领导人分享新策略

政府安全领导系列继续另外一套CIO / CISO访谈。本周我们前往明尼苏达州。

by / November 1, 2014

明尼苏达州CIO / CISO

Minnesota Cio Carolyn Parnell(右)与Ciso Chris Buse(左)

国家和地方政府如何保护数据并回应复杂的网络攻击?

由于黑客在越来越多的在线威胁中继续飙升公共和私营部门组织,政府必须不断调整他们的网络统计策略并计划有效。

去年成功工作的Cyber​​ Defenses甚至上个月,明天可能不足以阻止数据漏洞。那么政府安全领导人现在正在做什么准备最糟糕的事情–虽然实现业务改进和鼓励技术创新?

也许最重要的是,首席信息官员(CIO),首席信息安全官员(CISO)和其他技术领导人在企业中建立信任的数据违规新闻标题

政府CIO / CISO采访系列仍在继续

为了回答这些问题,我继续与国家和地方政府CIO,CISOS和其他国家领导人进行一系列采访。在过去的九个月里,我在一系列采访和访问中参与了最高州和地方政府网络安全领导者,以便回答这些不断变化的网络问题。 

以前的博客报告了政府网络峰会 威斯康星州 and 内布拉斯加州, 以及ASA 俄亥俄州的CXO研讨会 专注于文化变革。采访举办了顶级技术领导者 蒙大拿, 内华达州, 宾夕法尼亚州, 特拉华州 and 密西西比人.

我之后 回顾了密歇根州的十七年政府服务,我受到对纽约的开放式访问感到鼓舞,看看最新的发展 多州信息共享&分析中心(MS-ISAC)

现在,我们继续前进到一直是技术创新的领导者多年来。明尼苏达州是这一点 第一个州利用Microsoft Exchange电子邮件 在云中,密歇根以及其他国家遵循他们基于云的电子邮件示例。

遇见明尼苏达州’政府科技领袖

Carolyn Parnell被任命为明尼苏达州’s CIO 2011年2月由Gov.Mark Dayton的企业技术(OET)办公室和主任。 Parnell女士在技术中具有很大的技术记录,具有领导职责,包括MNSCU,该国的第五大专院和大学系统。她也是MN公共广播/美国公共媒体信息技术总监,以及富达国家信息系统的网络和数据中心主任,并作为明尼苏达大学网络和电信服务主任。  

作为明尼苏达州的CIO,在过去的三个多年里,她有一个长期的成就和奖项,如a GT前25名赢家2013年.  Here’s an excerpt: …2011年6月,立法机关通过了一项法案,巩固了Parnell下国家的所有IT功能’s office —巩固她所说的是大约五分之一,因为它’S巨大,多年的承诺。“我们开始授权在一个屋檐下拉出它的所有方面—人员,项目,基础设施,应用—其中散落在70多个组织中,” she said. “这尚未在国家之前完成。”

Chris Buse成为明尼苏达州’S CISO于2007年6月,他对整个国家的政府运营和网络安全政策产生了重大影响。他是一个由此发表的领导者 旧金山的RSA会议 and is an MS-ISAC的执行委员会成员.

我已经知道了克里斯多年了,我必须说他的激情和专业的卓越令人印象深刻。他是一个忠诚的网络专家,谁加强了努力完成任务并承担艰难问题。国家围绕着克里斯的Cisos争取克里斯,我在明尼苏达州的成就感到惊讶。 

关于CIO访谈:

丹洛姆曼:告诉我们您在明尼苏达州Cio的责任范围。

明尼苏达州Cio Carolyn Parnell:我是国家CIO和MN.IT服务专员。我们向70多个代理商,委员会和佣金提供全部范围,即[构成]国家’行政分公司。这是由于2011年要求全面整理状态的法律来源。我们的双管齐下的战略是在企业的基础上提供尽可能多的共同,基本的运营和应用,并提供与我们服务的机构各机构的30个办事处的独特的商业相关的应用程序开发和管理。我们正处于多年计划的计划,以定义,创建和员工的服务,以满足曾经独立运营的机构的需求。与此同时,我们继续为各机构提供服务’ individual needs.

担: How important is information security in your recently released strategic plan?

Carolyn:我们在我们的战略计划中有两年,准备刷新。信息安全是我们所有策略的关键,我们再次拥有双管齐下的方法:确保我们向国家环境介绍的所有新服务和应用都具有安全标准和能力作为基础建筑的一部分;并提高我们目前拥有的系统的漏洞管理,检测和缓解的努力。作为我们战略计划的一部分,我们将重新调整我们合并的安全团队,以提供共同的企业安全服务和工具;以及那些在行政部门内保护集群业务的集群。该计划反映了我们将最佳服务能够集中交付的服务的整体策略,并将员工分配给需要保持更接近业务的人员。

担: What keeps you up at night regarding cybersecurity?

Carolyn:它的整合是第一次来看看国家’S从更全局的角度来看的安全配置文件,并允许我们以以前的方式重新调整我们的资源。然而,很明显,安全局到机构的历史投资极为不均匀,在我们结合资源时,将我们留下了一点泡菜。它将需要多年的时间和领导到甚至在整个企业中的领导和解决安全问题。

丹:安全如何在职业生涯中改变?今天是否更重要的是大数据,移动计算和云安全挑战?

Carolyn:毫无疑问,今天的数字第一现实 ’我们未来的政府和我们看到的趋势要求所有国家加倍安全努力,以跟上与我们的代理商和公民所留给的技术引入的技术。另一方面,对国家的安全威胁继续增长。我们的挑战是满足业务需求和安全服务等于挑战的安全威胁。

丹:正如我们进入2015年,是在明尼苏达州的高度优先事项的网络安全?网络如何使用这么多竞争项目和州长优先事项来关注?

Carolyn:风险管理从来没有任何人’最喜欢的话题,特别是在政治环境中。但是,如果安全受到妥协,每日媒体就会出现问题,帮助人们比他们的想法更多。我最大的挑战是与我的委员和国家领导层建立良好的伙伴关系,因为我真的相信安全和风险管理是业务之间的共同责任。管理差或安全投资不足的后果阻碍了州政府’S的前线能力为公民服务,特别是在需要和危机时期。我们需要一起解决风险。最终,投资是他们的决定,我希望确保他们所做的决定是我们可以作为国家生活的决定。

明尼苏达CISO采访

担: Tell us about your scope of responsibilities as CISO in Minnesota.

Minnesota Ciso Chris Buse:作为明尼苏达州和MN.IT服务助理专员的首席信息安全官员,我’M负责为州政府设计和实施企业安全架构。这包括所有主动,无功和纠正的安全服务。我还监督企业架构,战略IT采购和地理空间服务,这些服务集体定义为我们的“leadership services”. 

担: What’现在对你的角色有热门吗?您在哪里花时间保护您的州政府?

克里斯:当我在州和地方政府查看信息安全服务时,我很清楚我们在唐尼布鲁克时刻。政府安全计划被淘汰,只需正确定位或妥善资助即可成功。 随着它的整合,明尼苏达州有一个金融机会来获得安全性,这是过去两年的专业重点。时间来弄清楚如何在我们的投资组合中提供许多安全服务,利用我们的州’水平经济。我指的是水平整合。 认识到某些安全服务需要“boots on the ground”知识,我们还正在努力向机构集群提供其他安全服务。我将我们计划的这一部分称为垂直整合,这涉及在六行业务中提供一致的安全:健康,经济,安全,环境,教育和一般政府。

正如我们整合IT服务,例如管理托管,我对领导服务的角色为我提供了一个独特的机会,可以简化和更适当地保护它。 我们正在从明尼苏达机构到处都有一切都到达各地的时代的时代,我们专注于一系列常见的建筑标准。这使我们的州更杠杆处理供应商并导致更简单的IT环境更加辩护。我们的目标很清楚:设计并实施默认情况下具有安全性的IT服务的整个产品组合。鉴于今天的复杂威胁,这种策略至关重要,因为桌面上永远不会有足够的钱来保护政府仍然在筒仓中运作。 

担: 您被称为网络安全领域的领导者。您还发布了一些创新的新计划。你能告诉我们这一点吗?

克里斯:我们的新信息安全计划侧重于水平和垂直整合。 该计划概述了每个安全服务的特定可交付成果,并介绍了新的中央和业务范围安全团队的可交付成果的履行方式。该计划还介绍了我们的阿森纳中的工具,这些工具将提供给安全人员和我们希望首先实施的优先级服务清单。 

我们的计划强调,没有服务可以完全集中或完全分配给一系列业务安全团队。例如,我们拥有安全监控服务,将管理一组技术,以帮助我们的国家实现态势意识和识别需要进一步调查的异常。虽然这是一个主要是集中的服务,但业务范围的安全团队将负责识别和帮助实施特定于应用程序的用例。相反,对于主要在业务水平提供的服务,该计划认识到这些服务将通过具有一致的方法和集中的支持工具来利用。 

我们向MS-ISAC年会的政府安全领导人提出了我们的IT安全合并计划,并提供了一些政府安全领导者,并副本。

担: Do you have enough talent in the cybersecurity area? How are you attracting and keeping cyber talent?

克里斯:我为我们团队的才能感到非常自豪。但是,我们总是在寻找更多有网络安全技能的人。在一个非常竞争力的市场,如明尼阿波利斯/圣。保罗,难以单独争夺薪水的人才。但是,我们可以通过与当地学院和大学合作开发人才管道创造自己的甜蜜点。我们还需要更好地宣传政府工作的优点,因为我们既有大规模做过它和信息安全。我竭诚相信,州政府是一个很棒的地方,可以追求信息安全的职业生涯,并感受到强烈的满足感,从而保持公民安全。 为政府努力真正感觉很好。

担: Is there anything else you’d想分享您的网络安全计划吗?

克里斯:我觉得是我们国家IT代理商的领导人的幸福。我们是一个具有强大领导力的进步组织,我们并不害怕变革。通过它和IT安全合并,我相信我们正在采取大胆的步骤,为我们的政府和我们服务的公民创造更美好的未来。在我的脑海里,在未来会成为我们所做的事情。 

丹:我谢谢去Carolyn和Chris为这次采访时花时间。明尼苏达州是在政府安全的许多领域领先。我祝贺你的出色努力!


该系列将在未来几周内继续进行另一套政府领导访谈以及我最近访问巴尔的摩的反馈 2014年Cyber​​ Maryland会议.

作为一个FYI - 底特律,密歇根州,是即将到来的网站 11月17日网络安全国际峰会


永远不会错过每日Govtech今天的故事时事通讯。

订阅


丹洛姆曼 安全Mentor Inc.的首席安全官兼首席战略师

Daniel J. Lohrmann是一个国际公认的网络安全领导者,技术专家,主题演讲者和作者。

在他杰出的职业生涯中,他在各种行政领导能力方面担任了公共和私营部门的全球组织,接受了众多国家奖项,包括:今年的CSO,今年公共官员和计算机世界总理100 IT领导者。
Lohrmann领导密歇根政府’从2002年5月到2014年5月的C网络安全和技术基础设施团队,包括企业全社会首席安全官(CSO),首席技术官(CTO)和密歇根州的首席信息安全官员(CISO)角色。

他目前担任首席安全官(CSO)和安全Mentor Inc.的首席战略家,他正在领导安全导师的发展和实施’S业界领先的网络培训,咨询和讲习班,为公共和私营部门的最终用户,管理人员和高管。他建议了白宫,国家州长协会(NGA),国家CIOS(Nascio),美国国土安全部(DHS),联邦,州和地方政府机构,财富500强公司,小企业和非营利机构。

他在计算机行业拥有30多年的经验,从国家安全局开始他的职业生涯。他在英格兰工作了三年,作为洛克希德马丁(前任Loral Aerspace)的高级网络工程师,并四年是美国/英国军事设施中曼特国际曼特国际技术总监。

Lohrmann是两本书的作者: 虚拟诚信:忠实地导航勇敢的新网站BYOD for You:带上自己的设备的指南。 他是来自南非的全球安全和技术会议的主题演讲者,到迪拜以及来自华盛顿,D.C.,莫斯科。

他掌握了巴尔的摩约翰霍普金斯大学的计算机科学(CS)的硕士学位,以及印第安纳州瓦尔帕莱索大学的CS学士学位。

在推特上关注Lohrmann: @govcso
 

E.Republic平台& Programs