您是否无法为您的网络安全计划或政府主要项目获得所需资源?人员配备,资金或获得高管支持是否足以让工作呢?您希望加强对管理层的影响力和信任吗?虽然没有简单的答案,但这些想法可能有所帮助。
信用:shutterstock / dencg
“I oppose security!”你有没有听过政府执行官的话?
我从来没有。
或者,你有没有过度过度地过度陈述类似的陈述,“我认为保护个人数据和敏感信息我们的网络是一个坏主意。”
我也不。
事实上,在过去的几十年里,与各级政府合作,我从未见过政治席政治频统的政治家,他们支持数据违约,或拒绝通过黑客攻击我们的关键基础设施或身份盗窃的服务攻击或中断。
进一步越来越好,任何高级政府主管,主任,经理,主管,分析师,分析师甚至学生实习生公开倡导计算机网络防御,鼓励广泛的未经授权访问关键系统甚至冠军贫穷的网络卫生。
尽管如此,当安全和技术专业人员在多年来在联邦,州和地方的政府安全方案中回顾他们的政府安全计划时,他们经常发现资金行动不’T始终符合公开陈述。谈到声乐支持信息安全,网络安全,数据的隐私,网络防御,网络认识的员工培训或任何您给予计算机安全计划和项目的标签,其他优先事项往往会更加关注和有限的资源。
除非发生违规行为,否则公共部门领导人们越来越多的单词。在大多数情况下,沉默可能比声乐反对更为令人担忧,因为所需的谈话永远不会发生。
第一步:真正了解您的行政支持的情况
多年来,我已经观察到有关政府网络安全方案缺乏支持的几种熟悉的模式。虽然全球支持情况毫无疑问,但我们需要从过去的犯罪中学到未来改善。我们还必须记住,我们的在线对策继续发展并适应我们的新在线防御。
在大多数情况下,政府决策者陷入了传统的 采用分类曲线 关于支持网络安全计划和项目。此曲线包括类别:创新者,早期采用者,早期多数,迟到的大多数和落后者。 (注意:超链接图表中列出的百分比分解’对于用于其他技术领域的网络安全,但是对于其他技术领域来说,这一切都是如此,但这是另一天的不同讨论。)
虽然它肯定是没有人想要在他们的手表上违反数据,但政府经理(来自房屋的技术或商业方面)有多种原因可能是冠军的速度,以实现更好的安全控制或与其他政府的优先事项相反,为网络安全分配更多资源。
是的,许多网络计划似乎是改善。毫无疑问,由于新闻中的高调数据泄露的数量,影响个人数据的新法律以及指导医疗保健数据,信用卡,税务信息和征求性规定的新法律,毫无疑问更多的。
然而,我从未停止过障碍,障碍甚至砖墙,这些障碍物在一些政府组织有关实施所需的安全保护的情况下。其他优先事项常常获得更多关注和资金–通常是因为政治领导被选为支持教育,道路,医疗保健或公众更容易看到的教育,道路,医疗保健或其他地区等倡议的承诺。
简单说明,往往没有分配所需的资源以充分保护数据或运行政府网络安全计划。有关这些问题的更多详细信息,您可以查看此问题 Deloitte-Nascio网络安全研究 这在2014年出局,涵盖了国家政府的网络安全观点。
以下是来自该研究的一些选择引号:
- 州官员往往比主要信息安全官员(CISOS)更加自信,就在线保护。
- 国家Cisos正在努力招募和留住具有正确技能的人。
- Cisos继续引用缺乏足够的资金,作为计划有效性的顶级障碍,与2010年和2012年调查一致。
什么策略可以提供帮助?
但足够关于问题。安全和技术专业人员如何克服这些困难?
长期不起作用的一种流行的方法是通过专注于违规标题来吓唬每个人。这个策略的共同术语是一个“FUD briefing”这代表着蔓延,不确定性和怀疑。虽然最近的一些可怕的新闻标题可以像在主菜之前的好的开胃菜一样,但是,退伍军人安全专业人士了解,持久支持需要对管理层建立信任,在关键项目中提供意义结果并在您的计划上提供指标’s effectiveness.
以下是七种方式,已被证明在全国各地与公共和私营部门的安全和技术领导人在一起。无论您是有集中,分散或混合治理模式,考虑试图取消这些方法中的一个或多个,以获得额外的资源和影响情况。
1) 建立一个包括商业领袖的安全委员会。 建立一个安全委员会,包括来自您支持的业务方面客户的有影响力的代表,技术基础设施人员,您在企业中的其他主要决策者和其他关键决策者所作的应用程序开发领导者。支持法律,人力资源,内部审计和其他领域将使更广泛的支持网络能够进行安全举措。一旦建立,经常会面(例如每月一次),并确保正在讨论威胁并减轻风险。确保正在解决客户的担忧。
2) 午餐并与关键决策者建立个人关系和信任。 在政府中,有关谁提供的声誉和谁没有’T,你经常与同一组技术和商业专业人士合作多年。你需要走出你的方式来增长,培养和加强你的专业网络。
这里’s an example from a 我几年前写了几年前为CSO杂志写道的博客 关于特定的分离 与同事关系的安全问题。
“有分歧。完全正确!有时,您需要掌握您的地面,并不会妥协重要原则。但如果最终决定不,我试图不抱怨或建立不必要的墙壁’我走了。是的,我们试图与客户建立胜利/赢取解决方案,但如果我赢得了艰难的(胜利/丢失)争论,我 试图立即竭尽全力修补围栏,并加强与所涉及的客户的合作关系。它总是有帮助的,因为通常是一个“next time.”
如果您聚在一起,请在午餐时收听您的客户,您将自然地建立关系,这将比拒绝服务攻击发生的坏事,对密码政策或令人尴尬的审计结果的变化。….”
3) 找一个商业冠军。有一个创新的行政方面的商业方面与慢速采用者的高管发言。 有时,安全或技术执行者不是获得所需管理支持的最佳人选。尝试与商业主管合作“gets it”并要求他们与他们的同行与他们的同行谈论现在所需的特定网络安全保护的重要性 - 并非一般支持长期。
如果您的安全委员会(见第1项)是有效的,这种类型的跨企业支持将随着时间的推移而增长。简单地说,有领导者,创新者和早期采用者(上面提到的)赢得落后者。
4) Deliver a “security roadshow”每年至少向大家介绍你的立法机关,民选官员,机构负责人,预算官员和部门主管。 在一小时或更短的时间内,涵盖影响客户的特定主题以及他们独特的业务情况和需求。使用度量标准,真实故事,并允许大量的开放对话和Q / a。 使您的客户服务方法的定期安全简报一部分,并始终有特定的行动来解决这些客户的风险。简单来说,如果需要额外的资源,请询问他们的支持。
在相关项目中,您可以通过公共路演的公民,商业团体和其他合作伙伴建立公共支持,这些伴侣超出了您的直接圈子或企业 密歇根州长斯奈德支持和冠军的这种网络早餐计划。
5) 利用正在资助的热按钮问题。如果你可以的话’t beat them – join them. 这意味着您参加获得资助的项目。想想如何:“达到那些离开码头的船。”
通过确保在政府的这些资助项目中建立了安全性来执行此操作。确保您在桌面上席位作为委员会成员或重要举措的关键资源。 超越您的基本职责,帮助更广泛的技术和业务团队成功。
6) 指向其他政府的最佳实践网络安全项目示例。问:在与我的情况类似的情况下,在全国各地工作了什么? 有时候,即使你尊重和信任,也很难与预算办公室赢得争论。指向已经成功的其他政府可以帮助您赢得持怀疑态度的执行,希望看到特定项目值得过资本。
一个例子:审查全国首席信息官员(Nascio)奖网站的安全项目 www.nascio.org/awards.。看看过去几年的顶级项目获取想法,看看他们如何证明投资回报(ROI)。
7) 与您组织以外的其他人合作。 看看其他政府提供的机会,多国信息共享&分析中心(MS-ISAC),国家州长协会(NGA),美国国土安全部(DHS),Nascio和私营部门。当您构建安全策略时,不要’忘记如果您使用具有更广泛的其他群体,并且可能更为宽容,则服务可能更有效’t have.
地方政府需要与他们的国家合作。各国应与联邦同行合作。您可以了解更多有关这些机会的更多信息 互联网安全技术新闻一年的MS-ISAC上的博客.
获得资源和支持的另一种好方法是 建立公共/私人伙伴关系。非营利组织和私营部门领导人可以提供赠款和资源,并为有许多外部关系的高级决策者提供另一种声音。一些私营部门公司甚至可以帮助您获得所需项目的支持资金,但确保您遵循道德规范。
最近 国家网络安全峰会 在加利福尼亚州上周赞助的NGA和Nascio在这方面非常令人鼓舞。本次峰会将各种集团从美国聚集在一起,共同努力,从政府企业的所有部分,而不仅仅是技术商店的网络安全优先事项和方案。提供了可用于构建您的案例的示例。
最后的想法
请记住,政府预算通常由于各种原因经常通过整个财政年度摇摆。在某些情况下“年结束堕落金钱”随着财政年度缩短或收入超过以前的预测预测,可用。
当风改变时,不要毫无准备。始终拥有所需的网络安全列表优先项目项目,并在管理层最终说的时候购买,“What do you need?”
此外,时间至关重要。只是因为一个想法或项目没有’去年获得批准,并不批准’t mean it won’今年获得支持。依据:在正确的时间在正确的时间与正确的人交付给正确的决策者的合适的人。与您的采购官员合作,确保采购过程顺利运行。
I’d喜欢听取您获得网络安全的高管支持的策略。欢迎发表评论。
永远不会错过每日Govtech今天的故事时事通讯。
建立有效的虚拟政府需要新的想法,创新思考和努力。从Cybersecurity到云计算到移动设备,丹讨论了什么’S HOL和GOV TECH世界的工作。
与语音通信数据现代化的联邦政府途径有时已经陷入困境,因为联邦组织已开始远离PBX和运营数据商店的遗留架构,并转移到更云的架构 - 或者某种组合二。
在这个政府技术问题上,亚马逊网络服务(AWS)客户经理Loc TA讨论洛杉矶县如何处理大流行的中断以及如何从危机中汲取的经验教训将在未来几年中影响服务交付。
