俄亥俄州政府技术和安全领导者的热门策略

我们正在继续与全国各地的顶级CIO和CISO的一系列访谈,了解最佳状态和地方政府网络安全策略。本周,我们转向Buckeye国家,以从两名尊重的执行领导者学习。在联邦政府从主要OPM数据违约中卷入时,这项安全讨论从未如此重要。

by / June 13, 2015

俄亥俄州 Leaders

俄亥俄州Cio Stu Davis(左)与Ciso David Brown 信贷:俄亥俄州政府

“正如俄亥俄州一样,国家所以。” 这个众所周知的说法一般涉及政治历史,因为没有共和党曾赢过了白宫 没有获胜俄亥俄州 .  

但是在2015年,有大量的其他领导人示例来自俄亥俄州。在体育运动中,俄亥俄州州立大学Buckeyes通过在今年1月赢得大学橄榄球国家冠军,震惊了全国。在篮球中,克利夫兰骑士目前正在战斗成为NBA季后赛决赛中的世界冠军。

在经济方面,俄亥俄州’S稳定,虽然缓慢,增长是对美国国民经济的整体情况的良好反映, 根据专家 .

在国家政府技术和网络安全领导,俄亥俄州CIO Stuart Davis(更喜欢被称为STU)领导50州首席信息官(CIO)作为国家CIOS全国CIOS协会(NASCIO)的当前(2014-2015) 。斯图成为俄亥俄州’2011年3月的CIO,他的特殊领导技能很快就明显了。

在过去的四年里, 斯图尔特戴维斯  has 在美国国会之前作证 ,LED无数 Nascio委员会和工作组,冠军云计算和网络安全举措,大多数人都领导了俄亥俄州的主要技术基础设施转型和集中化’州政府的行政部门机构。为了他的努力,他被认为是一个 2013年DOR,梦想家和司机 (国家政府领导人在国家奖 政府技术 magazine.          

斯图是一个有天赋的演讲者,具有良好的幽默感和自然能够获得共识,并在俄亥俄州和该国围绕其行政同行持续的行动同意。作为NASCIO总裁,他经常被要求在各种线和离线情况下代表州CIO,他领导执行委员会会议和 Nascio优先设定努力.

在个人层面上,我在2011年至2014年到2014年的密歇根州和俄亥俄州技术团队之间的会议电话和俄亥俄州技术团队之间的面对面访问时,我对STU和他的技术领导团队获得了巨大的尊重。虽然有一个有趣,竞争的方面交叉-border伙伴关系和会议(是的,我在谈论密歇根州–奥苏体育竞争),也有一种合作感,彼此学习。 

2013年Nascio会议

Stu Davis在2013年NASCIO年度会议上领导讨论        信誉:Erepublic,David Kidd      

你可以拜访 俄亥俄州’S技术门户网站 and the state of 俄亥俄州’S隐私和安全信息中心在这里。

采访俄亥俄州CIO Stu Davis

Dan Lohrmann: 您作为技术领导者的职业生涯非常成功。你成功的秘诀是什么? 

俄亥俄州 CIO Stu Davis: 说你的意思和意思是你所说的…在您的行为中思考您的决定和刻意。那个和关系建设以及简单的老艰苦工作。

担: 什么 is your scope of duties as CIO in Ohio?

斯图: 我负责主导,监督和指导与IT开发有关的国家机构活动及其用于使国家业务的业务。

担:  作为NASCIO总裁的角色如何改变了您的技术和安全展望?

斯图: Nascio对我们在俄亥俄州进行的所有努力一直是一个极大的积极影响力。与其他CIO和商业伙伴的对等关系和讨论是无价的。作为总统的较高档案在自己的一系列挑战中带来,但技术的影响和安全性很大。总统校长提供了欺骗讲坛,以提高对CIO为他们的国家的好处和保持数据安全所需的警惕性的认识。

担: 您日常角色的网络安全有多重要?

斯图:  这是所有举措的头脑。我们努力努力,并保持国家的一致网络安全姿势。 

担: 有关的任何相关故事如何分享? 

斯图: 我们集中了网络安全功能并将网络安全资源重新分配给各机构。这极大地协助我们的反应能力,遏制并确保我们有足够的双手解决了他们提出的威胁。

担: 安全性如何在整个职业生涯中改变?

斯图: 我们今天有更好的工具和更尖锐的重点。它曾经是一个事后,现在的网络安全是作为我们倡议的愿景和设计阶段的战略合作伙伴。我们抵御攻击的攻击更频繁,并每天增长复杂。 

担: 今天是否更重要的是大数据,移动计算和云安全挑战?

斯图: 是的,超越那个。我们正在与远程界面和其他管理软件购买一起参与历史上没有被视为它。我们正在积极追求我们所有采购文件和合同的安全条款。

担:  2015年,网络安全是您的州长高度优先事项吗? 

斯图: 州长清楚地了解网络安全的重要性。我们正在积极与多州合作–信息共享和分析中心(MS-ISAC),俄亥俄州国土安全融合中心,俄亥俄州公路巡逻,俄亥俄州公共安全,国防部,俄亥俄州应急管理机构和地方政府,确保跨境通信,协调和协作。如果没有康西奇的强大支持,这不会发生这种情况。

担: 网络如何使用这么多竞争项目和优先事项来关注?

斯图: 正如我所提到的,它是前方和中心,与我们所有的优化努力。它渗透了俄亥俄州的服务织物向所有公民和企业提供。

与斯图戴维斯的视频在俄亥俄政府云计算

 Background on 俄亥俄州政府Ciso David Brown

大卫布朗成为俄亥俄州’S国家首席信息安全官(CISO)于二零一二年7月,经过十多年,以各种与俄亥俄州州政府提供服务。在成为国家CISO之前,他担任俄亥俄州公共安全和数据安全分析师俄亥俄州公共安全分析师CISO的副Ciso。 

正如您将从此次采访中看到,大卫在俄亥俄州政府中汇集了各种观众,以解决新的安全挑战和新兴威胁。

采访大卫布朗

Dan Lohrmann: 告诉我们您在俄亥俄州的CISO责任范围。

俄亥俄州 CISO David Brown: 我负责实施国家政府行政部门的安全政策和程序。 我们正在集中信息安全服务在俄亥俄州,因此我的办公室提供安全架构,风险管理,安全合规性,漏洞评估和渗透测试,安全工程,网络智能和威胁监测,事件响应和取证以及整体安全管理功能。国家’S首席隐私官还报告给我。我还将俄亥俄国土安全网络安全工作组举起椅子。我们还负责定期审查和提出整个国家整个国家安全性的建议,并协助国家’努力在俄亥俄州发展网络安全行业。

担: 您如何始终保持不断变化的网络滑动环境(个人和团队)?

大卫: 我的团队与俄亥俄州高速公路巡逻/公共安全,俄亥俄州紧急管理机构,俄亥俄州国防部卫队以及美国国土安全,以及多国信息共享和分析中心提供关于威胁的多国信息共享和分析中心我们看到州政府并分析了整个州的这些来源,商业伙伴和其他组织的网络情报。我们的办公室和俄亥俄州国民卫队将每年晚些时候在州立融合中心嵌入安全分析师,以提供网络智能分析和我们看到的威胁的实时协调,我们将继续拥有其他工作人员与融合互动中心非常频繁地撑起该能力。信息共享是关键。 

我还花时间阅读研究报告并与我的公共和私营部门同行交谈。根据所有这些信息,我们相应地修改了安全策略。我们的国家致力于实施20个关键安全控制,这些安全控制是根据当前威胁定期调整的。

担: What’现在对你的角色有热门吗?你在哪里度过你的时间,晚上让你保持困境?

大卫: 我花了很多时间,确保我们的整合努力保持在轨道上。这是一个大规模的事业。曾经以友好的时尚由每个机构处理的安全性,导致一些有强有力的安全计划和其他机构努力成功的机构。我们正在改变所有这些。我们正在创建新的企业安全策略,以确保统一实施该州’安全框架。 

我们还有五个主要的安全项目正在进行标准化和集中管理端点保护解决方案,添加额外的入侵防御能力,实现企业暹粒,跨企业的漏洞扫描,并安装Web应用程序防火墙。通过在巩固安全服务的过程中,我们已经看到了我们的安全姿势的重大改进,提高了对威胁的可见性和更多能力,以应对这些威胁作为企业。我们也在集中安全人员的过程中。为了提供这些服务,我们在过去两年中增加了我们的办公室工作人员从大约10人到30人,我们将在下一个两年期增加20个。

至于晚上让我保持警惕,我担心我们看到的威胁的成长和威胁的威胁。国家和地方政府不仅面临着个人黑客和黑客攻击群体的威胁,而且来自有组织的网络犯罪组织和国家有大量资源来表现复杂的攻击。

担: 过去十年的安全如何发展?什么’今天的不同(和同样的),与2005年相比说?

大卫: 我相信这些威胁的威胁数量和复杂程度急剧增加,但我们也看到更多信息分享,而不是以往任何时候的这些威胁。似乎每天不会在没有我们从我们的情报伙伴那里收到安全咨询的情况下。 

网络ecity也在商业角度来看,从过去的关注和考虑比过去更多。在没有听证于美国的某个地方的数据违约,你几乎无法听一天,受影响的组织看到了重大的业务影响。 私人和公共部门的实体和公民都越来越意识到需要更大的安全性。当然,在州政府内,我们的网络安全努力越来越大。信息安全和隐私办公室甚至没有10年前存在,但今天,它是我们信息技术计划的一个组成部分。网络保险现在是一个共同的主题,供考虑,这不是几年前的情况。 

云计算和BYOD今天正在变得普遍,但几年前几乎普遍存在。组织必须进行作业,并确保为这些环境提供安全控制。安全性需要成为业务的推动者,而不是障碍,安全从业者需要在寻找这些挑战的解决方案方面创造性。

担: 你在网络安全地区有足够的人才吗?你是如何吸引和保持以媒介的人?

大卫: 获取人才以两种方式是挑战。雇用具有重大经验和资格的人很难。这些资源的竞争非常强大,他们在私营部门获得更多的报酬。我们克服了一个共同努力,聘请州人员并培训他们在办公室的新角色,我们取得了良好的成功。  

我们利用国家安全职业生涯和研究倡议的职业研究和指导,制定职位描述,并确定每个职位的必要知识,技能和能力。我们现在将大学实习生纳入我们的计划,以补充州人员,以便他们获得经验,如果他们选择,可能会有一个州的职业道路。为了留住人员,我们强调持续培训,以帮助我们的员工对我们需要防御威胁的技能。 

每年,我们的安全人员例如在特定焦点面积上收到至少一个安全课程,例如事件响应,渗透测试和应用安全。这些课程通常需要30-40小时来完成。即加上我们正在介绍的新技术以及我们所做的转型工作有助于保持承诺。 我们有一个优秀的人员和国家机构团队。

担: 你还有别的吗?’d想分享您的网络安全计划和即将到来的项目?

大卫: 我只是想说我一直非常感谢与stu一起工作。作为国家CIO,他了解网络安全,他完全支持这些努力,对我来说有很大的帮助。我相信这种支持对于安全计划的成功至关重要。至于新项目,我们现在正在与俄亥俄州国家卫队,州公路巡逻/公共安全和俄亥俄州国土安全和俄亥俄州国土安全和俄亥俄州国土安全部门一起举行会议,以制定国家讯季度南部破产计划,以解决任何关键基础设施对网络内的潜在影响。在俄亥俄州。

担: I’d喜欢感谢stu和david花时间为这次采访。

该访谈系列与州和地方政府技术和网络安全领导者将在今年夏天晚些时候继续采访。


永远不会错过每日Govtech今天的故事时事通讯。

订阅


丹洛姆曼 安全Mentor Inc.的首席安全官兼首席战略师

Daniel J. Lohrmann是一个国际公认的网络安全领导者,技术专家,主题演讲者和作者。

在他杰出的职业生涯中,他在各种行政领导能力方面担任了公共和私营部门的全球组织,接受了众多国家奖项,包括:今年的CSO,今年公共官员和计算机世界总理100 IT领导者。
Lohrmann领导密歇根政府’从2002年5月到2014年5月的C网络安全和技术基础设施团队,包括企业全社会首席安全官(CSO),首席技术官(CTO)和密歇根州的首席信息安全官员(CISO)角色。

他目前担任首席安全官(CSO)和安全Mentor Inc.的首席战略家,他正在领导安全导师的发展和实施’S业界领先的网络培训,咨询和讲习班,为公共和私营部门的最终用户,管理人员和高管。他建议了白宫,国家州长协会(NGA),国家CIOS(Nascio),美国国土安全部(DHS),联邦,州和地方政府机构,财富500强公司,小企业和非营利机构。

他在计算机行业拥有30多年的经验,从国家安全局开始他的职业生涯。他在英格兰工作了三年,作为洛克希德马丁(前任Loral Aerspace)的高级网络工程师,并四年是美国/英国军事设施中曼特国际曼特国际技术总监。

Lohrmann是两本书的作者: 虚拟诚信:忠实地导航勇敢的新网站BYOD for You:带上自己的设备的指南。 他是来自南非的全球安全和技术会议的主题演讲者,到迪拜以及来自华盛顿,D.C.,莫斯科。

他掌握了巴尔的摩约翰霍普金斯大学的计算机科学(CS)的硕士学位,以及印第安纳州瓦尔帕莱索大学的CS学士学位。

在推特上关注Lohrmann: @govcso
 

E.Republic平台& Programs