内部看纽约州政府网络安全

作为其企业IT转型的一部分,纽约州立道地改变了网络安全的工作。在这个独家采访中,我们看到她的团队如何实施令人印象深刻的计划。

by / March 18, 2019
纽约州国会大厦

作为大规模IT转型和整合努力的一部分,纽约政府的国家重新设计了它在过去几年中保护成分数据的方式。这些广泛的网络安全工作由国家令人印象深刻的努力 首席信息安全官(CISO)德国斯奈德.

在她的政府技术领导作用中,Deborah Snyder指导了首席信息安全办公室’综合治理,风险管理和合规计划。她负责提供战略领导和愿景,并确保业务对齐,基于风险的投资,以最大化商业机会,最大限度地减少网络安全风险。

斯奈德通过长期和专业认证列表,包括MBA,GCIS,GSTRT,CISSP,CRISC,PMP的长期和专业认证列表。

她在NY CISO执行峰会管理委员会担任NYS论坛委员会,是一家国家公共行政学院,以及项目管理研究所,INFRARARD,信息系统安全协会(ISSA),信息系统审计和控制协会的成员(ISACA)和内部审计研究所(IIA)。

她教授研究生级课程,发表了众多文章,并合着“SECURE –保证信息安全的人的见解,”提供行业领导洞察力和观点。她是一个备受推崇的扬声器,关于行政级别的业务和IT专业人员至关重要。

您可以通过在2018年DFSO网络安全地址查看这一主题演讲来了解Deborah的演讲风格和广泛的知识&付款圆桌会议在哥伦比亚商学院举行(如下所示。)

我第一次见到黛博拉(她经常去‘Deb’)大约四年前在一个Nascio会议上,当她是副Ciso时。我对她的知识深处印象深刻,对安全的激情和真正清楚的思考。正如您在接受面谈中看到的那样,她在一段时间内建立了相当令人惊叹的队伍,并在全国各地保持最困难的一段时间。现在参加面试。

纽约州首席信息安全官员黛博拉斯奈德

丹洛姆曼(DL):纽约在过去几年中经历了主要的技术变化和集中化。告诉我们这一点。

deborah Snyder (DS):这New York State Office of Information Technology Services (ITS) was created in 2012, as part of 州长安德鲁姆·库莫’S Visionary信息技术转型与整合 initiative. 其负责为国家及其政府实体提供集中IT服务,并提高了我们公民依赖这些服务的认识。 因此,我们为所有州政府机构设定了全州技术政策,并监测国家的所有大型技术支出,寻求效率,降低成本和创新解决方案。 我们的战略目标支持行政的优先事项,并与机构任务一致,以实现更好的政府服务。

它的’ 许多法定职责 还包括提供国家政府网络安全基础设施的保护,包括但不限于识别和减轻漏洞,阻止和响应网络事件,并在国家内促进网络安全意识。

在州长下’通过国家首席信息安全办公室的领导,它已经建立了全面的网络安全计划,并对加强国家进行了重大投资’S网络安全姿势和能力。 我们涵盖了各种服务,包括州所有政策,标准,计划治理,合规性,风险管理,信息安全培训和练习,漏洞和威胁管理,威胁情报分析,安全运营中心监测和检测(包括第三方监督管理安全服务)和数字取证和事件响应。 作为CISO,我还直接和维护NYS Cyber​​指挥中心,热线和相关程序为网络事件报告和响应和数字取证,并分发实时建议和警报。

我们的网络计划在成熟的行业框架和实践上建立(例如,国家网络安全框架和前20名关键控件)。这确保它支持它’提供满足客户的安全,可靠和经济高效的IT服务的使命’业务优先事项和合规要求。

我们的“NorthStar” –驱动和指导我们的优先事项和目标的使命是“推进纽约州’S保障信息的能力,防御网络威胁,并提供创新和安全的政府服务。”  

DL: 由于您开始在纽约的网络安全领导力努力,您已经看到了人员配置和安全预算的大幅增加。你能提供一些细节吗?这是如何发生在这么短的时间里?

DS:Since ITS was formed, our team has grown to over 60 full-time security professionals, and investments in cyber have increased significantly. Part of this growth was simply due to the centralization of security resources as part of our continued efforts to transform and improve services delivery. This has been highly effective in driving standardized security processes and service delivery, to assure consistent performance and quality.

其中一部分是确保网络安全在预算规划中牢牢牢牢。我们的方法更像是关于网络作为企业风险管理的要素的对话。 我们提供了越来越危险的网络攻击风险以及事件和违规费用的相关例子。 我们还审查并履行了在整个组织中提供了更清晰的倡议的举措的支出,以支持提高安全性。换句话说,更好地了解我们在办公室超越的东西’s direct costs.

我们制定了将安全活动的成本转变为项目规划和预测的机制,提高了我们的能力整合了将安全要求的思考,共成本,范围和时间表。

虽然我们当然被认为是别人在网络安全上支出的一百分比,但尤其是其他国家,它不是’T作为我们需要花费的尺度。我们查看了我们的整体安全姿势,以及我们在价格,性能和能力成熟点的支出以及我们所需要的能力,能力,准备程度和我们所需要的恢复程度,或者在哪里我们需要进一步投资的地区。我们还建立了绩效和结果指标。这有助于我们确保基于业绩和价值进行资本请求和投资。

DL:你现在看到的一些顶级网络滑轨是什么,你是如何与他们打交道的?

DS:The threats we see are really no different than any other large organization. 与其他相当大的公共和私人实体一样,纽约州政府依赖于大型和复杂的技术环境来进行运营。  其在分布式和复杂的基础架构中保护了国家和地方政府实体使用的共享技术服务,州际网络,数据,系统和关键基础设施 - 超过160,000个端点,140,000名用户和4,600个应用程序。

网络犯罪分子和黑客是机会主义的。 攻击试图利用您最薄弱的联系。  They “live off the land,”尝试在系统硬件和软件中识别和利用漏洞,这些软件尚未保留修补并最新。 如果你密切检查“root causes,”您在今天的新闻中看到的大多数违规是人为错误的结果–社会工程,误配置系统。 

我们已经看到了我们有针对性的社会工程攻击–例如,旨在获得敏感信息和妥协商业电子邮件帐户的网络钓鱼活动。 我们还看到损害恶意软件攻击,包括打击医疗保健设施和地方政府的赎金。

虽然行业报告表明,赎金软件掉落,而硬币挖掘恶意软件成为2018年国际货币基化攻击的最佳手段,但我认为我们可能会在2019年的恶意软件攻击中看到复兴,这是由于经济影响对加密货值产生负面影响。

在处理这些威胁方面,我们’在确保良好的网络卫生实践方面,ve Double Down - 确保安全基础的基本措施。我们还为关键投资制定了一个战略路线图,以便继续加强国家’保护数据,系统和基础设施的能力,并加强防范下一代网络攻击。

成功的关键因素:

  • 维护资产库存 所以你知道你需要保护什么,以及它的状态。
  • 控制访问 based on a “need to know,”并确保强大的用户身份验证。部署多因素身份验证,在整个生命周期内管理用户帐户–确保正确识别审查,背景清除实践,帐户配置和取消,并密切关注特权账户。
  • 确保安全配置 在服务器,工作站/笔记本电脑和移动设备上的硬件/软件上。
  • 不断评估系统以识别和修复漏洞,减少攻击者的机会来定位弱点。
  • 监控和分析日志,并在可疑事件上提醒,帮助迅速识别,了解,理解,响应和恢复事件。

一旦你有基础就到位,就掌握了基于风险的方法是关键。 每个组织都有有限的资源和明智地使用它们的信托责任。 根据最可能和影响您的组织和群体的努力确定努力有助于确保牢固的投资回报。 事件,行业报告和政府部门的趋势表明,大多数攻击通过电子邮件,网络浏览器和应用程序漏洞即可进入,因此首先提供了一种实用的方法。

我们已经学会了永远不要低估强大主动抗辩的价值。

基本上,让您的用户更难犯错,更容易我们检测,响应和恢复。

它通过每天阻止超过700万安全事件来主动保护客户—一个极具强大的业务价值声明和网络安全投资回报。 

预防焦点技术,改进的Web浏览器滤波和入侵检测有助于加强防御和安全姿势。

  • 保护敏感数据 - 加密是最佳的数据保护保证,而且还考虑数据丢失保护(DLP),信息权限管理(IRM),自动监控未经授权访问和传输敏感信息,并主动警告/或阻止此类活动。
  • 增强Web浏览器和电子邮件保护 通过过滤和阻止恶意链接和附件来减少攻击者操纵人类行为的机会。部署电子邮件身份验证(信任)政策,以减少欺诈性电子邮件(欺骗)和潜在的财务和声誉风险。

下一代安全平台,自动化和标准化会产生效率和成本节约。 简化威胁分析和事件响应过程有助于提高容量并改善主动响应时间。

启发式和基于AI的解决方案检测,警报和/或阻止“anomalous behaviors”超过公差并发送红旗。 分段网络有助于隔离和更严格控制对关键系统的访问和高敏感数据。

“安全逐个设计,建造或购买” - 实施安全系统开发生命周期流程,以管理所有内部开发和获取的软件的安全性,以防止,检测和纠正安全弱点。 在开发过程中扫描应用程序和迁移到制作中以识别和修复应用程序漏洞的应用程序。 如果您有许多应用程序,请采取基于风险的方法并从系统开始“mission-critical” and/or “Internet-facing”并包含敏感数据。

DL: 您最高的战略安全项目是什么?你希望前进的目标是什么?                        

DS:Our strategic roadmap and priority initiatives encompass multiple themes, including enhancing governance and visibility, protecting business email and user accounts; safeguarding sensitive data; protecting business applications and devices; and strengthening NY State’S的关键基础设施。

2017年,我们要求资本投资对政府,公民和业务的下一代威胁打击下一代威胁。  The “first wave”这些举措现在正在进行中,我们正在取得良好进展。

我们的目标是向国家和客户机构提供业务价值。 我们通过确保所有网络安全举措和投资与业务目标和行业实践保持一致,并适应当前的威胁景观。

DL:您的团队在过去几年中如何发展–包括使用承包商?

DS:Cyber security is a dynamic field requiring specialized skills and a highly-trained workforce. Staying ahead of threats, and responding quickly to alerts and incidents requires proficient teams.  与许多其他大型组织一样,我们利用托管安全服务来增加持续监控和检测能力,并在威胁景观上保持全球视角。

我们最大的优势之一是招募和招聘合适的技能集和投资于我们的人民。增长和学习的机会受到高度重视。 我们的培训和专业发展方案反映了这一点,提供了各种各样的专业发展和基于技能的机会和教育举措。

2018年6月,我们的21个NYS年度网络安全会议–跨越的最长的国家赞助大会,横跨14个赛道和3天的48次会议筹集了1,600名注册人和46名赞助商。 我们还为地方政府,教育,能源,健康和法律提供了特定的部门会议,以及领先的研究和实践技能培训。 

超过68%的安全人员持有一个或多个行业认证。 我们的团队经常参与持续的技能培训和参加顶级行业会议。 超过50%的NYS Cyber​​ Command Center团队在顶级行业网络范围内培训。 这些投资正在支付能力和表现的股息。

我们不’T停止在安全团队。 由于安全被整合到我们在其所在,我们投资于整个组织–例如,它的开发人员已经接受了应用安全原则和安全的代码测试工具和技术,数据库管理员接收对数据库安全性的培训,安全架构设计中的操作团队和配置管理。 

作为我们的CIO,Bob Samson经常强调,“All IT is Cyber.”  我们提供的每个主动性,设备,服务和产品都有一个网络组件。 所有它必须配置和操作,以降低NYS的风险’数据,系统和基础架构。做安全性的大部分是每个员工知道如何将安全概念应用于他们的工作,并且能够优化我们到位的工具和技术。

合作和强大的伙伴关系是我们成功的关键因素。 网络安全是一个需要的共同责任“all hands on deck” collaboration. 我们积极聘请客户在管理和理解其网络风险,并确保内部团队的合作。 我们还在联邦,州和地方政府和关键基础设施领域保持强大的伙伴关系。

我们每月举办惯例和网络伙伴会议,以促进最佳实践,股票情报,并积极参与联邦,州和地方政府网络锻炼。

2018年,CISO的共同努力和MS-ISAC导致所有62个NYS县的注册,以及150多名学校和市政当局。 这些组织现在无法完全访问有益的网络工具,资源和服务。  我们也在支持国家’S教育部在他们努力加强当地区域信息中心的安全,超过700 k-12学校和65名国家大学校园。

DL:您可以在吸引和维护网络人才上给别人提供哪些提示?

DS:It’没有秘密,即越来越多的需求,与稀缺技术的网络专业人员的需求相结合创造了一个全球产业差距,使工作市场和薪水具有竞争力。  根据最近的估计,2021年,业界将有多达350万未填充的职位。

创造性的招聘,人才保留和专业发展努力是确保熟练和有效的安全团队的关键。 网络安全专业人员可以来自技术和非技术背景。我们积极寻找我们组织内的智能,有动力的个人,具有正确的合作,沟通和分析技能。

我们积极参与建设未来网络的人才库。 我们支持全国学校的Stew / Steam和技术教育计划。 我们受欢迎的NYS K-12网络海报大赛在过去五年中经历了200%的增长,其中五个国家获胜来自纽约州。  

我们与大学和高校有很强的关系,作为新人才的饲料流,并倾向于帮助驱动与劳动力需求保持一致的程序和课程。 我们在职业日和求职博览会上,教育学生在专业的广泛机会。 我们的Cyber​​ Open House为大学生的活动总是很好。 

鲁棒实习,奖学金和指导方案有助于我们吸引新的人才到政府服务。 退伍军人计划是我们正在充分利用的另一渠道,挖掘前军事服务人员的情报培训和实践经验。 

我们的cyber outreach efforts recently received the 国家网络安全联盟网络安全社区奖。这首先奖励突出了举例说明卓越的网络安全,帮助每个人保持更安全,更安全的在线,并推广网络安全作为共同责任。 NCSA通过其全面的网络安全意识和外展计划,为这一奖项承认其努力积极影响社区。

我也相信回馈和帮助下一个浪潮,教学,常规地发言和指导,作为吸引当前和未来的专业人士的手段,以及分享当今可以帮助他们获得成功的知识和技能’s workplace.

DL:告诉我们你的方法,可以将数据安全地移动到云端。

DS:ITS has taken a hybrid strategy. 我们维持纽约’私人政府云环境– the excelsior.Cloud,在全国的第一个,在我们最先进的数据中心。 我们还务实地利用公共云服务,以支持适当的各种功能和功能 - 例如,Microsoft Office 365,呼叫中心/帮助台功能和网站托管。

随着普遍存在计算和数字业务转型的Mega趋势继续推动云服务的采用,它挑战了平衡福利–成本,可靠性和加速创新,同时仍在确保安全性。

我们的努力是一种云解决方案路线图和云服务经纪模型,可自动化和标准化IT基础架构,同时降低运营成本和时间来提供应用程序。这确保了灵活,弹性和经济高效的多云服务,具有高可用性和灾难恢复增强功能,可使机构,员工和公民具有一流的服务,并提供无摩擦的客户体验。

至关重要的是我们首席数据官员推进的国家数据策略的发展,以确保我们了解我们拥有的数据,所有权,业务使用以及相关的安全和隐私要求。

我们建立了控制期望,并应用了习惯的行业标准和方法,以帮助评估云服务并促进供应商安全姿势的透明度。 这确保了我们清楚地传达了我们的客户’业务需求和安全功能供应商必须到位。

从那里,它归结为要求和维护实体控制,包括强认证和身份管理,安全配置,漏洞测试协议,加密,安全应用程序编程接口和微序列,以及适当的微分段。

DL:你想要添加的其他任何东西吗?

DS:  When you’在那里脱颖而出,引领电荷,可能很容易失去你的连接“why” behind what we do.  It’重要的是要保持这种情况“Northstar” –这种目的和与我们的客户机构和我们服务的人的意识和联系在我们面前。 我们的团队受到我们所做的具有挑战性和有意义的工作的高度动力,以及我们从事的各种问题。 信息安全是一个令人难以置信的动态字段–这么多,以至于它每天都能感觉到不同的工作。那’是什么让它保持有趣和相关。  

如果我们接受技术触及政府各个方面的概念,那么强大的相互连接的现代技术,它提供了真正改变我们如何提供安全的政府服务的权力。

我们的Cio Bob Samson经常谈论IT巨型趋势–普遍存在的计算,数据,云服务和网络安全,正在塑造我们的世界和创新的加速。 他强调了这些趋势之间的关系,以及推进国家的能力’议程,帮助机构解决了他们的“grand challenges.”

向前发展,警惕,恢复力和强化和策略“future-proof”网络安全防御,将是正在进行的主题。 随着我们继续支持国家的拥抱“digital”和改变政府服务,我们的网络安全战略必须平衡最先进的安全服务,敏捷性使得整合安全无摩擦。 安全不再只是我们所做的事情;它’S成为我们所在的一切的综合部分。

纽约州正在向国家展示这是如何完成的,以使我们的机构,居民和企业的利益。  “Government Serves.”  Excelsior –Ever Upward!

Dan lohrmann: 我要感谢Deb,花时间做面试,并为您分享您的见解,经验,想法和纽约州的许多成就。当然,您肯定提供了一个最优秀的典范,以便在网络安全中遵循网络的其余部分。你的时间非常感谢。  


永远不会错过每日Govtech今天的故事时事通讯。

订阅


E.Republic平台& Programs