联邦CISO可能是私营部门网络安全的手臂中的镜头
奥巴马总统预计将委任美国政府的首次联邦CISO。这是一个漫长的逾期,但欢迎,移动这意味着我们终于看到华盛顿对网络安全的真正行动。但是,在很多方面,它感觉太少,太晚了。
在过去的几年里,我们看到网络攻击和数字威胁在数量和影响中爆炸。黑客曾经是基础住宅的滋扰;现在,他们是全球组织的,有时是国家赞助的,犯罪者,犯罪者对政府机构,学校,医院,健康保险提供商,银行,应用程序开发商,专业网络平台,零售商,电影工作室,以及更多的令人震惊规则频率。这些攻击变得越来越昂贵,并通过分钟 - 独自对CEO的捕捞电子邮件攻击已经超过了30亿美元。
那么,联邦CISO可能对此一切做些什么?
前100天
作为托尼·斯科特,美国政府的CIO,新的CISO的主要作用将与国土安全部门和国家安全委员会等组织的机构级Cisos会面,并将所有人汇集在一起联邦政府并确保我们通过所有这些实体如何共同努力,通过思考,然后执行策略。“
基本上,所有联邦CISO都可以在最初几周和几个月内完成。这不像总统在办公室的前100天,他们有动力将他们最大的优先事项推向法律,并在他们可以立即脱离蝙蝠时获得尽可能多的政策制作。联邦CISO的前100天将是一个较慢的事件,建筑桥梁,并在政府中提供了许多不同的议程和专业水平。为了在他们的工作中有效,CISO需要时间建立利益攸关方网络,并在思想领袖建立声誉。
这意味着不太明显的行动前期和更多幕后的工作,使政府联邦IT计划在一起。
鼓励私营部门关闭技能差距
但联邦CISO可以在一个地区具有更直接的影响,这是私营部门。
建立联邦CISO在国家创造了单一的责任和问责制 - 一个“降压在这里停止”类型的职位。它给出了公共和私营部门组织的人,以寻求灵感和最佳实践 - 知道他们在谈论的人,可以被视为权威。
除了解决代表大会并提出政府如何改善网络安全的建议,联邦CISO可以促进私营部门的新做法和解决方案效仿。
今天安全行业的最大问题之一是如何投资。并不是市场上受到的投资 - 实际上是相反的。有很多钱进入网络安全市场,但它进入了错误的地方。这些投资主要旨在创造“下一个大事”,这将解决所有问题的闪亮新产品。
那些是分心的,他们忽略了潜在的问题:人类要素。
太多的私人组织不投资网络安全培训 - 无论是公司研讨会还是大学课程,都没有足够的机会,过去,现在和未来的IT专业人员可以了解他们需要了解安全的一切。私营部门需要将注意力和金钱引导到基本面的注意事项:关闭技能差距,雇用合适的人,并确保实际上有闪亮的人的人所知他们在做。
2016年PWC安全调查显示出这个问题的程度:近50%的公司没有自己的CISO。而且,只要他们没有那个职位,他们就没有人监督,他们正在制定对网络安全的正确决定:他们正在购买正确的解决方案,他们正在雇用合适的人民,以及他们知道那些合适的人甚至是甚至是为了尽可能地关闭技能差距。
这就是联邦CISO可以提供帮助的地方。
如果这些同一组织认为政府任命自己的CISO并采取步骤迈向网络安全教育,那么他们可能会开始这样做。他们将有一个榜样来遵循,他们将通过他们可以复制的联邦CISO举行实践和建议。
我们通常认为联邦它在曲线后面。那么如果政府任命CISO并投资培训和教育,那么你的曲线是多么曲线是你?
婴儿走向正确的方向
只是任命联邦CISO不能成为全部,最终所有目标。这只是在两个部门的更长过程中迈出了第一步,朝着建立有意义的全国网络安全工作。
我们不应该庆祝自己或休息的这一举行思考,嗯,现在这项工作已经完成了。联邦CISO只是叫醒电话。那个人肯定可以激发新一代美国人加入网络安全战战的前线。但它将归结为私营部门来接受下一步:任命他们自己的Cisos并使有针对性的投资在网络安全培训和教育中,以结束技能差距,确保我们的行业是最佳的,最知识渊博的人才可以解决今天的不断发展的威胁。
让我们开始工作!
Peter Bauer是电子邮件安全公司Mimecast的首席执行官。