新联邦CISO的一个公开信
2016年2月,奥巴马总统公布了他的网络安全国家行动计划(CNAP),并宣布建立一个新的联邦政府安全官员(CISO)。虽然工作尚未充满填写(职位职位),但我认为新的CISO可能会欣赏私营行业的一些建议,曾经他或她定居了一旦他或她落户。
到新联邦CISO:
祝贺您最近的约会作为我们国家的第一个联邦CISO。你的约会姗姗来迟,我不仅仅意味着它肯定需要很长时间才能找到合适的工作!
不,它姗姗来迟,因为网络安全太重要了,无法让今天的敌人管理和监督在政府内的各个分支机构和机构之间的典范。该国需要一个冠军,以获得信息安全的作用。不仅仅在公共部门,而是跨越各界美国生活,从商业到学校到家。你有机会成为那个冠军。
你的第一个月就业将忙,可以肯定。您必须先了解并赢得各种机构的现有CISO的信任。这将是没有小的任务,它将深受争议的政治环境中的彩色。您还将面临指导致力于网络安全的最大预算的直接任务,目标是奥巴马总统2017财年预算超过190亿美元。
幸运的是,关于在哪里花费大块这笔钱的广泛协议:更新每个人同意的是一个可耻的过时的联邦IT基础架构。您可能会为这项工作带来巨大的技术敏锐,您将需要它在快速增长和令人难以置信的创新网络安全市场中寻找解决方案。我希望您将获得来自国家最大公司的CisoS的建议和咨询,这些公司已经长期拥有资源,以对建立安全IT环境进行有意义的投资。
但即使您面临政治,技术和金钱所呈现的挑战,我敦促您展望您必须改变网络安全文化的巨大机会。
正如我相信你一次又一次地听到,那么世界上的所有政策和所有技术控制都会让你没有擅长雇员作为持续斗争的狂热参与者来保护信息。即使是最先进的网络安全堡垒也无法通过单击Phishy Email中的链接来防范员工不小心留下门。
建立安全感感知的文化并不小壮举,但也是可能的。如何?您可以在美国最具风险知识公司的一些最佳实践之后开始。以下是一些想法:
1.从顶部开始
无论好坏,人们都会向领导人寻找他们的组织的基调。这就是为什么你,联邦CISO和每一个私营和公共部门组织的每个高管都必须了解并公开沟通网络安全风险。
我们已经看到网络安全风险成为过去几年的董事会和行政级别的关注,但在这个层面的人们在个人和直接谈论这种风险对他们的生活和他们的组织的影响而讲述或说话太少。我们需要更好地了解教育领导者的风险性质,并让他们将这种理解纳入常规沟通到员工和公民。
推荐:教育所有行政级别的人员在网络安全的最佳实践中,并确保他们致力于将网络安全提供给员工和公众的常规地点。
2.但是为每个人都做到这一点
员工可能会展示领导人来设置语调,但他们不会对行为进行实质性变化,除非他们可以直接连接网络安全风险以及个人生活。这就是为什么它是如此至关重要,你到达他们的人:
但你不应该停止工作角色。人们需要知道网络ecurity也适用于工作之外的生活。寻找与他们的个人生活连接网络安全的方法,内容与人们相关的内容:
无论我们的年龄还是我们的工作,我们都面临网络安全风险。但这些风险采取不同的形式,我们需要了解并做些什么来保护自己在我们的角色中不同。您教育的方式必须反映这些差异,或者它将无关紧要,最终无效。
推荐:定制所有网络安全相关的培训和与角色的沟通(无论是生命中的工作角色还是阶段),以确保信息相关和可行。
3.让它参与其中
如果我们期望网络安全知识成为我们文化中的基本要素,我们需要从广告,通信和公关中获取我们的提示。(而不是,我很遗憾地说,从传统的培训实践中)。看看刘易斯的烟雾为防止野火做了什么,或者牛肉在哪里?“为汉堡包了。
简单的口号或互动体验,以乐趣和相关的方式清楚地多次交付,更重要的是建立意识,而不是长期干燥的训练课程,这些课程如此经常被誉为谈到网络安全。即使是现在常见的模拟网络钓鱼攻击也可以取得有趣和接触(而不是惩罚),如果他们成为持续的追求,以便看到哪些员工可以发现网络钓鱼诱饵。使用幽默或游戏或震动策略是否有风险沟通网络安全?当然。有些人不会得到它或者可以通过特定的方法推迟。但无聊的人的风险要大得多。如果人们无聊,他们永远不会学习。
推荐:从事全面的运动,让人们谈论游戏,网络钓鱼模拟,海报和视频等功能。您可以呈现邮件的方式越多,越好。
4.使用技术的好(或,不要成为大哥)
今天的网络安全市场中的技术能力是惊人的。在短短几年内,人工智能可能能够识别,预测和预防我们在IT基础架构内的几乎所有邪恶的行为。
但是,随着这些进展,我们面临着如此过度控制和过度限制的风险,我们扼杀了待倡议和创新,疏远了我们寻求保护的员工和公民。今天已经在今天,一些组织限制了人们在荒岛上搁浅的IT环境中的员工行为。这些组织的员工怨恨此类限制并寻求周围的方式,导致与这些工具试图实现的内容完全相反:增加了危险行为。
限制和控制不是答案。我们有机会使用技术巫术,但是,如果我们追求以人为本的安全策略,承认技术是有助于人类创新,然后部署不必要地限制行为的技术控制。后者的例子是识别风险行为的行为分析工具,并在行动时提供相关教育。这样的工具,免费员工为本组织的利益行事,同时也识别和限制持续危险行为。
推荐:部署在保护信息时启用创新的技术解决方案。
5.分享
我在联邦政府安全教育者协会(FISSEA)的一组信息系统安全专业人员中介绍并参加了会议,该专员在联邦政府中致力于教育员工了解网络ecurity。他们是我在这个领域见过的最聪明的人,很容易作为私营部门的同龄人。然而,由于预算限制和缺乏可用技术,他们必须乞求,借用和偷窃创造有意义和相关的认识计划。我一次又一次地听到这些专业人士哀叹由于这些限制而无法实现进展,这反映了从顶部缺乏对网络安全的影响。现在是时候支持联邦政府的风险感知文化了,具有重要的教育和沟通投资。
推荐:投资于创建联邦网络安全课程,包括多方面和模块化培训,游戏,视频,海报等,然后使所有联邦机构提供该课程。此外,资助自定义待融资组织内容的能力。
我的建议最终归结为:除非您引起所有员工的关注,世界上所有技术投资都不会解决您的网络安全问题,并最终为所有公民提供积极模型来保护信息。它已经在全国各地的公司完成。现在是时候让你在联邦一级领导努力了。
我希望你是最好的。
汤姆Pendergast是安全,隐私和遵守安全意识公司MediaPro的首席战略者。