这篇文章摘录自 GovLoop 最近的《 政府关键网络威胁指南》。这份研究指南介绍了政府遭受的各种网络攻击,并提供了保护信息系统的步骤。
州和地方机构在教育、培训和招募足够的网络人才方面面临诸多重大挑战。合格人员明显短缺。由于资源有限,州和地方政府很难与私营部门竞争,以吸引合格的网络专业人员。此外,许多州和地方民选官员对网络安全态势仍不了解,因此不会为机构的网络需求发声。
大多数县级 IT 经理都面临着低薪和大工作量的问题。以弗吉尼亚州阿灵顿县为例。根据《政府技术》杂志最近的一篇文章,阿灵顿县有 25 万人口,县网络上约有 4,500 名用户。该网络每天处理约 1 万亿个事件。然而,该县只雇用了一名 IT 安全员工:首席信息安全官戴维·乔丹 (David Jordan)。
在接受 GovLoop 采访时,乔丹分享了他担任阿灵顿县 CISO 的经历以及对州和地方网络劳动力所需改进的见解。
通过 CISO 做好网络防范
乔丹首先强调的一点是各州设立信息安全执行官职位的重要性。“首席信息安全官职位决定了整个实践的未来,”他说。“首席信息安全官决定了政府内部网络员工的质量、教育、培训和寿命。”
作为阿灵顿县唯一的 IT 安全工作人员,乔丹深知 CISO 的重要性。在缺乏正式网络安全人员的情况下,乔丹会与组织内所有员工会面,并定期向 IT 服务台工作人员汇报安全相关问题。他强调,除了对员工负责外,CISO 还应向县委员会或市长汇报。
“你不会希望 CISO 与组织内的其他领导者(如首席信息官)争夺资金,”Jordan 说道。“对于许多机构而言,将 CISO 置于指挥链的最佳位置可以提高成功的机会。”
当 CISO 在机构内没有知名度或发言权时,民选州官员不太可能在其议程中推动网络安全或分配所需资源来招募和培训网络专业人员。
确保每一位员工的网络安全
乔丹强调,每个在机构工作的人都承担着安全职责。在阿灵顿,他联合县内劳动力的力量,招募了 4,500 人,作为一项扩展的安全行动。
为了确保每位员工都考虑到网络安全问题,乔丹不遗余力地与每一位被聘用的员工交谈。“每位员工都会和我交谈大约 20 到 30 分钟,”他说。“我们会讲解公司规则,解释基本 IT 安全的重要性。他们需要意识到某些风险和某些最佳做法。”
为了推广网络安全最佳实践,乔丹为员工制定了 台湾的手机号码 25 项预期行为。他希望任何有疑问的人都能得到帮助,因此他建立了一条热线。如果员工对潜在的网络问题或威胁有任何疑问,可以拨打帮助热线。例如,如果员工收到一封可能是钓鱼攻击的可疑电子邮件,他们可以拨打热线电话,了解该怎么做。
“我们的 IT 部门还有三位主管,”乔丹说。“我们有一个建筑设计主管、一个记录管理主管,还有我,一个安全主管。我们每月开通一次电话会议,让人们打电话来咨询。”
通过这种沟通方式,网络安全领导者可以帮助所有员工识别任何潜在的诈骗行为,从而有效地加强团队的网络意识和准备。
通过合作实现网络最佳实践
除了为所有员工提供服务并培训 IT 员工外,乔丹还依靠区域合作伙伴关系来分享网络培训和基础设施方面的信息和最佳实践。他通过大华盛顿政府委员会的 CISO 小组与该地区的同行合作,该委员会是一个独立的非营利性协会,将地区领导人聚集在一起,解决华盛顿特区、马里兰州和北弗吉尼亚州的主要地区问题,由 22 个地方政府组成。
CISO 小组每天进行沟通,分享网络员工的需求、困难和最佳实践。“我们可以经常互相提问,”Jordan 说。“例如,如果我要订购一套新的公交车视频系统,我可以向 22 名成员发送问题,询问最近是否有人这样做过,或者询问他们使用过的特定供应商。”
当资源紧张时,区域伙伴关系对于州和地方政府至关重要,因为信息共享可以提高网络培训的成本效益,同时还可以为任何网络问题制定最佳实践。
通过担任首席信息安全官、专注于培训所有员工和建立区域合作伙伴关系,乔丹表明,继续建设州和地方网络劳动力队伍是有希望的。在机构中拥有合适的员工(如首席信息安全官)对于制定网络安全人员和基础设施的标准至关重要。通过适当的员工教育、培训和区域合作伙伴关系,州和地方政府可以更好地利用其网络劳动力来更好地满足当今的网络安全需求。