花钱解决问题往往无法解决问题,但有时确实有帮助。至少,当你有一个需要有效实施的多年(昂贵)战略时。科罗拉多州就是这种情况。通过决心、适当的资金和计划,科罗拉多州信息技术办公室 (OIT)在升级其网络安全协议方面取得了巨大进步。emily-snl-徽章-02-300x300
科罗拉多州首席信息安全官 Deborah Blyth 和首席通讯官 Tauna Lockhart 与 Emily Jarvis 在GovLoop 的州和地方聚焦节目中分享了他们的成功故事。
共同努力
OIT 并不总是一项综合性工作。以前,IT 安全协议和管理由不同的机构独立完成,由不同的领导负责。一些机构有自己的信息安全官,并且对安全意识、理解和技术的使用水平也各不相同。
然而,OIT 现在是一个综合性的 IT 服务部门,负责监管科罗拉多州的 17 个行政机构。通过标准化办公室的安全处理方式和跨行政机构风险管理方式,他们现在拥有“一支能够跨这些机构持续评估风险、将其上报到适当管理层并就如何持续降低风险做出决策的团队”,Blyth 说道。
此外,科罗拉多州的 OIT 还创建了机构风险报告卡,公开展示机构在风险管理方面的表现,与同行和办公室的企业目标相比如何。“这对我们来说是一个很好的工具,可以让我们进行开放的对话,并做出有效的基于风险的决策。我们还能够以一致的方式获得一些降低风险的合作伙伴关系,”Blyth 说。
网络卫生
所有州都必须建立网络安全框架。“入侵不是可能发生或可能发生的事情。这是我们可能会经历的事情,”布莱斯说。
她解释了科罗拉多州为提高安全所做的努力,首先是实施互联网安全中心 (CIS) 的有效网络防御 CIS 控制。 “这为我们提供了一个框架,以确保我们实施正确的安全控制,以帮助我们抵御最常见的攻击类型,并能够抵御新兴类型的攻击,”布莱斯说。
除了教科书式的解决方案外,该州还进行了几次网络安全演习,在演习中,他们测试了内部安全事件响应计划和全州整体应急响应计划以及网络组件。这样,科罗拉多州的 OIT 就可以在面对真实事件时使用他们的“肌肉记忆”。
金钱万能
然而,如果没有另一个关键因素,这些努力将无法实现。“我们面临的历史性挑战之一就是资金,”洛克哈特说。
从 2012 年的 6,000 美元预算到目前的 500 万美元年度预算,科罗拉多州已 荷兰电话 经能够贯彻其多年战略并承诺进行预防演习。通过组建科罗拉多州信息安全咨询委员会,该委员会随后帮助制定了安全科罗拉多(该州每个财政时期的战略计划),他们能够在全州范围内战略性地实施安全改进。
该计划对于获得未来安全资金至关重要。为了获得此类资金,布莱斯建议其他州也采取类似举措,制定多年期战略,因为领导人“希望知道他们资助的计划是否经过深思熟虑且具有战略意义”。
保持员工队伍的成功
营销 OIT 的工作似乎是保持劳动力成功的关键。“这实际上是以一种吸引新一代劳动力的方式招募和宣传环境。他们想要一份有意义的工作。他们希望产生的影响不仅仅是薪水,”布莱斯说。
布莱斯的办公室还与科罗拉多州国民警卫队一起进行网络演习,这为员工提供了与专注于网络安全的军事团体互动的机会。如果这还不足以吸引人们加入政府的网络安全工作,他们应该知道该办公室有一个“面向公众的直接接触点,每天都与全州人民接触”,洛克哈特强调道。
该办公室负责管理该州的公共安全通信网络,涵盖了供急救人员使用的数字集群无线电系统,以及供州巡逻队和消防员使用的 203 座塔。“当您为 17 个机构服务并承担不同的面向公众的任务时,我们所做的工作的广度和深度为那些进入职场的人提供了令人难以置信的机会,让他们能够通过工作真正有所作为,”洛克哈特说。
合并将许多责任集中到一个部门。但是,经过深思熟虑的计划可以带来更多资金,而更多资金可以帮助高效、有效地实施拟议的计划。科罗拉多州的 OIT 就是明证。