创新和安全是两个你通常不会在同一句话中听到的词——尤其是在政府中。
员工需要创新技术来更好、更快、有时更便宜地完成工作,而政府数据需要确保安全,这两者之间经常存在矛盾。这是政府机构在将更多业务转移到云环境时仍然面临的困境。
与此同时,各机构正试图摆脱仅依据清单进行检查的合规性安全模式,转向真正了解安全影响并做出基于风险的决策的模式。
甚至国防部也在逐步朝这个方向发展,但这需 泰国电话号码几位数 要时间。卫生与公众服务部部长办公室信息安全办公室代理处长利奥·斯坎隆 (Leo Scanlon) 表示:“当国防部转移风险时,可能会有人死亡。但在平民世界,我们的自由度稍微大一些。”
在 GovLoop 最近举办的活动“政府协作的力量”上,Scanlon 分享了 HHS 如何不仅在内部开展合作,而且还与医疗保健提供商合作,以安全地采用云解决方案。“我们必须利用公司开发的技术,找出使用它们的方法,并帮助消费者使用它,”他说。“困难的部分不是花钱。困难的部分是学习如何使用设备并有效地使用它。”
对于向政府提供这些云服务的公司来说,常见的抱怨之一就是通过联邦风险与授权管理计划 (FedRAMP) 获得其技术使用授权所需的成本和时间。
斯坎伦解释说,通过 FedRAMP 授权解决方案时,最大的成本驱动因素是缺乏有关系统的安全知识。
美国国务院首席架构师办公室创新、战略和安全部门负责人艾伦·科科里安 (Alen Kirkorian) 表示:“关键在于了解你所拥有的数据。”许多政府系统最终被归类为中等影响,因为负责这些系统的人并不真正了解该环境中的数据是什么。
FedRAMP 机构推广者 Ashley Mahan 表示,FedRAMP 使机构能够了解其数据流向的风险。“只有从上层开始就形成尊重网络安全的文化,才会有效。”
安全性不仅仅是在特定时间点遵守检查清单。它必须始终处于首要位置。思科系统 FedRAMP 和 DoD Cloud 技术负责人 Ken Stavinoha 这样说道:认证更像是一种节食,当你达到预期目标时,你往往会出错。但授权(如 FedRAMP 所要求的授权)就像是一种生活方式。从组织进入流程的那一刻起,以及很长一段时间之后,他们仍然与机构官员和 FedRAMP 项目办公室保持联系。
对于机构而言,正在进行的工作是在安全性和功能性之间取得平衡。为了确保机构为员工提供安全完成工作所需的工具,GovLoop 的 IT 专家小组提出了一些明智之言。
“总是要问为什么?”科克里安说。“如果有人说‘不’,就继续问为什么,直到你找到他们为什么对某事持消极态度的根本原因。”
斯塔维诺哈建议各机构在制定安全决策时要考虑风险与回报。
“在我作为一名安全专业人士的职业生涯中,我一直是那种经常说‘不’的人,”马汉说。“这份工作真的很艰难,总是要逆潮流而行。”她建议 IT 专业人员帮助员工了解政策,并帮助他们了解做出决定背后的原因。要培养这些关系,必须有安全文化和对网络的尊重。
如果你正在做适当的风险管理,那么就不是“不”,而是“可以,但是”,斯坎伦说。当人们看到你真的对他们的需求说“可以”时,他们就会愿意与你合作,满足“可以,但是”的要求。
本博客文章回顾了 GovLoop 最近与思科合作举办的活动“政府协作的力量”。如需更多回顾,请单击此处。