在接受行业媒体的采访时,咨询服务机构Booz Allen公司高级副总裁、面向公民服务的云计算和数据工程解决方案负责人Dan Tucker为政府部门首席信息安全官如何进行数字化转型工作和面临的安全挑战提出了一些建议。
政府在进行数字化转型时面临的最重大的安全挑战是什么?
Tucker:在安全方面,政府部门面临的最普遍挑战之一是在快速满足任务需求与来自民族国家和其他恶意行为者的威胁之间取得适当的平衡。
政府部门快速共享数据、获取见解并将其转化为决策的能力不断提高,但数据量和传输方式的扩大也增加了数字攻击面。精明的技术领导者明白,仅仅通过技术解决方案难以应对这一挑战。
例如,零信任架构方法如今被证明是有益的措施并迅速得以推广,但是没有任何软件或技术可以购买或部署以使其部门“符合零信任架构标准”。
成熟的数字化转型工作以安全为重点,既需要整合当代应用程序开发、基础设施配置和数据管理模式,也需要跨任务所有者和技术提供商社区建立可信赖的协作文化,这是一项艰巨的工作。
与私营部门相比,政府部门的首席信息安全官在处理官僚主义方面的水平有所不同。这对他们的数字化转型工作有何影响?
Tucker:总的来说,首席信息安全官的章程非常具有挑战性,但我对政府部门如何将网络安全作为数字化转型工作的一部分持乐观态度。确实,从历史上看,政府采用现代开发方法和架构模式的速度较慢,但在过去几年中,我们看到DevSecOps模式的采用加速,云服务提供商和其他技术供应商提供了更多政府部门认可的服务,以及政府部门之间的最佳实践共享。
美国网络安全和基础设施安全局开发的云安全技术参考架构就是后者的一个很好的例子。为公共部门的新兴技术、服务和应用程序获得运营授权或FedRAMP认证所需的过程在其传统形式上可能看起来很官僚,但最近我看到了更多的模式,例如“持续-ATO”管道、可信和强化图像的重用以及简化的FedRAMP流程,为该领域带来了更快的速度。这使首席信息安全官和首席信息官能够更有效地为任务带来技术支持,进而加速政府部门的任务转型。
安全的云解决方案如何使政府部门变得更加敏捷?
Tucker:敏捷性是一种能够共享可信信息的产品,然后以协作和良好沟通的方式快速做出优先级决策,并根据这些数据采取行动。当数据安全、可信且易于访问时,它可以提高政府部门或企业团队的敏捷性。在新冠疫情持续蔓延的时期,我们看到了一些鼓舞人心的例子,当时各国政府以前所未有的速度合作,以满足民众的需求。
与疫苗可用性、传播率和救济金状态相关的信息已经更新,并以一定速度和用户体验提供给公民,以前只会与最具有前瞻性的商业公司相关联。也就是说,再怎么强调推动敏捷性所需的文化成分也不为过——需要共同的目标、互补的角色和责任、采用共同的行为以及可靠的实践和流程。
因此,虽然安全数据共享、现代云计算基础设施和现代开发模式很重要,但如果没有上述文化和转变,它们将无法实现有意义的敏捷性。
政府部门难以承受破坏运营的代价。对于需要共同规划大型数字化转型计划的首席信息安全官和首席信息官,您有什么建议?
Tucker:无论我们谈论的是商用服务还是关键任务能力,在2022年进行数字化转型时,对服务中断甚至延长计划停机时间的容忍度都很低,坦率地说,我相信这些期望是公平的。我结合将近15年的跨行业云迁移和20多年的敏捷开发的采用经验,以及数据管理技术的进步,网站或应用程序显示“维护中”页面的日子应该已经过去了。
与任何复杂的企业变革类似,成功的机会随技术的变化而起伏,而随着早期涉众的加入、明确的目标、明确的角色和职责、及时以数据为中心的沟通,以及持续的反馈和学习,成功的机会更大。
从技术的角度来看,在系统切换或重要的项目达到里程碑之前,总会有“全员参与”或“作战室”阶段,但如果之前提到的作战组件在这一点之前已经到位,通常可以更容易地解决问题。