现有的联邦IT安全法规 - 即联邦信息安全管理法案FISMA - 通常强制数百个项目的检查关闭名单上,包括基础知识等为敏感的应用程序密码保护。但FISMA不引导IT经理什么样的密码的效果最好(共识审计准则要求12半个随机的字符和双因素身份验证)。
“你最终会填写长表单显示您遵守,但你不一定是安全的,” Emagined安全舒尔茨说。他告诉没有防火墙保护其网络,作为授权一个国家实验室的故事。但实验室通过令人信服的路由器是一个有价值的替代审计通过了审核,舒尔茨说。
“FISMA是浪费纳税人的钱,”他说。“这些都不是标准可以帮助一个组织站起来的种,时下发生的袭击事件。”
吉利根承认,他的20个关键控制方法中没有一个是“先进的”,这意味着许多安全专家可以提出类似的建议。但事实是,它被列在一个优先级列表中,并且在保护it系统方面是有效的,这消除了猜测。组织有明确的规则要遵循,并有实施、监控和衡量的程序,以改进正在进行的安全保护。
这与清单遵从性不同。吉利根说:“这是我们倡导的文化转变。”衡量进展是关键。CSC的明茨补充说,在许多组织中,无论是政府还是私营部门,都出现了关于“安全”的基本定义的争论,而不是如何实现它。他说,当他还是交通部的首席信息官时,“很明显,没有一种普遍认可的方式来衡量我们有多安全。”如果你认为非常安全是10分,而完全不安全是1分,我们知道我们在1分以上,10分以下,但仅此而已。”
这就是奥巴马局面批评的那种。“现在很清楚这个网络威胁是最严重的经济和国家安全挑战之一,我们面对作为一个国家,”他在梅说。“还有一点很清楚,我们是不是准备像我们应该的,作为政府或作为一个国家。”(看奥巴马的网络安全协调员具有广阔的议程)。
需要更大的想法,奥巴马说。“正如我们失败过投资于我们的物理基础设施 - 我们的道路,我们的桥梁和铁轨 - 我们已经没有投资于我们的数字基础设施的安全。”
吉利根知道他是几十个建议奥巴马政府,包括旨在影响各行业贸易团体的任何新的规则出现的人争夺关注的一个。
作为安全的代价
在美国的政府和企业中,对眼前成本的担忧可能超过对长期安全的担忧。“人们担心,修复一些安全问题将是昂贵的,对经济有害的,”斯帕福德说。例如,美国国土安全部(Department of Homeland Security)要求在2010财年为信息技术拨款9.18亿美元。这比2009年增加了15%,而且这还是在奥巴马采取任何网络安全措施之前。
在医疗方面,以刺激供应商进入21世纪以来,奥巴马一直以换取建设电子病历,电脑订单录入和其他技术,使医疗过程中指定的$ 19.2十亿在刺激资金可用。作为回报,更新他们的安全提供了这种激励银行,电力公司和运输供应商是一个良好的开端说,良港库尔茨,但它促进了太多的短期思维。
“这将使我们回到清单再次,”他预测,由于企业可以通过一个最后期限,而不是计划中的大,长期战略争相满足最低要求。
短期思维是一个全国性的问题,同意斯帕福德。银行按季度取悦股东的四分之一。汽车制造商也想不到远远超出当前模型。再看看发生了什么事的行业。下至平民百姓,网络安全是比支付抵押贷款,保持或找工作,避免猪流感的任何一天,那么紧迫。奥巴马必须作出cyberpolicy迫切足以克服“真实的世界”,因为斯帕福德所说的那样。斯帕福德和其他安全专家的一致好评奥巴马将注意本美国这样依赖于数字世界。2020欧洲杯夺冠热门但是,奥巴马的报告,该报告敦促政府和业界共同努力,以统一的安全实践和标准,拥护什么新鲜事。他们希望,而是寻找灵感,以达到新的高度。
“我们需要高强度,长期发展的努力,”斯帕福德说。“想想曼哈顿计划或太空竞赛的。我们需要在网络安全。”
你鸣叫。在推特上关注我@ knash99。按照一切从CIO杂志@CIOMagazine。
这个故事,“奥巴马的网络安全推送:这是什么CIO的意思是”最初发表CIO. 。