安全领导者不再预期为其组织设计和实施安全策略。作为业务的关键成员 - 以及经常坐在C-Suite-Cisos和安全管理人员中必须展示业务敏锐。事实上,Gartner估计到2020年,100%大型企业Cisos将要求至少每年向其董事会向其董事会报告。

向董事会展示,展示ROI,以及将安全设计为业务推动者,这些都是如今的cio的工作描述。但当涉及到与董事会和执行管理层的沟通时,不同行业的首席信息官将面临不同的挑战。

在一系列关于CISO沟通的文章中,我们从各个垂直领域探讨了这些不同的问题和关注。本月,我们研究了政府职位上的安全领导人在争取高层支持时需要注意什么。

为了更好地观察,我点了一下丹洛姆曼.洛曼是一名资深的安全专家,曾于2002年5月至2014年8月期间领导密歇根州政府的网络安全和技术基础设施团队。现在,作为CSO和安全顾问的首席策略师,他仍然定期撰写和评论政府网络安全官员的要求。

Cisos在政府中工作的独特挑战有什么不同的私营部门的同龄人?

有很多,但我会提到三个。

首先,在政府中,最接近顶级执行官的人几乎总是总督或市长或其他公共部门领导者的政治朋友/盟友。当他们担任办公室时,这些最值得信赖的人的大多数是“公共汽车”。这意味着许多顶级高管通过初学者和长期的政治集会竞争而与他们一起竞选,在经济上给他们的竞选活动提供了财务状况。这些是在“内圈”中的人,由政府领导人听取最多。如果你不是“在公共汽车上,他们有独特的访问和长期关系,这很难获得。私营部门没有什么相同的,因为没有公开的公共选举。

其次,尽管在公共和私营部门建立信任都需要时间和技能,但项目的时间表往往是不同的。在政府中,有固定的周期,往往遵循选举日历,通常是四年,但也可以从2至6年不等。董事会(通常是内阁或委员会)的投资和优先事项也遵循独特的预算周期,包括获得立法或其他方面的支持。请求的时间是至关重要的。学习这些小组的术语和指标。他们如何衡量成功?

第三,政府规则,程序,流程,批准,监督和审计往往非常复杂,是独一无二的。完全了解政府孤岛中出现的所有救助人员和侧交易可能需要数年。在私营部门,高层领导者的财务或员工支持通常在迅速上行动。但是,相比之下,我看到政府领导人明确决策,只能通过长期的内部机动和延迟策略杀死“政府官僚机构”杀死项目。

当他们在组织中与董事会或其他理事机构沟通时,政府Cisos需要牢记什么?

知道你站在哪里,不仅仅是在组织图表上,而是在政府中的“信任圈”的啄食顺序。如果你不在内圈 - 你可能不是如果你不是在公交车上谁?此外,努力至少在职业生涯专业人士中间圈中,他们与职业成功的轨道记录有信任“完成”。在可能的情况下,与内圈(或至少在中间圆圈中)构建可信关系。与政府领导一起享用午餐。了解领导者的优先事项和竞选承诺。请邀请策略会议和优先事项设定会议,影响技术和安全性。以不同的方式制造您的案例(从电梯间距到正式的网络安全演示)。

第二,充分了解政府是如何办事的。阅读成功项目的案例研究。了解官方(和非官方)提案的预算时间表。当“附带资金”可用时,总是要有一份当前需求的清单。旁注:我经常被告知数月甚至数年“没有资金用于项目”,但却在财政年度结束时,有个预算人员来找我,说我现在就需要支出细节。教训:准备好你的热需求清单。

Third, get to know the business leaders in the agencies who may be more sympathetic to your cause, even if/when the top elected leaders are not.在您的组织中寻找一名商业冠军,他们以强大的方式支持网络变化并落后于该扫雪机。令人惊讶的是,这可能不是IT经理。例如,我已经看到了运输和财政部的安全冠军。财政部的高级管理人员负责信用卡并需要支付卡行业的合规性。他们通过展示不合规的处罚来推动我们的网络控制的广泛改进。

第四,至少每年定期向政府各商业领域进行网络路演。定期更新正在发生的事情,不要认为这是一次性的交易。检查安全中好的、坏的、难看的和行动项目。讨论什么是有效的,哪些地方需要改进指标。

第五,形成一个网络委员会(或者更好,利用现有技术小组委员会),以获得业务领域中部管理的行政买卖。让安全大使通过尊重的前线非IT领导人来帮助案件。

你会为政府机构的ciso提供哪些有效沟通的技巧?

两个提示和谨慎一句话。

我经常听到ciso和其他政府领导人说,他们没有钱,也没有招聘,他们的项目从来没有得到资助。我的回答是“登上离开码头的船。”也就是说,哪些项目得到了资助?你,或者你的高级副手,参加了那些重要会议吗?例如,一个新的税务数据库是优先级最高的,但您没有被邀请参与。为什么?确保所有战略项目都具有安全性。通过参与最重要的事情来建立信任——或者,如果你不能打败它们,就加入它们。

另一个建议是策略性地与他人合作。这意味着通过拨款、MS-ISAC、警察、联邦调查局、国土安全部等其他政府组织建立桥梁。很多这样的团队通常都有与他们相关的声誉和一定程度的信任,即使新领导人没有。如果你研究了过去成功的和失败的事情,你会从这些关系中受益匪浅。这也包括与私营部门的关系。

One final word of caution: When a new top leader is elected, the inner circle will inevitably change.在这种过渡期间保持有效,特别是如果政党发生变化,这是一个巨大的挑战。尽管如此,网络安全是少数高优先级主题之一,往往是非泊的。保持专注于保护数据和关键基础设施,并且即使在非常困难的管理变化中,也可以生存。