虽然是前布里格。 Gen. Gregory Touhill仅服务 四个月 作为第一个联邦政府安全官员,他对新政府改善网络有一些建议。

“坦率地说,我以为我仍然在这里担任联邦CISO,但没有发生,”Touhill在阿灵顿,VA的2017年ICIT冬季峰会周一表示,“我认为这是几个问题非常值得注意的是,我们所有人都必须担心,因为我们努力满足我们的相互目标,支持开放和透明的政府,以保护人民信息,同时保留隐私,公民权利和公民自由。“

在CDM上双倍

根据Touhill的说法,颁布的连续诊断和缓解(CDM)提供了政府缺乏的许多能力。

根据国土安全网站的说法,“CDM为联邦部门和机构提供了能力和工具,以持续确定网络安全风险,基于潜在影响,使网络安全人员能够首先减轻最重要的问题。”

“坦率地说,我相信我们迟到了这些能力。他们应该从一开始就建立,“Touhill说,解释说,政府系统应设计有安全性和监测安全性的手段。

“在新政府中,我强烈鼓励他们和每个部门和机构尽可能快地剥夺这些能力。否则我们并没有达到我们的使命目标,“他说。

修复架构

“每个部门和机构都在做自己的事情,”Touhill说,解释了来自国会的资金分配通常基于一个类似于设计的组织图表’80年代,难以将该资金应用于所需的IT空间。

遵循飞行计划

作为Ciso,Touhill说 他的目标之一 是为每个人实施网络培训和练习,特别是政府的高级领导。

“我宣称每个人都在网络前线,每个人都是一个端点,”Touhill说,解释说,下一届政府应该寻求提高和增加培训劳动力的训练练习,因为一个和完成的哲学是“不可接受的。 “

Touhill补充说,前行政当局中颁布的网络安全国家行动计划(CNAP)评估“是在评估和改善下一届政府应建立的国家网络安全方面的好地方。他补充说,政府应该努力努力使用练习来实现完美,而是完美地练习。

“做正确的事情,正确的方式不仅仅是网络卫生。它正在练习完美,每次都越来越完善。我们需要牛肉培养我们所做的练习数量,我们需要高级领导和高级经理才能发挥作用,“他说。

Touhill还鼓掌了最后一个政府努力使IT系统现代化,介绍了一个称为“Touhill的法律”的规则,认为,就像有七只狗到一个人年一样,有25个计算机年来一个人年。

“我争辩说,微软和其他公司这样的公司,美国公司会出现一次突破性,进化的飞跃每三年左右,”他解释说,增加了平均人类寿命左右75岁。 “因此,在Touhill的法律下,我提交每个人一年是25个计算机年。我进一步争辩说,在Touhill的法律下,联邦政府中有一堆计算机超过2000岁。“

因此,Touhill说,联邦政府应该努力创新并积极退休的旧系统。此外,IT工人应该协调一致地努力,以确保他们的高级管理人员获得某些网络风险的严重性。

“随着新的政府向前发展,我强烈鼓励他们继续推动我们通过治理结构在正确的水平上获得这些风险决策的势头,”Touhill说。

执行

“当我看到一份新闻报道谈论我悄悄地辞职时,我有点兴奋,令人沮丧,并在一直谈论我的悄悄辞职,并在我的时间里作为联邦CISO出版了实质性政策,”Touhill开玩笑。 “让我告诉你,我们有太多的政策。”

他解释说,大会或行政部门很容易,只是告诉机构他们需要做的事情,但满足这些要求只是有效安全的一个方面。

“我们需要专注于最佳实践,而不仅仅是合规性,”Touhill表示,增加了最佳实践将永远导致遵守政策,但合规性并不总是导致最佳实践。

因此,Touhill表示,新的管理是必须执行已经到位的策略,而不是打破新政策。

阅读更多信息
关于
杰西布尔
杰西布尔
杰西布尔是一名员工记者,涵盖网络安全,Fedramp,GSA,国会,财政部,Doj,NIST和云计算。
标签