在接受行業(yè)媒體的采訪時，咨詢服務(wù)機(jī)構(gòu)Booz Allen公司高級副總裁、面向公民服務(wù)的云計算和數(shù)據(jù)工程解決方案負(fù)責(zé)人Dan Tucker為政府部門首席信息安全官如何進(jìn)行數(shù)字化轉(zhuǎn)型工作和面臨的安全挑戰(zhàn)提出了一些建議。

政府在進(jìn)行數(shù)字化轉(zhuǎn)型時面臨的最重大的安全挑戰(zhàn)是什么?

Tucker：在安全方面，政府部門面臨的最普遍挑戰(zhàn)之一是在快速滿足任務(wù)需求與來自民族國家和其他惡意行為者的威脅之間取得適當(dāng)?shù)钠胶狻?/p>

政府部門快速共享數(shù)據(jù)、獲取見解并將其轉(zhuǎn)化為決策的能力不斷提高，但數(shù)據(jù)量和傳輸方式的擴(kuò)大也增加了數(shù)字攻擊面。精明的技術(shù)領(lǐng)導(dǎo)者明白，僅僅通過技術(shù)解決方案難以應(yīng)對這一挑戰(zhàn)。

例如，零信任架構(gòu)方法如今被證明是有益的措施并迅速得以推廣，但是沒有任何軟件或技術(shù)可以購買或部署以使其部門“符合零信任架構(gòu)標(biāo)準(zhǔn)”。

成熟的數(shù)字化轉(zhuǎn)型工作以安全為重點，既需要整合當(dāng)代應(yīng)用程序開發(fā)、基礎(chǔ)設(shè)施配置和數(shù)據(jù)管理模式，也需要跨任務(wù)所有者和技術(shù)提供商社區(qū)建立可信賴的協(xié)作文化，這是一項艱巨的工作。

與私營部門相比，政府部門的首席信息安全官在處理官僚主義方面的水平有所不同。這對他們的數(shù)字化轉(zhuǎn)型工作有何影響?

Tucker：總的來說，首席信息安全官的章程非常具有挑戰(zhàn)性，但我對政府部門如何將網(wǎng)絡(luò)安全作為數(shù)字化轉(zhuǎn)型工作的一部分持樂觀態(tài)度。確實，從歷史上看，政府采用現(xiàn)代開發(fā)方法和架構(gòu)模式的速度較慢，但在過去幾年中，我們看到DevSecOps模式的采用加速，云服務(wù)提供商和其他技術(shù)供應(yīng)商提供了更多政府部門認(rèn)可的服務(wù)，以及政府部門之間的最佳實踐共享。

美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局開發(fā)的云安全技術(shù)參考架構(gòu)就是后者的一個很好的例子。為公共部門的新興技術(shù)、服務(wù)和應(yīng)用程序獲得運營授權(quán)或FedRAMP認(rèn)證所需的過程在其傳統(tǒng)形式上可能看起來很官僚，但最近我看到了更多的模式，例如“持續(xù)-ATO”管道、可信和強(qiáng)化圖像的重用以及簡化的FedRAMP流程，為該領(lǐng)域帶來了更快的速度。這使首席信息安全官和首席信息官能夠更有效地為任務(wù)帶來技術(shù)支持，進(jìn)而加速政府部門的任務(wù)轉(zhuǎn)型。

安全的云解決方案如何使政府部門變得更加敏捷?

Tucker：敏捷性是一種能夠共享可信信息的產(chǎn)品，然后以協(xié)作和良好溝通的方式快速做出優(yōu)先級決策，并根據(jù)這些數(shù)據(jù)采取行動。當(dāng)數(shù)據(jù)安全、可信且易于訪問時，它可以提高政府部門或企業(yè)團(tuán)隊的敏捷性。在新冠疫情持續(xù)蔓延的時期，我們看到了一些鼓舞人心的例子，當(dāng)時各國政府以前所未有的速度合作，以滿足民眾的需求。

與疫苗可用性、傳播率和救濟(jì)金狀態(tài)相關(guān)的信息已經(jīng)更新，并以一定速度和用戶體驗提供給公民，以前只會與最具有前瞻性的商業(yè)公司相關(guān)聯(lián)。也就是說，再怎么強(qiáng)調(diào)推動敏捷性所需的文化成分也不為過——需要共同的目標(biāo)、互補的角色和責(zé)任、采用共同的行為以及可靠的實踐和流程。

因此，雖然安全數(shù)據(jù)共享、現(xiàn)代云計算基礎(chǔ)設(shè)施和現(xiàn)代開發(fā)模式很重要，但如果沒有上述文化和轉(zhuǎn)變，它們將無法實現(xiàn)有意義的敏捷性。

政府部門難以承受破壞運營的代價。對于需要共同規(guī)劃大型數(shù)字化轉(zhuǎn)型計劃的首席信息安全官和首席信息官，您有什么建議?

Tucker：無論我們談?wù)摰氖巧逃梅?wù)還是關(guān)鍵任務(wù)能力，在2022年進(jìn)行數(shù)字化轉(zhuǎn)型時，對服務(wù)中斷甚至延長計劃停機(jī)時間的容忍度都很低，坦率地說，我相信這些期望是公平的。我結(jié)合將近15年的跨行業(yè)云遷移和20多年的敏捷開發(fā)的采用經(jīng)驗，以及數(shù)據(jù)管理技術(shù)的進(jìn)步，網(wǎng)站或應(yīng)用程序顯示“維護(hù)中”頁面的日子應(yīng)該已經(jīng)過去了。

與任何復(fù)雜的企業(yè)變革類似，成功的機(jī)會隨技術(shù)的變化而起伏，而隨著早期涉眾的加入、明確的目標(biāo)、明確的角色和職責(zé)、及時以數(shù)據(jù)為中心的溝通，以及持續(xù)的反饋和學(xué)習(xí)，成功的機(jī)會更大。

從技術(shù)的角度來看，在系統(tǒng)切換或重要的項目達(dá)到里程碑之前，總會有“全員參與”或“作戰(zhàn)室”階段，但如果之前提到的作戰(zhàn)組件在這一點之前已經(jīng)到位，通?？梢愿菀椎亟鉀Q問題。