211service.com
Yoran och Spafs lag
eWeek har ett bra tips till Spafs första princip för säkerhetsadministration: Om du har ansvar för säkerheten men inte har någon befogenhet att sätta regler eller straffa överträdare, är din egen roll i organisationen att ta på dig skulden när något stort går fel.
Principen publicerades först i boken som jag skrev tillsammans med professor Gene Spafford vid Purdue University, Praktiskt UNIX och Internetsäkerhet . Det är direkt tillämpligt på fallet med Amit Yoran, som avgick från National Cyber Security Division på Department of Homeland Security. Enligt författaren Ben Rothke saknade Yoran både en viktig titel och lämplig auktoritet – vilket är allt i regeringen.
Personligen tror jag att cybersäkerhetsproblemet är ett problem som måste lösas genom att långsamt bygga konsensus – inte med datasäkerhetsetableringen, utan med datoranvändarna i hela regeringen. Vi har ett mycket djupt problem som kommer av att installera en serie datorsystem som är mycket svåra att säkra. Att fixa situationen kommer att bli ett flerårigt projekt – ett där auktoriteten kommer från konsensus, brobyggande och argumentens övertygande förmåga, inte från organisationsdiagram och budgetposter.
Hela tsarens strategi för cyberrymden är i grunden felaktig. Jag hoppas att nästa administration kan börja med ett nytt tillvägagångssätt.
Jag bör notera att jag var medförfattare Praktisk och UNIX-säkerhet med Dr Spafford, men lagen är hans.