ผู้ดูแลความปลอดภัยทางไซเบอร์

ผู้ดูแลความปลอดภัยทางไซเบอร์

หน่วยงานรัฐบาลกลางกำลังปรับปรุงสภาพแวดล้อมด้านไอทีให้ทันสมัย ​​อัปเกรดการป้องกันทางไซเบอร์ และเริ่มเปลี่ยนไปสู่สถาปัตยกรรมความปลอดภัยแบบ Zero Trust สำนักงานกำกับดูแลซึ่งโปรแกรมหน่วยงานตรวจสอบก็พยายามก้าวให้ทันกับเทคโนโลยีและแนวทางที่เปลี่ยนแปลงGerald Caron หัวหน้าเจ้าหน้าที่สารสนเทศของ Department of Health and Human Services Office of the Inspector General กล่าวว่าชุมชนกำกับดูแลได้เริ่มมีการอภิปรายเกี่ยวกับวิธีการรายงานเกี่ยวกับการปฏิบัติตามนโยบายความปลอดภัยทางไซเบอร์ของหน่วยงาน

“เมื่อเทคโนโลยีเปลี่ยนไป วิธีที่เราให้การกำกับดูแล

อาจเปลี่ยนไปด้วยหรือไม่? แค่ตามให้ทันกับเทคโนโลยีใหม่ๆ สิ่งใหม่ๆ” Caron กล่าว

เมื่อเร็ว ๆ นี้ ชุมชนความปลอดภัยทางไซเบอร์ใหม่ได้จัดตั้งตัวเองภายใต้สภาผู้ตรวจการทั่วไปด้านความซื่อสัตย์และประสิทธิภาพ Caron กล่าว เขากล่าวว่ากลุ่มเริ่มต้นในปีนี้และเพิ่งเริ่มจัดการฝึกอบรมและการประชุมที่มุ่งเน้นอื่น ๆ

“เรากำลังเริ่มมีการอภิปรายประเภทต่างๆ เช่น การจัดลำดับความสำคัญของการตรวจสอบ การจัดลำดับความสำคัญของการค้นพบ และอื่นๆ เช่นนั้น” Caron กล่าว “ฉันเชื่อว่านั่นคือสิ่งที่เราอาจจะหยิบขึ้นมาและพูดคุยกันสักหน่อย การกำกับดูแลจะช่วยได้อย่างไร”

การฝึกอบรมครั้งแรกของกลุ่มเน้นที่ความเชื่อถือเป็นศูนย์ และการที่รัฐบาลเปลี่ยนมาใช้สถาปัตยกรรมความปลอดภัยอาจส่งผลต่อวิธีการวัดหน่วยงานเทียบกับมาตรฐานที่กำหนดขึ้นซึ่งเป็นพื้นฐานของนโยบายและการกำกับดูแลของรัฐบาลกลาง เช่น 800- ของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ 53 สิ่งพิมพ์.

Caron กล่าวว่าไม่มีวิธีการแบบ

“มันไม่ได้แปลว่าตัวต่อตัวจะต้องเป็นตัวควบคุม 800-53” เขากล่าว “นั่นหมายความว่าอย่างไรสำหรับการประเมินสภาพแวดล้อมที่ไม่ไว้วางใจเป็นศูนย์”

Caron ยังกล่าวอีกว่า “การปฏิบัติตามข้อกำหนด” ไม่ได้มีความหมายเหมือนกันกับ “ประสิทธิผล” และนั่นเป็นสาเหตุที่หน่วยงานต่าง ๆ พยายามใช้แนวทางใหม่ในการรักษาความปลอดภัยทางไซเบอร์ที่เน้นความสำคัญของการมองเห็นและการรับรู้ของสินทรัพย์และกิจกรรมเครือข่าย เช่น Software Bills of Material และการตรวจสอบอย่างต่อเนื่อง

“การปฏิบัติตามข้อกำหนดไม่เพียงพอ” Caron กล่าว “ฉันคิดว่าเราต้องแน่ใจว่าเราตรวจสอบและแน่ใจว่าเรามีประสิทธิภาพในสิ่งที่เราวางไว้ และการมีสินค้าคงคลังนั้นเป็นส่วนหนึ่งของสิ่งนั้นและทำความเข้าใจ”

ความปลอดภัยของห่วงโซ่อุปทาน

ขณะที่หน่วยงานต่างๆ พิจารณาว่าพวกเขาออกแบบสภาพแวดล้อมการรักษาความปลอดภัยของตนเองอย่างไร พวกเขายังตรวจสอบลึกลงไปในความปลอดภัยของซัพพลายเชนด้านไอที โดยเฉพาะอย่างยิ่งหลังจากการโจมตีของ SolarWinds

ตัวอย่างเช่น กระทรวงกลาโหมกำลังจัดตั้งโปรแกรม Cybersecurity Maturity Model Certification เพื่อตรวจสอบความปลอดภัยของผู้รับเหมากลาโหม ในขณะที่สำนักงานบริหารและงบประมาณของทำเนียบขาวกำลังพิจารณาวิธีสร้างมาตรฐานความปลอดภัยสำหรับการจัดซื้อซอฟต์แวร์ของรัฐบาลกลาง

Kelly White ผู้ร่วมก่อตั้งและประธานเจ้าหน้าที่บริหารของ RiskRecon กล่าวว่าการประเมินความปลอดภัยทางไซเบอร์มักจะสามารถระบุปัญหาที่อาจเกิดขึ้นได้หลายร้อยรายการในเครือข่ายขององค์กร “แต่ปัญหาไม่ใช่ความเสี่ยง” เขากล่าวเสริม

“ฉันไม่คิดว่าองค์กรต่างๆ จะมีสุขอนามัยด้านความปลอดภัยในโลกไซเบอร์ที่แย่” ไวท์กล่าว “ไม่ใช่สิ่งที่พวกเขาทำโดยเจตนา แต่เป็นรัฐที่มีบริษัทจำนวนมากเกินไปที่ค้นพบตัวเองเพราะพวกเขาไม่ตั้งใจและชัดเจนเกี่ยวกับการจัดการมิติของความเสี่ยงนั้น”

White กล่าวว่าการจัดลำดับความสำคัญเป็นกุญแจสำคัญสำหรับทั้งสองหน่วยงานที่มองหาทั่วทั้งห่วงโซ่อุปทานที่กว้างใหญ่ เช่นเดียวกับองค์กรในห่วงโซ่อุปทานเหล่านั้นที่ต้องการแก้ไขปัญหาภายในสภาพแวดล้อมของตน

credit : ฝากถอนไม่มีขั้นต่ำ