หน่วยงานรัฐบาลกลางกำลังปรับปรุงสภาพแวดล้อมด้านไอทีให้ทันสมัย อัปเกรดการป้องกันทางไซเบอร์ และเริ่มเปลี่ยนไปสู่สถาปัตยกรรมความปลอดภัยแบบ Zero Trust สำนักงานกำกับดูแลซึ่งโปรแกรมหน่วยงานตรวจสอบก็พยายามก้าวให้ทันกับเทคโนโลยีและแนวทางที่เปลี่ยนแปลงGerald Caron หัวหน้าเจ้าหน้าที่สารสนเทศของ Department of Health and Human Services Office of the Inspector General กล่าวว่าชุมชนกำกับดูแลได้เริ่มมีการอภิปรายเกี่ยวกับวิธีการรายงานเกี่ยวกับการปฏิบัติตามนโยบายความปลอดภัยทางไซเบอร์ของหน่วยงาน
“เมื่อเทคโนโลยีเปลี่ยนไป วิธีที่เราให้การกำกับดูแล
อาจเปลี่ยนไปด้วยหรือไม่? แค่ตามให้ทันกับเทคโนโลยีใหม่ๆ สิ่งใหม่ๆ” Caron กล่าว
เมื่อเร็ว ๆ นี้ ชุมชนความปลอดภัยทางไซเบอร์ใหม่ได้จัดตั้งตัวเองภายใต้สภาผู้ตรวจการทั่วไปด้านความซื่อสัตย์และประสิทธิภาพ Caron กล่าว เขากล่าวว่ากลุ่มเริ่มต้นในปีนี้และเพิ่งเริ่มจัดการฝึกอบรมและการประชุมที่มุ่งเน้นอื่น ๆ
“เรากำลังเริ่มมีการอภิปรายประเภทต่างๆ เช่น การจัดลำดับความสำคัญของการตรวจสอบ การจัดลำดับความสำคัญของการค้นพบ และอื่นๆ เช่นนั้น” Caron กล่าว “ฉันเชื่อว่านั่นคือสิ่งที่เราอาจจะหยิบขึ้นมาและพูดคุยกันสักหน่อย การกำกับดูแลจะช่วยได้อย่างไร”
การฝึกอบรมครั้งแรกของกลุ่มเน้นที่ความเชื่อถือเป็นศูนย์ และการที่รัฐบาลเปลี่ยนมาใช้สถาปัตยกรรมความปลอดภัยอาจส่งผลต่อวิธีการวัดหน่วยงานเทียบกับมาตรฐานที่กำหนดขึ้นซึ่งเป็นพื้นฐานของนโยบายและการกำกับดูแลของรัฐบาลกลาง เช่น 800- ของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ 53 สิ่งพิมพ์.
Caron กล่าวว่าไม่มีวิธีการแบบ
“มันไม่ได้แปลว่าตัวต่อตัวจะต้องเป็นตัวควบคุม 800-53” เขากล่าว “นั่นหมายความว่าอย่างไรสำหรับการประเมินสภาพแวดล้อมที่ไม่ไว้วางใจเป็นศูนย์”
Caron ยังกล่าวอีกว่า “การปฏิบัติตามข้อกำหนด” ไม่ได้มีความหมายเหมือนกันกับ “ประสิทธิผล” และนั่นเป็นสาเหตุที่หน่วยงานต่าง ๆ พยายามใช้แนวทางใหม่ในการรักษาความปลอดภัยทางไซเบอร์ที่เน้นความสำคัญของการมองเห็นและการรับรู้ของสินทรัพย์และกิจกรรมเครือข่าย เช่น Software Bills of Material และการตรวจสอบอย่างต่อเนื่อง
“การปฏิบัติตามข้อกำหนดไม่เพียงพอ” Caron กล่าว “ฉันคิดว่าเราต้องแน่ใจว่าเราตรวจสอบและแน่ใจว่าเรามีประสิทธิภาพในสิ่งที่เราวางไว้ และการมีสินค้าคงคลังนั้นเป็นส่วนหนึ่งของสิ่งนั้นและทำความเข้าใจ”
ความปลอดภัยของห่วงโซ่อุปทาน
ขณะที่หน่วยงานต่างๆ พิจารณาว่าพวกเขาออกแบบสภาพแวดล้อมการรักษาความปลอดภัยของตนเองอย่างไร พวกเขายังตรวจสอบลึกลงไปในความปลอดภัยของซัพพลายเชนด้านไอที โดยเฉพาะอย่างยิ่งหลังจากการโจมตีของ SolarWinds
ตัวอย่างเช่น กระทรวงกลาโหมกำลังจัดตั้งโปรแกรม Cybersecurity Maturity Model Certification เพื่อตรวจสอบความปลอดภัยของผู้รับเหมากลาโหม ในขณะที่สำนักงานบริหารและงบประมาณของทำเนียบขาวกำลังพิจารณาวิธีสร้างมาตรฐานความปลอดภัยสำหรับการจัดซื้อซอฟต์แวร์ของรัฐบาลกลาง
Kelly White ผู้ร่วมก่อตั้งและประธานเจ้าหน้าที่บริหารของ RiskRecon กล่าวว่าการประเมินความปลอดภัยทางไซเบอร์มักจะสามารถระบุปัญหาที่อาจเกิดขึ้นได้หลายร้อยรายการในเครือข่ายขององค์กร “แต่ปัญหาไม่ใช่ความเสี่ยง” เขากล่าวเสริม
“ฉันไม่คิดว่าองค์กรต่างๆ จะมีสุขอนามัยด้านความปลอดภัยในโลกไซเบอร์ที่แย่” ไวท์กล่าว “ไม่ใช่สิ่งที่พวกเขาทำโดยเจตนา แต่เป็นรัฐที่มีบริษัทจำนวนมากเกินไปที่ค้นพบตัวเองเพราะพวกเขาไม่ตั้งใจและชัดเจนเกี่ยวกับการจัดการมิติของความเสี่ยงนั้น”
White กล่าวว่าการจัดลำดับความสำคัญเป็นกุญแจสำคัญสำหรับทั้งสองหน่วยงานที่มองหาทั่วทั้งห่วงโซ่อุปทานที่กว้างใหญ่ เช่นเดียวกับองค์กรในห่วงโซ่อุปทานเหล่านั้นที่ต้องการแก้ไขปัญหาภายในสภาพแวดล้อมของตน
credit : ฝากถอนไม่มีขั้นต่ำ
