ใช้แป้นลูกศรขึ้น/ลงเพื่อเพิ่มหรือลดระดับเสียงดาวน์โหลดเสียงในแวดวงเทคโนโลยีสารสนเทศของรัฐบาลกลาง เป็นเรื่องจริงที่หน่วยงานใช้เวลาและความพยายามมากเกินไปในการทำเอกสารเพื่อแสวงหาความปลอดภัยในโลกไซเบอร์ และมีเวลาไม่เพียงพอในการดูแลระบบและดำเนินการตามแนวทางปฏิบัติที่ดีที่สุดเพื่อให้แน่ใจว่าระบบเหล่านั้นมีความปลอดภัยดีกว่าที่เคยเป็นมา วันก่อน.
รายงานฉบับใหม่นำเสนอแผนงานที่มีเป้าหมายเพื่อนำเสนอวิธีการวัดผลลัพธ์
ด้านความปลอดภัยทางไซเบอร์มากกว่าแค่กระบวนการ ในขณะที่ตระหนักว่าไม่มีหน่วยงานใดที่มีโปรไฟล์ความเสี่ยงเหมือนกันทุกประการ
รายงานซึ่งเผยแพร่เมื่อวันอังคารโดยSafegov.orgโดยประสานงานกับNational Academy of Public Administrationไม่ได้รวมถึงการเรียกร้องให้ออกกฎหมายใหม่ แต่จะเสนอให้หน่วยงานต่างๆ ปรับปรุงวิธีการของตนเพื่อให้สอดคล้องกับกฎหมายการจัดการความปลอดภัยของข้อมูลของรัฐบาลกลางที่มีอยู่ แทนที่จะตรวจสอบเป็นระยะๆ ว่าระบบของหน่วยงานเป็นไปตามมาตรฐานที่ระบุใน FISMA ในช่วงเวลาคงที่หรือไม่ หน่วยงานและผู้ตรวจสอบโดยทั่วไปควรเรียกใช้บัตรคะแนนของ “ตัวบ่งชี้ความเสี่ยงทางไซเบอร์” ตามการประเมิน IG อย่างต่อเนื่องของช่องโหว่ทางไซเบอร์ขององค์กรรัฐบาลกลาง ผู้เขียน สรุป
“มันจะเป็นวิธีหนึ่งในการส่งสัญญาณสุขภาพทางไซเบอร์ขององค์กร ซึ่งหมายถึงความสามารถ กระบวนการ และวิธีที่พวกเขาสามารถระบุภัยคุกคามและความเปราะบางได้อย่างทันท่วงที” Julie Anderson ประธานเจ้าหน้าที่ฝ่ายปฏิบัติการของ Civitas และ a ผู้ร่วมเขียนรายงานกล่าวในการให้สัมภาษณ์ “นอกจากนี้ยังพิจารณาถึงสถานะของแรงงาน ชุดทักษะ และการเพิ่มขนาดหรือการลงทุนด้านทุนมนุษย์ที่จำเป็น โดยมีจุดประสงค์เพื่อให้เข้าใจภาพรวมของการรักษาความปลอดภัยทางไซเบอร์ภายในองค์กร”
Julie Anderson ประธานเจ้าหน้าที่ฝ่ายปฏิบัติการของ Civitas
แนวทางส่วนหนึ่งอาศัยการกำหนดบทบาทใหม่สำหรับผู้ตรวจสอบทั่วไปของหน่วยงาน ซึ่งปัจจุบันประเมินระบบของหน่วยงานของตนปีละครั้งเพื่อพิจารณาว่าปฏิบัติตามคำสั่งด้านความปลอดภัยทางไซเบอร์ของ FISMA หรือไม่ ผู้เขียนรายงานจินตนาการถึงความสัมพันธ์ที่ร่วมมือกันมากขึ้นระหว่าง CIO และ IG และเชื่อว่าไม่เพียงแต่หน่วยงานต่างๆ ควรตรวจสอบระบบของตนอย่างต่อเนื่องเพื่อค้นหาช่องโหว่ทางไซเบอร์ แต่ IG ควรประเมินอย่างต่อเนื่องว่าหน่วยงานของตนกำลังวัดช่องโหว่ที่อาจเกิดขึ้นจริงและตอบสนองต่อ แบบเรียลไทม์
ข้อมูลเชิงลึกโดย Censys: ในระหว่างการสัมมนาออนไลน์เกี่ยวกับคู่มือ CISO สุดพิเศษนี้ ผู้ดำเนินรายการ Jason Miller และ Elena Peterson จะสำรวจการวิจัยด้านความปลอดภัยในโลกไซเบอร์และความคิดริเริ่มในการปรับปรุงไอทีให้ทันสมัยที่ PNNL ผู้ดำเนินรายการ Justin Doubleday และแขกรับเชิญ Matt Lembright จาก Censys จะให้มุมมองของอุตสาหกรรม
“การประเมินเพียงครั้งเดียวต่อปีจะไม่ทำให้เกิดข้อมูลที่เป็นประโยชน์ต่อหัวหน้าเจ้าหน้าที่สารสนเทศหรือหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยเพื่อทำการปรับปรุงที่มีความหมาย” แอนเดอร์สันกล่าว “การประเมินนั้นควรเกิดขึ้นตามเวลาจริงเพื่อระบุช่องโหว่เหล่านั้น จากนั้นจึงแบ่งปันข้อมูลนั้นกับ CIO เพื่อให้สามารถแก้ไขช่องโหว่ได้”
รายงานถูกกำหนดให้ตรงกับจุดเริ่มต้นของการดำเนินการตามคำสั่งผู้บริหารด้านความปลอดภัยในโลกไซเบอร์ที่ประธานาธิบดีบารัค โอบามาลงนามเมื่อวันที่ 12 กุมภาพันธ์ และด้วยแนวทางการดำเนินการ FISMA ประจำปีที่สำนักงานการจัดการและงบประมาณกำลังพัฒนาอยู่ในขณะนี้ Anderson กล่าวว่าผู้เขียนหวังว่าจะมีอิทธิพลต่อกระบวนการทั้งสอง
รายงานแนะนำให้ OMB ออกคำสั่งหลายฉบับแก่หน่วยงาน ในหมู่พวกเขา:
ผู้ตรวจสอบทั่วไปควรใช้แนวทางของรายงานเพื่อประเมินความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์ และจัดทำแผนการประเมิน FISMA ใหม่สำหรับหน่วยงานของตนภายในเดือนพฤษภาคม
สถาบันมาตรฐานและเทคโนโลยีแห่งชาติและกระทรวงความมั่นคงแห่งมาตุภูมิควรทำงานร่วมกันเพื่อพัฒนา “แบบจำลองภัยคุกคาม” ทางไซเบอร์ที่หน่วยงาน CIO สามารถใช้เพื่อจัดลำดับความสำคัญของความเสี่ยงทางไซเบอร์ที่มีความสำคัญต่อการบรรเทาและความเสี่ยงใดที่สามารถยอมรับได้
IG ควรจัดลำดับความสำคัญของแผนการกำกับดูแลและการรายงานตามระดับความเสี่ยงของหน่วยงานของตน
ซีไอโอควรตรวจสอบให้แน่ใจว่าการค้นพบของผู้ตรวจการทั่วไปเกี่ยวกับความเสี่ยงด้านความปลอดภัยทางไซเบอร์ได้รับการแปลไปสู่การปฏิบัติในระดับผู้บริหารระดับสูงของหน่วยงานหรือแผนก
แอนเดอร์สันกล่าวว่ารายงานเสร็จสมบูรณ์หลังจากที่ผู้เขียนได้ปรึกษาหารืออย่างกว้างขวางกับเจ้าหน้าที่ด้านความปลอดภัยในโลกไซเบอร์ทั่วทั้งรัฐบาล และมีเป้าหมายที่จะสานต่อความพยายามหลายอย่างที่กำลังดำเนินการอยู่
