เมื่อพูดถึงการรักษาความปลอดภัยทางไซเบอร์ของรัฐบาลกลาง การจัดการความเสี่ยงเป็นหนึ่งในคำยอดนิยมในช่วงไม่กี่ปีที่ผ่านมาความท้าทายคือวิธีการวัดว่าหน่วยงานจัดการความเสี่ยงอย่างแท้จริงหรือเพียงแค่พูดถึง “การจัดการความเสี่ยง”รายงาน พระราชบัญญัติการจัดการความปลอดภัยของข้อมูลของรัฐบาลกลาง (FISMA) ล่าสุดที่เสนอต่อสภาคองเกรสได้ให้ความกระจ่างเกี่ยวกับประเด็นดังกล่าว
เข้าร่วมกับเราในช่วงบ่ายสองวันที่ 26 และ 27 เมษายน
ซึ่งเราจะสำรวจเทคโนโลยี นโยบาย และกระบวนการที่สนับสนุนความพยายามของหน่วยงานในการให้บริการสาธารณะ ธุรกิจ และเจ้าหน้าที่ของรัฐอย่างมีประสิทธิภาพมากขึ้น
สำนักงานการจัดการและงบประมาณกล่าวว่า 72 หน่วยงานได้รับคะแนนโดยรวมของ “การจัดการความเสี่ยง” ซึ่งเพิ่มขึ้นจาก 62 หน่วยงานในปี 2018และ 33 หน่วยงานในปี 2017
Grant Schneider หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของรัฐบาลกลางกล่าวว่าความคืบหน้าของหน่วยงานในการจัดการความเสี่ยงทางไซเบอร์ถือเป็นหนึ่งในเรื่องที่น่าประหลาดใจที่สุดของรายงานประจำปี
“มันแสดงให้เห็นจริง ๆ ว่าหน่วยงานต่าง ๆ ให้ความสนใจและทำในสิ่งที่เราต้องการให้พวกเขาทำในการรักษาความปลอดภัยทางไซเบอร์ ซึ่งใช้แนวทางการจัดการความเสี่ยงกับโครงสร้างพื้นฐานของพวกเขาและปกป้องสิ่งที่สำคัญที่สุด” Schneider กล่าวในการให้สัมภาษณ์กับ Federal News Network “แน่นอนว่าเรามองไปที่การนำเครื่องมือมาใช้ และการนำความสามารถไปใช้ เรามีเป้าหมายการทำงานข้ามหน่วยงานที่หลากหลายภายใต้วาระการจัดการของประธานาธิบดีที่เรากำหนดไว้สำหรับหน่วยงานต่างๆ และเราติดตามผลการปฏิบัติงานของพวกเขา สิ่งเหล่านี้กลายเป็นตัวบ่งชี้เชิงปริมาณบางส่วนที่เข้าสู่การประเมินเชิงคุณภาพมากขึ้นว่าหน่วยงานมีการจัดการความเสี่ยงอย่างเหมาะสมหรือไม่ และดำเนินการตรวจสอบสถานะและถามคำถามที่สำคัญบางอย่างเป็นการภายใน”
สำนักบริหารและงบประมาณจัดทำกระบวนการประเมินการ
บริหารความเสี่ยงภายใต้คำสั่งผู้บริหารด้านความปลอดภัยทางไซเบอร์ในเดือนพฤษภาคม 2560 เป้าหมายของกระบวนการประเมินคือ “ช่วยให้หน่วยงานต่างๆ เข้าใจและลดความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์”
สำหรับหน่วยงานที่ได้รับการพิจารณาให้จัดการความเสี่ยง ซึ่งเป็นหนึ่งในสามอันดับ หมายความว่าพวกเขามี “นโยบาย กระบวนการ และเครื่องมือด้านความปลอดภัยทางไซเบอร์ที่จำเป็น และจัดการความเสี่ยงด้านความปลอดภัยทางไซเบอร์ของตนอย่างแข็งขัน”
อีกสองอันดับคือความเสี่ยงสูงและมีความเสี่ยงที่มา: รายงาน FISMA ปี 2019 ต่อสภาคองเกรส
Tom Kellermann หัวหน้าฝ่ายกลยุทธ์ความปลอดภัยทางไซเบอร์ของ VMWare กล่าวว่าความคืบหน้าเกี่ยวกับความเสี่ยงเป็นตัวบ่งชี้ที่สำคัญ แต่หน่วยงานจำเป็นต้องตรวจสอบให้แน่ใจว่าพวกเขากำลังมองหาความเสี่ยงที่ถูกต้อง
“อันดับหนึ่งคือความเสี่ยงเชิงระบบของการข้ามเกาะที่แฮ็กเกอร์สามารถใช้ประโยชน์ได้ เมื่อมีความพยายามในการเปลี่ยนแปลงสู่ดิจิทัล ผู้ไม่ประสงค์ดีเคยโจมตีหน่วยงานและพลเมืองอื่นเพื่อขโมยข้อมูล ตอนนี้การปล้นกลายเป็นสถานการณ์จับตัวประกัน และนั่นเป็นเหตุผลว่าทำไมคุณจึงเห็นการทำลายระบบหรือข้อมูลเพิ่มมากขึ้น” เขากล่าวในการให้สัมภาษณ์ “ดังนั้น คำจำกัดความของความเสี่ยงจึงต้องเปลี่ยนจากระดับปฏิบัติการเป็นชื่อเสียงและ/หรือเชิงระบบ แฮกเกอร์ไม่เพียงแค่ทำการปล้น แต่พวกเขากำลังทำการบุกรุกบ้าน”
