แผนกความมั่นคงแห่งมาตุภูมิกำลังทำมากกว่าแค่การเขียนนโยบายเพื่อกำหนดให้มีการแลกเปลี่ยนบริการคลาวด์ระหว่างส่วนประกอบต่างๆนอกจากนี้ DHS ยังพยายามปรับปรุงกระบวนการอนุมัติ ซึ่งสำหรับหลายๆ หน่วยงานถือเป็นความพยายามที่ใช้เวลานานและยากลำบากในการปฏิบัติตามข้อกำหนดของหน่วยงานกำกับดูแล (ATO)ดร. จอห์น แซนการ์ดี หัวหน้าเจ้าหน้าที่สารสนเทศของ DHS กล่าวว่าเขาได้เปิดตัวกระบวนการผู้มีอำนาจเพื่อดำเนินการ (ATP) ใหม่เพื่อช่วยจัดการกับความท้าทายด้านเวลาโดยไม่สูญเสียความเข้มงวดด้านความปลอดภัยที่จำเป็น
เอเจนซีกำลังฝึกฝนวิธีที่ดีที่สุดในการรักษาความปลอดภัย
ซอฟต์แวร์และมองเห็นซัพพลายเออร์ได้ดีขึ้น เราพูดคุยกับผู้นำจาก DoD, FDA, GSA, NASA และรัฐเพื่อเปิดเผยว่าหน่วยงานต่าง ๆ ตอบสนองความต้องการในการมองเห็นแนวทางปฏิบัติทางไซเบอร์ของผู้ขายได้อย่างไร
“แทนที่จะรอให้เราจัดการกับช่องโหว่หรือความเสี่ยงทุกอย่างที่เกิดขึ้นกับแอปพลิเคชันหรือระบบใดระบบหนึ่ง เราอนุญาตให้ระบบหรือแอปพลิเคชันนั้นเข้าสู่เครือข่ายได้เร็วกว่า ทันทีที่เราหาวิธีลดช่องโหว่ระดับสูงได้ เรามาเริ่มกันบนเครือข่ายกันเถอะ เราสามารถให้เวลาหนึ่งปีในการทำความสะอาดทุกอย่างและบรรเทามัน” Zangardi กล่าวในAsk the CIO “เมื่อสิ้นปี หากทำได้ เราจะให้ ATO ดำเนินการตามปกติ และนำเข้าสู่กระบวนการตรวจสอบอย่างต่อเนื่องและเลิกทำไป เราทำสิ่งนี้โดยหวังว่าจะช่วยให้เราดำเนินการได้เร็วขึ้นเพราะนั่นคือกุญแจสำคัญ”
John Zangerdi เป็น CIO Department of Homeland Security
DHS ไม่ได้เป็นเพียงผู้เดียวที่ต้องการเร่งกระบวนการ ATO องค์กร 18F ของ General Services Administration และ National Geospatial Intelligence Agency เป็นหนึ่งในหน่วยงานที่มีความคืบหน้าในการลดระยะเวลาที่ใช้ในการรับ ATO แต่รับประกันว่าจะใช้ความเข้มงวดในปริมาณที่เหมาะสม และสำนักงานการจัดการและงบประมาณทำให้กระบวนการ ATO คล่องตัวนอกเหนือจากเป้าหมายลำดับความสำคัญของการปรับปรุงไอทีให้ทันสมัยข้ามหน่วยงาน OMB กล่าวว่าต้องการ “แทนที่กระบวนการอนุมัติระบบที่ยึดตามการปฏิบัติตามกฎระเบียบด้วยการตัดสินใจที่ว่องไวและอิงตามความเสี่ยง เพื่อผลักดันการใช้เทคโนโลยีเชิงพาณิชย์อย่างมีประสิทธิภาพและคุ้มค่า”
สำหรับ DHS การปรับปรุงกระบวนการ ATO นั้นมีความสำคัญยิ่งกว่า
เนื่องจากผู้ตรวจสอบทั่วไปของหน่วยงานพบข้อบกพร่องทั่วทั้งแผนก ในรายงาน Federal Information Security Management Act (FISMA) ประจำปีงบประมาณ 2018 ต่อสภาคองเกรส IG กล่าวว่า “ส่วนประกอบยังคงใช้งานระบบต่อไปโดยไม่มี ATO ใช้ระบบปฏิบัติการที่ไม่รองรับซึ่งอาจทำให้ข้อมูล DHS มีความเสี่ยงโดยไม่จำเป็น จัดการแผนปฏิบัติการและขั้นตอนสำคัญไม่ได้ผล เพื่อลดจุดอ่อนด้านความปลอดภัยที่ระบุ และไม่ใช้แพตช์ความปลอดภัยอย่างทันท่วงที ข้อบกพร่องที่เกิดขึ้นอย่างต่อเนื่องขัดต่อคำสั่งผู้บริหารความปลอดภัยทางไซเบอร์ของประธานาธิบดีและตัวบ่งชี้ที่ชัดเจนว่าการกำกับดูแลแผนกของโครงการรักษาความปลอดภัยข้อมูลทั่วทั้งองค์กรจำเป็นต้องได้รับการเสริมความแข็งแกร่ง”
Zangardi กล่าวว่าวิธีหนึ่งในการลดภาระของกระบวนการ ATO คือการเน้นที่การแลกเปลี่ยนซึ่งกันและกัน เขากล่าวว่าผู้นำภารกิจต้องการให้กระบวนการกำกับดูแลทางไซเบอร์และการปฏิบัติตามกฎระเบียบมีความคล่องตัวและว่องไวมากขึ้น เพื่อให้พวกเขาสามารถนำแอปพลิเคชันเข้าสู่ภาคสนามได้เร็วขึ้น
“หาก ATO ได้รับจากองค์ประกอบเดียว เหตุใดเราจึงควรลังเลที่จะยอมรับ ATO นั้นหากดำเนินการในลักษณะที่ทำได้ดีและไม่มีข้อบกพร่องในการได้มา” เขาถาม. “ให้กำลังใจยังไง? คุณต้องพูดถึงมันต่อไป มีความสงบเสงี่ยมที่จะไม่เชื่อถือผลงานของผู้อื่น ดังนั้นคุณต้องอยู่เหนือมัน”
ก้าวไปสู่ท่าบริหารความเสี่ยง
Zangardi กล่าวว่าการจัดการความเสี่ยงเป็นหัวใจสำคัญของการแลกเปลี่ยนซึ่งกันและกันและเป็นกระบวนการ ATO ที่ดีกว่าและเร็วกว่า
“ทั้งหมดนี้กลับมาที่ความน่าจะเป็นของการเกิดขึ้นและผลที่ตามมาของการเกิดขึ้น และการทำความเข้าใจว่านั่นหมายถึงอะไรในบริบทของภารกิจของคุณและความเสี่ยงที่คุณรับ” เขากล่าว
ในขณะเดียวกัน Paul Beckman หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของ DHS กำลังตรวจสอบและอัปเดตคำแนะนำด้านความปลอดภัยทางไซเบอร์ของหน่วยงานที่เรียกว่า 4300A“เราจะเขียนอย่างไรให้ผู้บริโภคอ่านได้ง่ายขึ้น ส่วนหนึ่งคือวิธีทำให้มันเล็กลง” Zangardi กล่าว “เมื่อคุณดูสิ่งนี้ คุณเริ่มสร้างปรัชญาของการบริหารความเสี่ยง เข้าใจความเสี่ยงที่คุณกำลังเผชิญอยู่ และความเป็นผู้นำที่กระตุ้นให้ผู้คนใช้ประโยชน์จากการแลกเปลี่ยนซึ่งกันและกันภายในบริบทนั้น คำแนะนำและคำแนะนำ 4300 วิธีที่คุณเข้าใกล้สิ่งนี้ด้วยวิธีที่อ่านได้และเข้าใจได้มากขึ้น คุณจะเริ่มก้าวไปสู่เส้นทางที่ถูกต้อง”
ความต้องการ ATO ที่ดีขึ้น เร็วขึ้น และคล่องตัวมากขึ้นมีความสำคัญมากขึ้น เนื่องจาก DHS ย้ายแอปพลิเคชันไปยังระบบคลาวด์มากขึ้นเรื่อยๆ โดยเฉพาะอย่างยิ่งเมื่อ Zangardi เพิ่มความพยายามของหน่วยงานในการใช้สัญญา Enterprise Infrastructure Solutions (EIS) เพื่อย้ายเสียง ข้อมูล และเครือข่าย ความทันสมัยไปข้างหน้า
Credit : สล็อตยูฟ่า / คืนยอดเสีย / เว็บสล็อตออนไลน์
