ข้อกำหนดใหม่ของรัฐบาลทรัมป์สำหรับหน่วยงานที่จะใช้แนวทางตามความเสี่ยงเพื่อความปลอดภัยทางไซเบอร์อาจไม่ใช่เรื่องหนักหนาสำหรับหน่วยงานอย่างน้อยหนึ่งแห่ง สำนักงานการค้าและการพัฒนาของสหรัฐได้มุ่งสู่แนวทางที่อิงตามความเสี่ยงนี้ในช่วงหลายปีที่ผ่านมาเบนจามิน เบอร์เกอร์เซน หัวหน้าเจ้าหน้าที่ฝ่ายข้อมูลของสำนักงานการค้าและการพัฒนาของสหรัฐฯ กล่าวว่า เมื่อการโจมตีของแรนซัมแวร์
WannaCryโจมตีระบบคอมพิวเตอร์ทั่วโลก USTDA ไม่ได้นิ่งนอนใจ
“เราได้ตรวจสอบ WannaCry แล้วและฉันก็พูด ว่า’ใช่ เราได้ทำการแพตช์นั้นเมื่อเดือนที่แล้ว’ จากนั้นเราก็ตรวจสอบซ้ำอีกครั้งเมื่อทุกคนได้รับมัน และเราสบายดี” แบร์เกอร์เซนกล่าวในระหว่างการให้สัมภาษณ์กับ Ask the CIO “ดังนั้นจึงมีความตระหนักที่แน่นแฟ้นมากในระดับผู้นำเกี่ยวกับสิ่งที่เกิดขึ้นและอะไรคือความเสี่ยงต่อหน่วยงาน และเราจะป้องกันตนเองจากสิ่งเหล่านั้นได้อย่างไร”
เบนจามิน เบอร์เกอร์เซน เป็นหัวหน้าเจ้าหน้าที่ฝ่ายข้อมูลของสำนักงานการค้าและการพัฒนาแห่งสหรัฐอเมริกา
USTDA กำลังใช้โฮสต์ของเอกสารและแหล่งข้อมูลเพื่อทำความเข้าใจความเสี่ยงที่เผชิญอยู่
ข้อมูลเชิงลึกโดย GDIT: มีเทคโนโลยีหลักหลายอย่าง
– ICAM, Mission Partner Environments (MPEs) และวิศวกรรมดิจิทัล – ที่เปิดใช้งาน JADC2 ในตอนที่ 3 ของซีรีส์ 3 ส่วนนี้ ผู้ดำเนินรายการ Tom Temin จะพูดคุยถึงวิธีการที่วิศวกรรมดิจิทัลเป็นกุญแจสำคัญในการปรับปรุงเครือข่าย DoD ให้ทันสมัย
Bergersen กล่าวว่า กรอบการทำงานจาก National Institute of Standards and Technology รวมถึงสิ่งพิมพ์พิเศษ 800-53 (การควบคุมความปลอดภัยและความเป็นส่วนตัว), 800-37 (การจัดการความเสี่ยง) และ 800-39 (การจัดการความเสี่ยงด้านความปลอดภัยข้อมูล) ตลอดจนแผนปฏิบัติการ และเทมเพลตเหตุการณ์สำคัญจาก Federal Risk Authorization Management Program (FedRAMP)
“เรากำลังใช้เฟรมเวิร์กเพื่อปรับปรุงความปลอดภัยทางไซเบอร์ของโครงสร้างพื้นฐานที่สำคัญ ซึ่งเรียกว่าเฟรมเวิร์ก NIST” เขากล่าว “เรากำลังใช้บางอย่างที่ฉันพัฒนาขึ้นเมื่อ 25 ปีที่แล้ว ไม่ได้ใช้มาตรฐานของรัฐบาล แต่เพียงเพราะมันเป็นความคิดที่ดีที่จะทำ แพ็คเกจลดราคาเมื่อตอนที่ฉันอยู่ในอุตสาหกรรมโทรคมนาคมทางตอนเหนือของรัฐนิวยอร์ก เมื่อคุณสร้างบริการหรือเซิร์ฟเวอร์ใหม่หรือระบบใหม่ คุณต้องการปิดโครงการและเชื่อมโยงกับการจัดการโครงการและประเภทการควบคุมเหล่านั้นโดยตรง”
แพ็คเกจปิดการขายประกอบด้วยทุกอย่างตั้งแต่คู่มือการใช้งานสำหรับวิธีการใช้งานและบำรุงรักษาบริการหรือเซิร์ฟเวอร์ใหม่ การฝึกอบรมสำหรับทั้งเจ้าหน้าที่ไอทีและผู้ใช้ปลายทาง รายงานการกำหนดค่ามาตรฐานซึ่งอ้างอิงจากมาตรฐาน NIST และกระทรวงกลาโหม และรายงานการประเมินความเสี่ยง
Bergersen กล่าวว่ารายงานการประเมินความเสี่ยงมีรายละเอียดจุดแข็งและจุดอ่อนของระบบตามการสแกนการจัดการช่องโหว่ เขากล่าวว่าเจ้าของภารกิจและวิศวกรมีความคิดที่ดีขึ้นเกี่ยวกับข้อบกพร่องของระบบและสามารถย้อนกลับไปเพื่อลดความเสี่ยงของระบบหรือฮาร์ดแวร์นั้นๆ
“เรารวมรายงานการประเมินความเสี่ยงและเอกสารการยอมรับความเสี่ยงไว้ในทุก ๆ โครงการที่เราทำโดยเป็นส่วนหนึ่งของแพ็คเกจปิดการขาย นั่นเป็นนโยบายที่เราได้รับจากประสบการณ์ส่วนตัวของฉันย้อนหลังไป 25 ปี” เขากล่าว “ใช้งานได้ดีเพราะคุณกำลังให้บริการและมัดปลายหลวมๆ ทั้งหมด—ลูกค้ารู้หรือไม่? มันสื่อสารออกมา? ได้รับการทดสอบหรือไม่? มีการตรวจสอบคุณสมบัติหรือไม่? ทุกคนได้รับการฝึกอบรมเกี่ยวกับเรื่องนี้ตั้งแต่แผนกช่วยเหลือไปจนถึงผู้ใช้จนถึงวิศวกรหรือไม่”
Bergersen กล่าวว่าเขายินดีที่จะแบ่งปันแพ็คเกจลดราคากับสำนักงาน CIO ของรัฐบาลกลางแห่งอื่นๆ
อีกวิธีหนึ่งที่ Bergersen กล่าวว่า USTDA พยายามลดความเสี่ยงของการโจมตีทางไซเบอร์คือการใช้ประโยชน์จากบริการตรวจสอบอย่างต่อเนื่องของแผนกความมั่นคงแห่งมาตุภูมิภายใต้โปรแกรมการวินิจฉัยและบรรเทาผลกระทบอย่างต่อเนื่อง (CDM)
เขากล่าวว่า USTDA กำลังใช้ประโยชน์จากบริการที่ใช้ร่วมกันในขณะที่หน่วยงานย้ายสำนักงานและลดรอยเท้าของศูนย์ข้อมูล
credit : สล็อตยูฟ่า / คืนยอดเสีย / เว็บสล็อตออนไลน์
