กลยุทธ์การไม่ไว้วางใจขั้นสุดท้ายที่ออกโดยสำนักงานการจัดการและงบประมาณเมื่อวันที่ 26 มกราคมเป็นมากกว่าความพยายามอีกครั้งโดยฝ่ายบริหารอีกรายเพื่อจัดการกับความท้าทายด้านความปลอดภัยทางไซเบอร์ที่มีมายาวนานมีมากกว่า 19 ข้อกำหนดที่หน่วยงานต้องเริ่มดำเนินการในวันนี้และในอีกสองปีข้างหน้า OMB กำหนดเส้นตายสำหรับเอเจนซีภายในสิ้นปีงบประมาณ 2024 เพื่อดำเนินการตามเป้าหมายเฉพาะที่เกี่ยวข้องกับการสร้างสถาปัตยกรรมแบบ Zero Trust
และเป็นมากกว่าคำฉวัดเฉวียนล่าสุดในการพาดหัวข่าว วาระการประชุม และประเด็นพูดคุย
กลยุทธ์การไม่ไว้วางใจเป็นศูนย์เป็นจุดเริ่มต้น จุดสูงสุดของวิสัยทัศน์ที่เริ่มต้นขึ้นเมื่อกว่าทศวรรษที่แล้วโดยผู้บริหารของรัฐบาลกลางที่รอให้เทคโนโลยีและวัฒนธรรมตามทัน และเป็นแผนงานที่ทั้งกำหนดไว้ล่วงหน้าเพียงพอและอดทนเพียงพอที่จะให้หน่วยงานต่างๆ สตาร์มุ่งมั่นต่อไปอีกสามปีข้างหน้า
DoD Cloud Exchange ของ Federal News Network: จากองค์กรสู่ความได้เปรียบทางยุทธวิธี — ค้นพบว่ากระทรวงกลาโหมและหน่วยบริการทางทหารมีความตั้งใจที่จะยกระดับการใช้เทคโนโลยีคลาวด์อย่างไร
Chris DeRusha เป็นหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของรัฐบาลกลาง
“ผลิตภัณฑ์ขั้นสุดท้ายที่เราได้รับนี้เป็นตัวอย่างที่ดีของความร่วมมือระหว่างภาครัฐและเอกชน ทุกคนทำงานร่วมกันเพื่อสร้างแผนงานที่ชัดเจนซึ่งทุกองค์กรสามารถปฏิบัติตามได้ ไม่จำเป็นต้องเป็นรัฐบาลกลางเท่านั้น” Chris DeRusha หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของรัฐบาลกลางกล่าวในการสัมภาษณ์พิเศษกับ Federal News Network
“เราคิดว่านั่นเป็นโอกาสที่น่าตื่นเต้นสำหรับเราในการเป็นผู้นำ
เป้าหมายของเราในที่นี้คือการระบุว่า Zero Trust มีความหมายอย่างไรสำหรับรัฐบาลกลาง และตรวจสอบให้แน่ใจว่าเรากำลังสร้างแผนปฏิบัติการที่ชัดเจนสำหรับหน่วยงานที่จะปฏิบัติตามในอีกสามปีข้างหน้า ขณะนี้เรามีจุดเริ่มต้นที่สอดคล้องกันสำหรับหน่วยงานเหล่านั้นทั้งหมด และสิ่งที่เราสามารถทำได้เพราะนั่นคือการให้ทุนและการวัดความคืบหน้า จากนั้นเราจะสามารถเปรียบเทียบความคืบหน้าทั่วทั้งองค์กรและดูว่าเรา กำลังทำทั่วทั้งกระดาน
การดำเนินการ 19 รายการที่กลยุทธ์วางไว้สร้างขึ้นจากความพยายามด้านความปลอดภัยในโลกไซเบอร์ที่มีอยู่เช่น โปรแกรมการวินิจฉัยและบรรเทาผลกระทบอย่างต่อเนื่อง (CDM) คำสั่งประธานาธิบดีด้านความมั่นคงแห่งมาตุภูมิ-12 (HSPD-12) การเข้ารหัสข้อมูล และการปกป้องระบบชื่อโดเมน
DeRusha กล่าวว่านี่คือสาเหตุที่กลยุทธ์ไม่ได้ให้กำหนดเวลาที่เฉพาะเจาะจงแก่หน่วยงานสำหรับแต่ละพื้นที่ภายใต้รูปแบบวุฒิภาวะที่พัฒนาโดย Cybersecurity and Infrastructure Security Agency
“แต่ละหน่วยงานจะมีคำสั่งที่แตกต่างกันบ้างเพื่อให้บรรลุแผนทั้งหมด ถึงตอนนี้ ฉันเชื่อว่าเรากำลังจะเน้นเสาหลักและบางส่วนของแผนมากกว่าเสาหลักอื่นๆ ตัวอย่างเช่นเอกลักษณ์ ฉันคิดว่าเราทุกคนรู้เกี่ยวกับการเดินทางแบบ Zero trust คุณต้องมีตัวตนหลักที่แข็งแกร่ง เรากำลังผลักดันการรับรองความถูกต้องด้วยหลายปัจจัย (MFA) ซึ่งเป็นสิ่งที่เราทำมานานหลายปี แต่เรากำลังเพิ่มขึ้นเป็นสองเท่าและให้ความสำคัญกับมันอย่างเหมาะสม” เขากล่าว “เรากำลังมุ่งเน้นไปที่มาตรการรักษาความปลอดภัยที่จะให้ผลตอบแทนสูงสุดแก่เรา เมื่อคุณดูสิ่งต่าง ๆ เช่น MFA มันเป็นเพียงการอยู่อันดับต้น ๆ ของรายการและหยุดนักแสดงที่ไม่ดีจากการบรรลุเป้าหมาย ฉันรู้ว่ามันเป็นสิ่งที่เราคุยกันมาสักพักแล้ว แต่มีเหตุผลที่ได้รับแอร์ไทม์ การจัดลำดับความสำคัญที่ศูนย์กลางของคำสั่งผู้บริหารจากปีที่แล้วและกลยุทธ์การไม่ไว้วางใจ เราทำงานกันมานาน ดังนั้นคุณทำได้ เรากำลังทำงานจนถึงไมล์สุดท้าย”
หน่วยงานต้องระบุชื่อหัวหน้าอาวุโส
ปฏิกิริยาต่อกลยุทธ์จากอุตสาหกรรมเป็นไปตามที่คาดไว้ในเชิงบวก
“OMB ไปไกลกว่าที่คาดไว้มาก ร่างฉบับเดือนกันยายนนั้นดีแต่ยังขาดเนื้อหาบางอย่าง และสิ่งที่ฉันคิดว่าเป็นวิธีที่สิ้นเปลืองในการทำสิ่งต่างๆ ให้ลุล่วง พวกเขาได้ออกมาอย่างชัดเจนเพื่อพูดถึงบางสิ่งที่อุตสาหกรรมได้พูดมาระยะหนึ่งแล้วและหลีกหนีจากแนวคิดของการสร้างขอบเขตที่เข้มงวด” Stephen Kovac หัวหน้าเจ้าหน้าที่ฝ่ายการปฏิบัติตามกฎระเบียบของ Zscaler และรองประธานของ Alliance for Digital กล่าว นวัตกรรม (ADI) สมาคมอุตสาหกรรม “ฉันเชื่อว่านโยบายนี้เป็นใบอนุญาตสำหรับหน่วยงานที่จะย้ายออกจากการป้องกันขอบเขตที่เข้มงวด แต่พวกเขาต้องการความช่วยเหลือเกี่ยวกับเรื่องนี้ พวกเขามีเวลา 60 วันในการวางแผน ฉันคิดว่าเราจะเห็นกรณีการใช้งานหรือเทมเพลตที่จะปูทางให้เอเจนซีบางรายก้าวไปสู่ความเชื่อถือเป็นศูนย์”
DeRusha กล่าวว่าแผนเริ่มต้นเหล่านั้นและการตั้งชื่อผู้นำอาวุโสที่รับผิดชอบแผน Zero Trust เป็นสิ่งที่ OMB จะให้ความสนใจอย่างใกล้ชิดในอีกไม่กี่เดือนข้างหน้า
Credit : สล็อตยูฟ่า / คืนยอดเสีย / เว็บสล็อตออนไลน์