(ได้รับความอนุเคราะห์จาก Kratos)ถึงเวลานั้นของปีอีกครั้ง และเจ้าหน้าที่หน่วยงานของรัฐบาลกลางก็ทราบการฝึกซ้อมการตรวจสอบของ Federal Information Security Management Actแต่ก็เช่นเดียวกับการสวดปัสกา “ทำไมคืนนี้จึงแตกต่างจากคืนอื่นๆ ทั้งหมด” เราถามว่าทำไมการตรวจสอบ FISMA ในปีนี้จึงแตกต่างจากปีอื่นๆคำตอบคือการวินิจฉัยและการลดผลกระทบอย่างต่อเนื่อง (CDM) มีบทบาทในตอนนี้ CDM ยึดมั่นในคำมั่นสัญญาที่จะเปลี่ยนจากการประเมินแบบกระดาษเป็นระยะเป็นการประเมินอัตโนมัติแบบเรียลไทม์ ดังนั้นรอบการประเมิน FISMA ในปีนี้จึงไม่ควรถูกมองว่าเป็นเพียงแบบฝึกหัดช่องทำเครื่องหมายประจำปีแบบอื่น
ข้อมูลเชิงลึกโดย Censys: ในระหว่างการสัมมนาออน
ไลน์เกี่ยวกับคู่มือ CISO สุดพิเศษนี้ ผู้ดำเนินรายการ จัสติน ดับเบิลเดย์ และแขกรับเชิญจะสำรวจความคิดริเริ่มทางไซเบอร์และการปรับปรุงให้ทันสมัยที่ DIU ด้วยมุมมองของอุตสาหกรรม
ประเด็นหลักที่เกิดขึ้นซ้ำๆ จากข้อค้นพบในรายงานปีงบประมาณ 2013 ไปจนถึงคำแนะนำในการประเมินต่อผู้ตรวจการทั่วไปสำหรับปี 2014 คือการเน้นที่การดำเนินการติดตามตรวจสอบอย่างต่อเนื่อง (CM) ซึ่งเป็นลำดับความสำคัญสำหรับการเปลี่ยนไปสู่การรักษาความปลอดภัยของรัฐบาลตามเวลาจริงที่มีประสิทธิภาพมากขึ้น
ขั้นแรก สถานะของการค้นพบ — ซึ่งบางคนเรียกว่าความคิดเห็นที่สร้างสรรค์ และบางคนเรียกว่า “ข่าวร้าย” แม้ว่าจะไม่ใช่รายการทั้งหมด แต่จุดอ่อนสำคัญที่ระบุในรายงานปี 2556 ได้แก่:
การขาดนโยบายและขั้นตอนที่เป็นเอกสารสำหรับ CM (เจ็ดจาก 24 แผนก);
ขาดกลยุทธ์และแผนการจัดทำเอกสารสำหรับ CM (แปดแผนก);
การประเมินอย่างต่อเนื่องของการควบคุมความปลอดภัย (เฉพาะระบบ ไฮบริด และทั่วไป) ไม่ได้ดำเนินการตามแผน CM ที่ได้รับอนุมัติ (10 แผนก)
เจ้าหน้าที่ระบบหลักที่ได้รับอนุญาตและเจ้าหน้าที่อื่น ๆ
ที่มีสถานะความปลอดภัยไม่ได้จัดทำรายงานที่ครอบคลุมการอัปเดต
แผนการรักษาความปลอดภัย รายงานการประเมินความปลอดภัย และแผนปฏิบัติการและเหตุการณ์สำคัญ (POA&M) ทั่วไปและสอดคล้องกันที่อัปเดตด้วยความถี่ที่กำหนดไว้ในกลยุทธ์และ/หรือแผน (เจ็ดแผนก ).
สิ่งที่ต้องทำอย่างรวดเร็วคือองค์ประกอบสำคัญสำหรับโปรแกรมการตรวจสอบอย่างต่อเนื่องไม่ได้อยู่ในสถานที่สำหรับหน่วยงานหลายแห่ง ไม่ใช่เรื่องบังเอิญที่คำแนะนำของ DHS ที่ให้ไว้กับ IG ของแผนก/หน่วยงานสำหรับการตรวจสอบในปี 2014 จะมุ่งเน้นไปที่:
ประเมินสถานะของความพยายามระดับหน่วยงานในการจัดตั้งโปรแกรม CM ทั่วทั้งองค์กร รวมถึงการจัดทำเอกสารนโยบายและขั้นตอน CM กลยุทธ์การจัดทำเอกสารสำหรับการตรวจสอบความปลอดภัยของข้อมูลอย่างต่อเนื่อง (ISCM); และการนำ ISCM ไปใช้ และการประเมินอย่างต่อเนื่องของการควบคุมความปลอดภัยที่ดำเนินการตามแผน CM ที่ได้รับอนุมัติ
เพื่อตอกย้ำประเด็นนี้ IGs ยังติดตามการปฏิบัติตามหน่วยงานด้วย Office of Management and Budget memo 14-03, Enhancing the Security of Federal Information and Information Systemsที่ออกเมื่อเดือนพฤศจิกายนปีที่แล้ว อีกครั้ง ในจังหวะกว้าง ๆ สิ่งนี้ต้องการกลยุทธ์ ISCM แผนสำหรับการอนุญาตระบบข้อมูลอย่างต่อเนื่อง การใช้ผลิตภัณฑ์และบริการ CM ทั่วทั้งหน่วยงาน และการฝึกอบรมพนักงานเพื่อดำเนินการโปรแกรม CM
ในฐานะอดีต CISO ของรัฐบาลกลาง ฉันเข้าใจถึงความท้าทายที่หน่วยงานที่มีพนักงานน้อยและขาดแคลนทรัพยากรต้องเผชิญในการตอบสนองต่อ FISMA โดยเฉพาะอย่างยิ่งในขณะนี้ที่ความสนใจเกี่ยวกับความคืบหน้าของ CM แต่หากมีสิ่งที่ดี หน่วยงานสามารถขอรับความช่วยเหลือสำหรับความท้าทายเหล่านี้ได้ โดยใช้ความเชี่ยวชาญด้านบริการผ่านโปรแกรม DHS CDM/continuous monitoring-as-a-service (CMaaS) บริการตามสัญญาบางส่วนมีส่วนสำคัญในการช่วยหน่วยงานแก้ไขข้อบกพร่องเหล่านี้ ได้แก่ การสนับสนุนการจัดการโครงการ การวางแผนการสั่งซื้อ CDM; และฝึกอบรมและให้คำปรึกษาด้าน CDM Governance
แม้ว่าหน่วยงานหลายแห่งกำลังรอคอยความช่วยเหลือด้านผลิตภัณฑ์อย่างใจจดใจจ่อผ่านโครงการ CDM มูลค่า 6 พันล้านดอลลาร์ของ DHS การเพิ่มผลิตภัณฑ์ด้านเทคโนโลยีแม้ว่าจะให้เปล่าก็ตาม ก็ไม่สมเหตุสมผล จนกว่าหน่วยงานจะระบุความเสี่ยง ประเมินความสามารถในปัจจุบัน และสร้างพิมพ์เขียวสำหรับ กลยุทธ์การใช้ CM
กล่าวอีกนัยหนึ่ง อย่าคิดเกี่ยวกับเทคโนโลยีจนกว่ากระบวนการและการจัดการจะได้รับการคิดออก
หากจะมีการเปลี่ยนจากการประเมินเป็นระยะตามเอกสารที่ล้าสมัยไปสู่การประเมินและการรายงานความปลอดภัยแบบเรียลไทม์ที่มีความหมาย การดำเนินการตรวจสอบอย่างต่อเนื่องเป็นสิ่งสำคัญยิ่ง นั่นเป็นเหตุผลที่รอบการประเมิน FISMA นี้ไม่ควรมองข้ามเป็นเพียงรายการสิ่งที่ต้องทำอีกรายการหนึ่ง
ความพยายามเหล่านี้คุ้มค่า เป็นการยกระดับความปลอดภัยที่ดีขึ้น แต่หน่วยงานบางแห่งเข้าใจดีว่าอาจพบว่าเป็นการยากที่จะเปลี่ยนไปสู่กระบวนทัศน์ใหม่นี้ โชคดีที่แผนกและหน่วยงานต่างๆ มีทรัพยากรที่สามารถขอรับการสนับสนุนและความเชี่ยวชาญได้
คอลัมน์อื่นๆ โดย แพท ฮาวเวิร์ด
