เงินที่หลั่งไหลเข้ามาจากพระราชบัญญัติ CARES ช่วยให้ Department of the Navy (DON) ก้าวหน้าอย่างมากในการปรับปรุงเครือข่ายให้ทันสมัย ตอนนี้ ผู้นำกล่าวว่า ถึงเวลาแล้วที่จะต้องมุ่งเน้นไปที่การเสริมความปลอดภัยทางไซเบอร์ของเครือข่ายเหล่านั้น รวมถึงจุดเปลี่ยนสำคัญจากแนวทางที่ขับเคลื่อนด้วยการปฏิบัติตามกฎระเบียบไปสู่ปรัชญาใหม่ที่เรียกว่า “Cyber Ready” ซึ่งมุ่งเน้นไปที่การติดตามอย่างต่อเนื่องและการประเมินความเสี่ยงอย่างต่อเนื่อง
แนวคิดในการติดตามตรวจสอบสถานะทางไซเบอร์ของระบบอย่างสม่ำเสมอ
ไม่ใช่เรื่องใหม่ — แท้จริงแล้วเป็นหัวใจสำคัญที่สถาบันมาตรฐานและกรอบการจัดการความเสี่ยงด้านเทคโนโลยีแห่งชาติ (National Institute of Standards and Technology Risk Management Framework DoD) ใช้เพื่ออนุญาตระบบบนเครือข่ายอยู่แล้ว เป็นเรื่องทางทฤษฎีอยู่ดี
แต่ผู้นำด้าน IT ของ Navy คิดว่าพวกเขาได้เข้าสู่กรอบใหม่ที่จะช่วยในการเปลี่ยนแปลงทางวัฒนธรรมที่จำเป็นในท้ายที่สุด ย้ายออกจากการอนุมัติความปลอดภัยแบบจุดต่อเวลาตามรายการตรวจสอบ
Aaron Weis CIO ของกองทัพเรือกล่าวว่าการอธิบายปัญหาในแง่ของ “ความพร้อม” ซึ่งคล้ายกับวิธีที่กองทัพใช้วัดความสามารถของเจ้าหน้าที่และระบบอาวุธในการปฏิบัติภารกิจในแต่ละวัน ได้พบข้อตกลงที่ดี ของเสียงสะท้อนในกองทัพเรือและนาวิกโยธิน
DoD Cloud Exchange ของ Federal News Network: จากองค์กรสู่ความได้เปรียบทางยุทธวิธี — ค้นพบว่ากระทรวงกลาโหมและหน่วยบริการทางทหารมีความตั้งใจที่จะยกระดับการใช้เทคโนโลยีคลาวด์อย่างไร
“วิธีการทั้งหมดคือการที่เราวัดความพร้อมในแนวทางแบบองค์รวม และเป็นสิ่งที่คุณจัดการแบบไดนามิก” เขากล่าวในสัปดาห์นี้ในการประชุมด้านไอทีประจำปีของกองทัพเรือในซานดิเอโก “มันใช้วิธีที่เราวัดตัวเองในวิธีที่สมบูรณ์และนำสิ่งนั้นมาสู่หัวข้อความปลอดภัยทางไซเบอร์ และความรู้สึกของฉันคือเราได้รับข้อความที่โดนใจจริงๆ ซึ่งเป็นแนวทางที่สามารถให้ผลได้ และเราก็ได้รับ การมีส่วนร่วมในแนวคิดนี้ดีมาก”
ในทางปฏิบัติยังคงต้องพิจารณาว่า “Cyber Ready”
มีลักษณะอย่างไรในทางปฏิบัติ แนวคิดนี้เพิ่งได้รับการหารือตั้งแต่เดือนตุลาคม และ DON วางแผนที่จะทดสอบกับโครงการนำร่องไม่กี่แห่งในปีหน้า ก่อนที่จะสรุปผลเชิงนโยบายในวงกว้าง
แต่ Weis กล่าวว่าวัตถุประสงค์หลักคือการย้ายออกจากแนวปฏิบัติปัจจุบันของการอนุญาตให้ระบบมีอำนาจดำเนินการ (ATO) ทุกๆ 3 ปี เขากล่าวว่าแนวทางดังกล่าวกระตุ้นให้เกิด “พฤติกรรมที่ไม่ดี”
“สิ่งหนึ่งที่เรากำลังพูดในฐานะส่วนหนึ่งของ Cyber Ready คือความคิดของ ATO 3 ปีนั้นผิดคาด — คุณกรอกสเปรดชีตขนาดยักษ์และวิดพื้น 10,000 ครั้ง จากนั้นคุณก็จะได้ ATO ที่ดีเป็นเวลาสามปี ” เขาพูดว่า. “ผู้คนได้รับ ATO นั้นแล้วพวกเขาก็พูดว่า ‘ใช่ งานเสร็จแล้ว’ แล้วจะเกิดอะไรขึ้น? ในอีกสามปีข้างหน้า ระบบนั้นไม่มีการพัฒนาหรือปรับปรุงเลย มันไม่ปลอดภัยอีกต่อไป และจบลงด้วยการยกระดับที่มีความเสี่ยงสูงซึ่งจบลงที่โต๊ะทำงานของฉัน เราจำเป็นต้องได้รับแนวคิดนี้ว่าคุณจะได้รับ ATO อยู่เสมอ มีวลีแปลกๆ มากมายสำหรับสิ่งนั้นเช่น ATO ต่อเนื่องแต่แนวคิดก็คือคุณจะได้รับรายได้เสมอและรับ ATO ของคุณใหม่ทุกวัน”
และผู้นำด้านไอทีของกองทัพเรือคิดว่านักพัฒนาเทคโนโลยีของพวกเขากำลังหิวกระหายการเปลี่ยนแปลงตามแนวทางเหล่านี้
Jane Rathbun รองผู้ช่วยเลขาธิการกองทัพเรือด้านสงครามข้อมูลและบริการระดับองค์กรกล่าวว่าชุมชนที่ได้รับมักจะผิดหวังกับกระบวนการสร้างระบบใหม่และจะเปลี่ยนให้เจ้าหน้าที่ความปลอดภัยทางไซเบอร์ตรวจสอบและอนุมัติเท่านั้นเมื่อพวกเขาพร้อมที่จะปรับใช้ .
เธอกล่าวว่านักพัฒนาต้องการให้ชุมชน CISO ฝังอยู่ในโปรแกรมของตนตั้งแต่เริ่มต้น
“พวกเขายังเห็นความต้องการแพลตฟอร์มทั่วไป เพื่อที่จะสามารถสรุปความสามารถที่แท้จริงจากโครงสร้างพื้นฐานด้านไอที เพื่อให้สามารถเตรียมการและ ATO ได้ — และไม่เกิดซ้ำทุกครั้งที่เราต้องการเพิ่มความสามารถที่แท้จริงให้กับกองทัพเรือและไปยัง นาวิกโยธิน” เธอกล่าว “พวกเขาต้องการมรดก หากเราได้รับการอนุมัติจากนาวิกโยธินในบางแพลตฟอร์มหรือโซลูชันที่เราต้องการใช้ในกองทัพเรือ เราคือครอบครัวใหญ่ที่มีความสุข เราไม่จำเป็นต้องทำสองสิ่ง … พวกเขายอมรับว่าต้องปฏิบัติตามความปลอดภัยทางไซเบอร์ และพวกเขาต้องการทำเช่นนั้น นั่นไม่เคยเป็นปัญหา มันเกี่ยวกับวิธีที่เราไปถึงที่นั่น”
Credit : ยูฟ่าสล็อต
