ฝ่ายบริหารบริการทั่วไปและแผนกพลังงานกำลังใช้สองเส้นทางที่แตกต่างกันเพื่อบรรลุเป้าหมายเดียวกัน นั่นคือการลดความเสี่ยงทางไซเบอร์GSA กำลังใช้พลังของกระเป๋าเงินจัดซื้อจัดจ้างพลังงานกำลังประเมินว่าการลงทุนในบุคลากร กระบวนการ หรือเทคโนโลยีใดจะทำให้คะแนนความเสี่ยงลดลง เอเจนซีกำลังฝึกฝนวิธีที่ดีที่สุดในการรักษาความปลอดภัยซอฟต์แวร์และมองเห็นซัพพลายเออร์ได้ดีขึ้น เราพูดคุยกับผู้นำจาก DoD, FDA, GSA, NASA และรัฐเพื่อเปิดเผยว่าหน่วยงานต่าง ๆ ตอบสนองความต้องการในการมองเห็นแนวทางปฏิบัติทางไซเบอร์ของผู้ขายได้อย่างไร
Emery Csulak หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูล
ของ Energy กล่าวว่า แม้ว่าการอภิปรายเกี่ยวกับการลดความเสี่ยงทางไซเบอร์จะไม่ใช่เรื่องใหม่ แต่หน่วยงานต่าง ๆ มีความเข้าใจที่ดีขึ้นเกี่ยวกับวิธีการบรรเทาและจัดการกับความท้าทายเหล่านี้
Emery Csulak เป็นหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของกระทรวงพลังงาน
“เรากำลังพยายามเปลี่ยนบทสนทนานั้น เรากำลังพยายามหาวิธีที่ดีที่สุดที่จะใช้การจัดการความเสี่ยงเชิงปริมาณ เราจะประเมินได้อย่างไรว่าการลงทุน 1 ล้านดอลลาร์จะทำให้ฉันมีความเสี่ยงลดลง 1 ล้านดอลลาร์ในการทำโครงการปรับปรุงสิ่งใหม่ให้ทันสมัย หรือจะลดความเสี่ยงลง 30,000 ดอลลาร์ คุณต้องสามารถสนทนาเหล่านั้นได้” Csulak กล่าวในระหว่างการประชุม 930Gov ล่าสุดซึ่งเป็นงาน Live Ask the CIO “ที่ Energy เรากำลังดูว่าในอดีตเราใช้เวลามากมายในการสอน CFO หรือ COO เกี่ยวกับวิธีที่เราพูดถึงความปลอดภัยด้านไอที แต่เราแทบไม่ได้เกาพื้นผิวของการสอนพนักงานรักษาความปลอดภัยเกี่ยวกับวิธีพูดดอลลาร์ เซ็นต์ ความน่าจะเป็นและการเปิดเผยของสิ่งนั้น เรากำลังเปิดรับการบริหารความเสี่ยงเชิงปริมาณ”
GSA กำลังประเมินการจัดการความเสี่ยงเชิงปริมาณด้วยวิธีที่ต่างออกไป ผ่านการรักษาความปลอดภัยในห่วงโซ่อุปทาน ช่วงต้นฤดูร้อนนี้ GSA ประกาศว่ากำลังคิดที่จะไม่นำเสนอผลิตภัณฑ์ตกแต่งใหม่หรือใช้แล้วตามกำหนดการอีกต่อไป ได้ออกคำขอความคิดเห็นในช่วงฤดูร้อน แต่ในการอัปเดตล่าสุดของการย้ายหมายเลขสินค้าพิเศษ (SIN) ไปยังรหัสระบบการจำแนกประเภทอุตสาหกรรมในอเมริกาเหนือ (NAICS) รายการผลิตภัณฑ์ที่ใช้แล้วหรือตกแต่งใหม่ยังคงเป็นส่วนหนึ่งของความพยายาม
ซื้อตารางการรักษาความปลอดภัย
ถึงกระนั้น Larry Hale ผู้อำนวยการแผนก IT Security Subcategory สำหรับ Federal Acquisition Service ของ GSA กล่าวว่ามีขั้นตอนมากมายที่หน่วยงานดำเนินการเพื่อให้แน่ใจว่าหน่วยงานผลิตภัณฑ์ที่ซื้อจากกำหนดการมีความปลอดภัยและเชื่อถือได้
“มีขั้นตอนที่ลูกค้าควรทำเพื่อให้แน่ใจว่าพวกเขากำลังซื้อจากผู้ค้าปลีกที่มีชื่อเสียงและผู้ค้าปลีกที่ได้รับใบอนุญาต เมื่อผู้ผลิตไม่ได้ขายโดยตรงให้กับรัฐบาล พวกเขามักจะมีผู้ค้าปลีกที่ได้รับอนุญาต และฉันขอแนะนำให้หน่วยงานของรัฐบาลกลางใช้ผู้ค้าปลีกที่ได้รับอนุญาตเหล่านั้นเพื่อลดความเสี่ยงในการได้รับสินค้าปลอมหรือสินค้าจากตลาดสีเทา เราติดตามรายงานเทคโนโลยีปลอมในผลิตภัณฑ์ที่ผู้คนซื้อจาก GSA อย่างจริงจัง เมื่อเราพบว่าผู้ขายกำลังขายสินค้าลอกเลียนแบบ เราจะดำเนินการกับพวกเขา เรานำพวกเขาออกจากกำหนดการ เราปิดพวกเขาลง เราเกี่ยวข้องกับการบังคับใช้กฎหมายตามความเหมาะสม”
นอกจากนี้ Hale กล่าวว่า GSA กำลังทำงานร่วมกับสถาบันมาตรฐานและเทคโนโลยีแห่งชาติและกระทรวงกลาโหมในการริเริ่มการจัดการความเสี่ยงของห่วงโซ่อุปทาน
นอกจากนี้ GSA กำลังดำเนินการตามข้อกำหนดภายใต้พระราชบัญญัติเทคโนโลยีความปลอดภัย ซึ่งทำให้หน่วยงานดังกล่าวมีบทบาทเฉพาะใน Federal Acquisition Security Council และการรับรองว่าผลิตภัณฑ์ที่จำเป็นต้องได้รับการยกเว้นจะถูกลบออกจากสัญญาของรัฐบาล
“หน่วยงานจำเป็นต้องทำการวิเคราะห์การจัดการความเสี่ยงและกำหนดสิ่งที่พวกเขาเต็มใจที่จะเปิดเผยตัวเองในแง่ของแหล่งที่มาของอุปกรณ์ที่พวกเขากำลังจะติดตั้งในระบบบางอย่าง การใช้ระบบสามารถระบุได้ว่าพวกเขายินดีจ่ายเบี้ยประกันภัยสำหรับระบบเฉพาะของผู้ผลิตอุปกรณ์ดั้งเดิมที่มีการควบคุมความปลอดภัยเฉพาะหรือไม่ หรือหากพวกเขากำลังทำกิจวัตรบางอย่างโดยมีความเสี่ยงด้านความปลอดภัยจำกัดและต้องการประหยัดเงิน” Hale กล่าว “นั่นเป็นสัญลักษณ์ของความคิดที่ต้องเข้าสู่การจัดซื้อที่มีการวางแผนอย่างดี และนั่นไม่ใช่สิ่งที่จะเกิดขึ้นเสมอไป บ่อยครั้ง แรงกดดันคือ ‘ฉันต้องการอย่างรวดเร็วและฉันต้องการราคาถูก’ ดังนั้นพวกเขาจึงหาตัวแทนจำหน่ายที่ให้สิ่งที่พวกเขาต้องการในราคาที่ต่ำที่สุดเท่าที่จะเป็นไปได้
Credit : สล็อตยูฟ่าเว็บตรง
