มีความตึงเครียดที่ดีระหว่างผู้ตรวจสอบและผู้ปฏิบัติงานอยู่เสมอ หลังจากสิ่งที่ดูเหมือนจะไม่ลงรอยกันระหว่างผู้ตรวจสอบทั่วไปและผู้บริหารด้านไอทีในช่วงไม่กี่ปีที่ผ่านมา เหตุการณ์ล่าสุดได้เน้นย้ำถึงความขัดแย้งอย่างต่อเนื่องระหว่างทั้งสองฝ่ายเกี่ยวกับวิธีที่หน่วยงานปกป้องข้อมูลและเครือข่ายของรัฐบาลกลางในระหว่างการอภิปรายเมื่อวันพฤหัสบดีที่ผ่านมาซึ่งสนับสนุนโดย AFFIRM ในวอชิงตัน CISO และเจ้าหน้าที่สารสนเทศระดับสูงของหน่วยงานหลายคนได้พูดคุยเกี่ยวกับความยากลำบากในการย้ายไปสู่กรอบการทำงานที่อิงตามความเสี่ยง
Jim Quinnหัวหน้าวิศวกรระบบสำหรับโปรแกรมการวินิจฉัย
และบรรเทาผลกระทบอย่างต่อเนื่อง (CDM) ของ Department of Homeland Security กล่าวว่าบ่อยครั้งที่ IGs ใช้รายการตรวจสอบเพื่อตรวจสอบว่าหน่วยงานปฏิบัติตามข้อกำหนดด้านนโยบายและกฎหมายหรือไม่
“พวกเขามีรายการตรวจสอบมาตรฐานที่ระบุว่า ‘คุณทำข้อ A, B และ C แล้วหรือยัง’ โดยไม่ยอมรับว่า A, B และ C เป็นสิ่งที่สำคัญต่อสิ่งที่คุณพยายามจะบรรลุหรือไม่ หรือว่าคุณได้ทำสิ่งอื่นเพื่อทำให้การควบคุมเหล่านั้นมีความเกี่ยวข้องน้อยลง เพราะคุณได้ใส่สิ่งที่ชดเชยซึ่งจำกัดความเสี่ยงของคุณไว้กับสิ่งเหล่านั้น ,” เขาพูดว่า. “ฉันคิดว่านี่เป็นหนึ่งในความท้าทาย แม้แต่การดูสิ่งต่างๆ เช่น ตัวชี้วัดของ Federal Information Security Management Act (FISMA) คือวิธีที่เราอนุญาตให้หน่วยงานและแผนกต่างๆ และกลุ่มภารกิจสามารถพูดได้ว่า ‘คุณต้องดูที่ ความเสี่ยงที่ฉันเต็มใจรับในบริบทของสิ่งที่ฉันทำ’”
ข้อมูลเชิงลึกโดย Carahsoft: เอเจนซีจะบรรลุประสบการณ์ลูกค้าที่ยอดเยี่ยมด้วยความปลอดภัยทางไซเบอร์ที่ได้รับการปรับปรุงได้อย่างไร ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ Jason Miller ผู้ดำเนินรายการจะหารือเกี่ยวกับการเปลี่ยนแปลงสู่ระบบคลาวด์และกลยุทธ์การจัดการข้อมูลประจำตัวและการเข้าถึงกับหน่วยงานและผู้นำในอุตสาหกรรม
ควินน์ ซึ่งใช้เวลาส่วนใหญ่ในอาชีพการงานในภาคเอกชน กล่าวว่า
การตัดสินใจบนพื้นฐานความเสี่ยงประเภทนี้มักเกิดขึ้นในโลกการค้า
“เราไม่อนุญาตให้ซีไอโอหรือผู้บริหารความเสี่ยงภายในรัฐบาล [ทำการตัดสินใจเหล่านั้น]” เขากล่าว “ในนามของเราบอกว่าทำได้ แต่เมื่อมีแรงผลักดันเข้ามาและพวกเขากำลังผ่านการตรวจสอบ การตรวจสอบทางการเงินนั้นจะต้องผ่านรายการมาตรฐานของสิ่งเหล่านี้ทั้งหมด และพวกเขาจะพูดว่า ‘เราไม่สนใจ ที่คุณมีการควบคุมชดเชยนี้ คุณไม่มีถังดับเพลิงทุกๆ 10 ฟุต และคุณล้มเหลว”
David Brayซึ่งเป็น CIO ของ Federal Communications Commission กล่าวว่าเมื่อเร็วๆ นี้เขามีประสบการณ์ที่คล้ายกันกับผู้ตรวจสอบบัญชี
FCC ได้ตรวจสอบระบบอีเมลบนคลาวด์ Bray กล่าวว่าผู้ตรวจสอบบัญชีกล่าวว่า “คุณยังไม่ได้คิดว่าคุณจะทำอย่างไรหากอีเมลบนคลาวด์ล่ม”
เบรย์ตอบว่า “เหตุผลทั้งหมดที่เราเลือกใช้คลาวด์ก็เพราะเป็นบริษัทระดับโลก ถ้าพวกเขาลงไป เรามีปัญหาอื่น ๆ แต่ฉันก็เบื่อ มันเหมือนกับว่าคุณกำลังพูดว่าพวกเขากำลังสอนเพื่อทดสอบ และไม่ใช่การคิดเชิงวิพากษ์ที่ต้องทำ”
ประสบการณ์ของ Quinn และ Bray ไม่ใช่เรื่องแปลกในรัฐบาล
ชุมชนผู้ตรวจสอบทั่วไปตระหนักดีว่าพวกเขาจำเป็นต้องเปลี่ยนแปลงและพยายามเปลี่ยนไปสู่วิธีคิดใหม่
ในรายงาน FISMA ปี 2015 IGs ใช้โมเดลการพัฒนา ใหม่ สำหรับการรักษาความปลอดภัยข้อมูลและการตรวจสอบอย่างต่อเนื่องเพื่อวิเคราะห์ว่าหน่วยงานต่างๆ ปกป้องเครือข่ายและข้อมูลของตนอย่างไร
Credit : เว็บสล็อต / ยูฟ่าสล็อต เว็บตรง
