การบริหารความเสี่ยงด้านซัพพลายเชนวิธีที่เราพิจารณาคือรอยเท้าความเสี่ยงที่หน่วยงานหนึ่งมี ขยายตัวอย่างมากและมีความสำคัญ โดยอิงตามอาชญากรไซเบอร์ในระดับประเทศจำนวนมากที่อยู่ที่นั่น เพื่อให้แน่ใจว่าทุกคนในรอยเท้าความเสี่ยงที่ขยายออกไปนั้นกำลังทำ อย่างดีที่สุดเท่าที่จะทำได้เพื่อรักษาสภาพแวดล้อมเหล่านั้นให้ปลอดภัยการสร้างแคตตาล็อกซัพพลายเออร์เป็นการเริ่มต้นขั้นพื้นฐาน จากตรงนั้น ฉันสามารถพัฒนาไปสู่การกำหนดให้ผู้รับเหมาเหล่านั้นให้ข้อมูลแก่ฉัน
อาจมาจากเครื่องมืออัตโนมัติหรือเครื่องมือสแกนช่องโหว่
และเน้นและแนบเอกสารนั้นกับผู้ขายรายนั้นๆ พื้นที่อื่นที่เราได้เห็นเมื่อผู้คนใช้ประโยชน์จากเทคโนโลยีและความสามารถคือการประเมินเสมือนโดยอิสระของผู้รับเหมาซึ่งเป็นบุคคลที่สาม เพื่อดูว่าพวกเขาปลอดภัยเพียงใดจากมุมมองที่เปิดเผยต่อสาธารณะ มีหลายสิ่งหลายอย่างที่เราได้เห็นเอเจนซี่ทำเมื่อพวกเขาเริ่มใช้ประโยชน์จากเทคโนโลยีและเครื่องมือต่างๆ เป็นสิ่งที่มีวิวัฒนาการ เป็นกระบวนการคลาน เดิน และวิ่ง
ไม่ต้องสงสัยเลยว่า ปี 2020 จะถูกจดจำในภาคส่วนของรัฐบาลกลางในฐานะปีแห่งการจัดการความเสี่ยงด้านห่วงโซ่อุปทาน ใช่แล้ว ยังมีการแพร่ระบาดของไวรัสโคโรนาที่ทำให้โลกของทุกคนกลับตาลปัตร
แต่ถ้าเราย้อนกลับไปจากโศกนาฏกรรมครั้งนี้ เราจะเห็นได้ว่าความสนใจและทรัพยากรที่ทุ่มเทให้กับการจัดการความเสี่ยงด้านซัพพลายเชนมากเพียงใดในช่วง 12 เดือนที่ผ่านมา
ตั้งแต่กระทรวงกลาโหมออกใบรับรอง Cybersecurity Maturity Model Certification (CMMC) ที่ค่อนข้างท้าทาย ไปจนถึงการเปิดตัวของ Federal Acquisition Security Council ไปจนถึงส่วนที่สองของกฎการได้มาซึ่งมาตรา 889 ทุกครั้งที่หน่วยงานและผู้ขายต้องเผชิญกับข้อกำหนดใหม่
ภารกิจนี้ยอดเยี่ยมมากจนสำนักงานผู้อำนวยการข่าวกรองแห่งชาติกำหนดเป้าหมายกว้างๆ สามประการเพื่อปรับปรุงความปลอดภัยของห่วงโซ่อุปทานของรัฐบาลกลาง สิ่งเหล่านี้รวมถึงการใช้ความสามารถที่ได้รับการปรับปรุงเพื่อตรวจจับและตอบสนองต่อภัยคุกคามในห่วงโซ่อุปทาน และเข้าถึงพันธมิตรภาครัฐและเอกชนมากขึ้นเกี่ยวกับศักยภาพและความเปราะบางที่แท้จริง
เกือบทุกหน่วยงานตั้งแต่ ODNI ไปจนถึง FBI ไปจนถึง DHS
ไปจนถึงกระทรวงพาณิชย์มีส่วนร่วมในการปกป้องห่วงโซ่อุปทานของรัฐบาลกลาง
หน่วยงานจำเป็นต้องนำข้อมูลทั้งหมดนี้ ทั้งจากแหล่งข้อมูลภาครัฐและเอกชน และนำไปใช้กับภารกิจเฉพาะของตนDan Carayiannis ผู้อำนวยการภาครัฐของ RSA กล่าวว่าความกังวลที่เพิ่มขึ้นเกี่ยวกับผลิตภัณฑ์และส่วนประกอบด้านเทคโนโลยี และการที่ซัพพลายเออร์ด้านเทคโนโลยีเข้าใจและมีความโปร่งใสในห่วงโซ่ของการดูแลนั้น ก่อให้เกิดการตื่นตัวสำหรับองค์กรภาครัฐและเอกชน
“วิธีที่เราพิจารณาคือรอยเท้าความเสี่ยงที่หน่วยงานหนึ่งมี ขยายตัวอย่างมากและมีความสำคัญ โดยอิงตามอาชญากรไซเบอร์ในระดับประเทศจำนวนมากที่อยู่ที่นั่น เพื่อให้แน่ใจว่าทุกคนในรอยเท้าความเสี่ยงที่ขยายออกไปนั้นกำลังทำอยู่ อย่างดีที่สุดเท่าที่จะทำได้เพื่อรักษาสภาพแวดล้อมเหล่านั้น” Carayiannis กล่าวใน งาน Innovation in Governmentที่สนับสนุนโดย Carahsoft
การเปลี่ยนแปลงในความคาดหวังและการกำกับดูแลถูกเน้นโดยความคิดริเริ่มต่างๆ เช่น โครงการ CMMC รวมถึงความพยายามของ Defense Industrial Base Cyber Assessment Center (DIBCAC)
Carayiannis กล่าวว่า CMMC และในไม่ช้า DIBCAC กำลังผลักดันให้ผู้ขายก้าวไปไกลกว่าการประเมินตนเองและกำหนดให้มีการควบคุมและการปฏิบัติบางอย่างเพื่อเพิ่มระดับความปลอดภัยเพื่อจัดการกับระบบนิเวศที่มีความเสี่ยงเพิ่มขึ้น
“การแพร่ระบาดทำให้ทุกหน่วยงานปรับเปลี่ยนความคิดเกี่ยวกับพนักงานที่ทำงานจากระยะไกล รวมถึงชุมชนผู้รับเหมาด้วย” Carayiannis กล่าว “ฉันคิดว่าการแพร่ระบาดได้เปิดตาผู้คนให้เห็นว่าองค์กรสามารถดำเนินการอย่างไรในสภาพแวดล้อมเสมือนจริงที่ยืดหยุ่นมากขึ้น แต่ยังเข้าใจถึงความเสี่ยงรอบ ๆ สิ่งนั้น ดังนั้นจึงจำเป็นต้องนำการควบคุมความปลอดภัย กระบวนการ ขั้นตอน และมาตรฐานความเป็นส่วนตัวใหม่มาใช้เพื่อให้แน่ใจว่าพวกเขา กำลังทำสิ่งนั้นในแบบที่เหมาะสม”
เขากล่าวว่า RSA ได้ยินจาก DoD และหน่วยงานพลเรือนเกี่ยวกับ CMMC และความหมายสำหรับพันธมิตรในอุตสาหกรรมของพวกเขา โดยเฉพาะอย่างยิ่งเมื่อพวกเขาตระหนักว่าวิธีการทำงานของพนักงานและพันธมิตรในอุตสาหกรรมมีการเปลี่ยนแปลงอย่างถาวร ดังนั้นจึงมีโปรไฟล์และรอยเท้าความเสี่ยงทางไซเบอร์
credit : ฝากถอนไม่มีขั้นต่ำ
