แม้จะมีรายการการโจมตีทางไซเบอร์และการละเมิดข้อมูลที่เพิ่มขึ้นเรื่อย ๆ เจ้าหน้าที่ฝ่ายข้อมูลของหน่วยงานหลักยังคงพบว่าเป็นการยากที่จะได้รับการสนับสนุนด้านความปลอดภัยทางไซเบอร์ที่ไม่ใช่เทคโนโลยีปัญหาดูเหมือนจะเป็นการต่อสู้อย่างต่อเนื่องเพื่อระบุผลตอบแทนจากการลงทุน – “คุณไม่สามารถพิสูจน์ได้ว่าเป็นลบ” ที่เพิ่มเงินอีกหลายร้อยล้านดอลลาร์ให้กับเงินหลายพันล้านที่ใช้ไปกับการรักษาความปลอดภัยทางไซเบอร์เพื่อหยุดแฮ็กเกอร์ที่มีศักยภาพ นอกจากนี้ การให้ความสำคัญกับการปรับปรุงไอทีให้ทันสมัยและการเพิ่มงบประมาณเพียงเล็กน้อยหรือไม่มีเลย ทำให้การจัดลำดับความสำคัญของเครื่องมือใหม่ๆ มีความสำคัญมากกว่าที่เคยแผนกความมั่นคงและการป้องกันแห่งมาตุภูมิอาจพบวิธีแก้ปัญหาทั้ง ROI และความท้าทายในการจัดลำดับความสำคัญJeff Eisensmith หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของ DHS กล่าวว่าสำนักงานของเขากำลังรวมแนวทางความปลอดภัยทางไซเบอร์ทั่วไปสองแนวทางเข้าด้วยกัน เพื่อให้หน่วยงานมีวิธีการวัดและทำเครื่องหมายความก้าวหน้าที่ดีขึ้น DHS ได้สร้างแบบจำลองความปลอดภัยทางไซเบอร์ที่รวมแนวทางการป้องกันเชิงลึกเข้ากับกระบวนการจัดการความเสี่ยงDHS กำหนดมาตราส่วน 1 ต่อ 5 เพื่อช่วยอธิบายให้ฝ่ายนิติบัญญัติ ผู้ตรวจสอบ หรือผู้นำที่ไม่ใช่ฝ่ายไอทีทราบเกี่ยวกับท่าทีทางไซเบอร์ในปัจจุบันของหน่วยงานและทิศทางที่จะเกิดขึ้นในอนาคตJeff Eisensmith เป็นหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของ DHS
“ประโยชน์ที่สำคัญเหนือสิ่งอื่นใดคือเราสามารถเลือกภัยคุกคามอย่างเช่นการสเปียร์ฟิชชิงและดึงสายใยนั้นผ่านรูปแบบการป้องกันในเชิงลึกที่มีวุฒิภาวะ และดูว่าคุณต้องการซื้อกิจการที่ตรงเป้าหมายที่ไหนเพื่อรับมือกับภัยคุกคามนั้น” Eisensmith กล่าวเมื่อถามCIO “นอกจากนี้ยังช่วยให้ฉันวัดผลและให้ข้อเสนอแนะแก่ผู้จัดสรรและรายละเอียดความเป็นผู้นำว่า ROI คืออะไรสำหรับการลงทุนนั้น”
Eisensmith กล่าวว่าโมเดลที่สมบูรณ์ช่วยให้ DHS มองเห็น “ห่วงโซ่การฆ่า” หรือขั้นตอนของการโจมตีของมัลแวร์จริงหรือที่อาจเกิดขึ้นได้ เพื่อช่วยให้พวกเขาจัดลำดับความสำคัญของส่วนต่าง ๆ ของเครือข่ายหรือแอปพลิเคชันที่ต้องเสริมความแข็งแกร่งเพื่อป้องกันไม่ให้แฮ็กเกอร์สร้างความเสียหายมากขึ้น
“ทุกครั้งที่พวกเขามาหาผม เราจะแข็งแกร่งขึ้นมาก” เขากล่าว “มันทำให้ฉันมีเมตริกที่สามารถพูดได้ว่า ถ้าฉันมีปัญหากับลิงค์ที่ห้าอยู่เสมอ ฉันก็สามารถกลับไปพูดว่า ‘นี่คือต้นเหตุ’ และตอนนี้ฉันได้สร้างกรณีศึกษาทางธุรกิจที่ดีมาก สำหรับผู้รักษาความปลอดภัยนั้นไม่ใช่เรื่องง่ายเสมอไป และนั่นคือวิธีที่ฉันสามารถส่งสัญญาณถึงความต้องการในการลงทุนที่ได้รับแรงฉุด”Eisensmith กล่าวว่าสภา CISO ของ DHS จะตรวจสอบการให้คะแนนของส่วนประกอบแต่ละรายการเกี่ยวกับแบบจำลองวุฒิภาวะ ซึ่งจะช่วยให้สภาระบุได้ว่าการลงทุนใดที่มีศักยภาพมีความจำเป็นมากที่สุดที่ DoD อดีตหัวหน้าเจ้าหน้าที่สารสนเทศTerry Halvorsenได้เปิดตัวแนวทางที่คล้ายกันผ่านความคิดริเริ่มด้านความปลอดภัยที่วัดผลความพยายามทางไซเบอร์ของบริการและหน่วยงานต่างๆ เริ่มแรก Halvorsen พัฒนาดัชนีชี้วัดเพื่อเสริมสร้างพื้นฐานทางไซเบอร์เช่น การพิสูจน์ตัวตนที่รัดกุม การลดพื้นผิวการโจมตี และแก้ไขข้อบกพร่องของระบบ“เราพบกับบริการเกือบทุกวันศุกร์ และเราพบกับเอเจนซี่เป็นประจำทุกเดือนเพื่อดูว่าพวกเขาอยู่ตรงไหนในองค์ประกอบ 11 ประการของหน้าต่างสรุป สี่หรือห้าอันดับแรกคือคนที่เราติดต่อไปยังรองเลขาธิการ” Essye Miller รอง CIO ด้านความปลอดภัยทางไซเบอร์ของ DoD กล่าวใน Ask the CIO “เราทำงานร่วมกับ [อดีตรองเลขาธิการ Robert] Work เพื่อขับเคลื่อนบริการและหน่วยงานให้เข้าใจว่าพวกเขาจำเป็นต้องทำอะไร ฉันพูดถึงการผลักดันให้พวกเขาทบทวนกลยุทธ์การลงทุนและปรับเปลี่ยน และนั่นคือสิ่งที่เขาให้พวกเขาบางคนทำ”มิลเลอร์กล่าวว่าตัวอย่างหนึ่งคือการย้ายไปยัง Microsoft
credit : สล็อตออนไลน์ / สล็อตยูฟ่าเว็บตรง
