นโยบายออกมาแล้ว กลยุทธ์เสร็จสิ้น — สำหรับตอนนี้ — และเวลาสำหรับการพูดคุยสิ้นสุดลงแล้วChris DeRusha หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของรัฐบาลกลางกล่าวเมื่อต้นปีที่ผ่านมาเมื่อพูดถึงเรื่องความไม่ไว้วางใจเป็นศูนย์ ทั้งหมดนี้เกี่ยวกับการนำไปปฏิบัติในขณะที่หน่วยงานต่าง ๆ ยังคงรอเอกสารนโยบายหรือคำแนะนำอื่น ๆ อีกสองสามฉบับ สำหรับปี 2566 และปีต่อ ๆ ไป ส่วนใหญ่จะเป็นการรักษาความปลอดภัยเครือข่าย ระบบ และข้อมูลด้วยแนวคิดและแนวทางใหม่
คำถามใหญ่สำหรับเอเจนซีจำนวนมากคือจะกำหนดลักษณะ
ของความสำเร็จได้อย่างไร และจะวัดความก้าวหน้าของพวกเขาบนเส้นทางที่ยากลำบากนี้ได้อย่างไร
Sean Connelly ผู้จัดการโครงการ Trusted Internet Connections สำหรับ Cybersecurity and Infrastructure Security Agency ใน Homeland Security Department กล่าวว่าหลายหน่วยงานให้ความสำคัญกับการปลูกฝังหลักการไว้วางใจเป็นศูนย์ในทุกส่วนของหน่วยงาน ไม่ใช่แค่ในสำนักงานเทคโนโลยี
“สิ่งเหล่านี้ส่วนใหญ่กลับไปสู่หลักการแรก ๆ ของความปลอดภัยในโลกไซเบอร์ เราจะก้าวหน้าได้อย่างไรไม่เพียงแต่ในด้านยุทธวิธีเท่านั้น แต่ยังรวมถึงผู้นำทางธุรกิจ สถาปนิก และบุคคลประเภทนั้นในด้านแอปพลิเคชันทางธุรกิจด้วย” คอนเนลลีกล่าวระหว่างการอภิปรายในหัวข้อ Implementing a Zero Trust Architecture Framework. “มีการผลักดันอย่างมากให้นำ Fast Identity Online (FIDO) มาใช้ร่วมกันในบางหน่วยงาน ในขณะที่หน่วยงานอื่น ๆ กลับมาที่ OMB และ CISA จริง ๆ เพียงต้องการให้แน่ใจว่าพวกเขาอ่านนโยบายถูกต้องและดูว่าข้ามเสาหลักอย่างไร อีกสิ่งหนึ่งที่เรามองเห็นโอกาสคือการตอบสนองการตรวจจับปลายทาง (EDR) สิ่งที่น่าสนใจคือ หน่วยงานบางแห่งมีไคลเอ็นต์ EDR สี่หรือห้าเครื่องที่แตกต่างกัน และบางแห่งก็ใช้ความพยายามนี้จริงๆ เพื่อยุบกลุ่มเทคโนโลยีของพวกเขาลงเล็กน้อย และพยายามบอกว่าเราต้องการไคลเอนต์ EDR ระดับองค์กรหนึ่งเครื่องในภารกิจของพวกเขา”
ดังที่ Connelly อธิบายไว้ การก้าวไปสู่ความไว้ใจเป็นศูนย์นั้นเป็นความพยายามอย่างน้อยสองแง่สองง่าม: ประการแรกมุ่งเน้นที่การรวบรวมและปรับปรุงเทคโนโลยีและเครื่องมือทางไซเบอร์ให้ทันสมัย หนึ่งมุ่งเน้นไปที่การทำให้แน่ใจว่าผู้นำและพนักงานที่ไม่ใช่เทคโนโลยีเข้าใจว่าเหตุใดและวิธีการทำงานของแนวทางนี้
Amy Hamilton ที่ปรึกษาอาวุโสด้านความปลอดภัยในโลกไซเบอร์
สำหรับนโยบายและโครงการของ Department of Energy กล่าวว่าเนื่องจากไม่มีหน่วยงานใดเริ่มต้นการเดินทางนี้ด้วย “กระดานชนวนที่สะอาด” ความสำเร็จจึงมุ่งเน้นไปที่การใช้ประโยชน์จากสิ่งที่พวกเขาเป็นเจ้าของ เติมช่องว่างและให้ความรู้แก่พนักงาน
“เราเริ่มต้นซีรีส์ที่แผนกพลังงานของ ZTA แบบฝึกหัดบนโต๊ะ ฉันพบว่าคนส่วนใหญ่นอกกระทรวงกลาโหมรู้ว่าการฝึกบนโต๊ะคืออะไร เราจึงเริ่มเรียกพวกเขาว่าการสนทนาตามสถานการณ์” เธอกล่าว “เราถามพวกเขาด้วยคำถามเช่น ‘เอาล่ะ ตัวตนถูกกำหนดอย่างไรเมื่อมาจากมุมมองของทรัพยากรมนุษย์ แล้วบุคคลนั้นจะได้รับการอนุมัติเพื่อรับข้อมูลรับรองเพื่อเข้าสู่เครือข่ายได้อย่างไร’ และเพียงแค่เดินผ่านกระบวนการต่างๆ ในระดับละเอียด จากนั้นตรวจสอบย้อนกลับถึงการกำกับดูแลและการวิเคราะห์ของเราอย่างต่อเนื่อง”
แฮมิลตันเสริมว่าแบบฝึกหัดนี้ยังได้เข้าสู่ชั้นเทคโนโลยีเพื่อวิเคราะห์ว่าหน่วยงานทำให้แน่ใจว่ามีการมองเห็นว่าใครและอะไรอยู่ในเครือข่าย ประเมินจุดตรวจทางไซเบอร์ต่างๆ อีกครั้ง และเชื่อมโยงผู้คนจากส่วนต่างๆ ของแผนก
“เรามีโอกาสอย่างแท้จริงผ่าน ZTA เพื่อทำลายอุปสรรคเหล่านั้น สิ่งหนึ่งที่เราสามารถทำได้สำเร็จคือการได้พันธมิตรด้านพันธกิจทางธุรกิจมาร่วมประชุมด้วย ซึ่งเป็นสิ่งสำคัญอย่างยิ่ง” เธอกล่าว “เราทำให้แน่ใจว่าพวกเขารู้ว่าสิ่งที่สำคัญจริงๆ เกี่ยวกับเรื่องนี้คือทั้งหมด และความร่วมมือที่เรามีในหน่วยงานต่างๆ ที่ทำงานร่วมกัน เพราะคุณไม่สามารถทำคนเดียวได้ คุณไม่สามารถทำคนเดียวได้”
Paul Blahusch หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของ Department of Labour กล่าวว่าการประสานงานภายในหน่วยงานนี้มีความสำคัญมากขึ้น เนื่องจากการย้ายไปสู่ความไว้วางใจเป็นศูนย์นั้นจำเป็นต้องเปลี่ยนความคิดครั้งใหญ่เกี่ยวกับวิธีการปกป้องข้อมูลและเครือข่าย
“เราคิดว่าในระยะยาว มันอาจไม่มีราคามากไปกว่าแนวทาง ‘ปราสาทและคูเมือง’ ของเรา แต่จะมีอุปสรรคเมื่อเราทำทั้งสองอย่างพร้อมกัน นั่นคือจุดที่เราอยู่และความท้าทายของเราคืออะไร” เขากล่าว “ตอนนี้มันเป็นเรื่องของงบประมาณและการหาเงินทุนที่จะทำให้เราสามารถเริ่มต้นความพยายามนั้นได้ เรามีแผนอยู่แล้ว และตอนนี้เรากำลังดำเนินการและระบุแหล่งเงินทุนที่เราสามารถใช้ได้”
credit: FactoryOutletSaleMichaelKors.com
OrgPinteRest.com
hallokosmo.com
20mg-cialis-canadian.com
crise-economique-2008.com
latrucotecadeblogs.com
1001noshti.com
007AntiSpyware.com
bravurastyle.com
WoodlandhillsWeather.com
