บอร์ด TSP ล้าหลังในการอัปเดตทางไซเบอร์ ปิดคำแนะนำการตรวจสอบ

บอร์ด TSP ล้าหลังในการอัปเดตทางไซเบอร์ ปิดคำแนะนำการตรวจสอบ

 หลายปีหลังจากการละเมิดความปลอดภัยในโลกไซเบอร์ส่งผลกระทบต่อผู้เข้าร่วม การอัปเดตด้านไอทีและการรักษาความปลอดภัยได้เกิดขึ้นช้าที่ Federal Retirement Thrift Investment Board (FRTIB) ซึ่งเป็นหน่วยงานที่ดูแลและบริหารแผน Thrift Savingsคณะกรรมการยังคงมีหนทางอีกยาวไกลในการปฏิบัติตามเมตริกของแผนกความมั่นคงแห่งมาตุภูมิภายใต้กฎหมายการปรับปรุงความปลอดภัยของข้อมูลของรัฐบาลกลาง (FISMA) ตามส่วนหนึ่งของการตรวจสอบประสิทธิภาพของหน่วยงานใน

ปีงบประมาณ 2559

โดยทั่วไปแล้ว การตรวจสอบประสิทธิภาพการทำงานของ FISMA จะรวมตัวชี้วัดจากหน่วยงานสามแห่ง ได้แก่ หัวหน้าเจ้าหน้าที่ข้อมูลของหน่วยงาน เจ้าหน้าที่อาวุโสด้านความเป็นส่วนตัว และผู้ตรวจสอบทั่วไปขององค์กร

หน่วยงานส่วนใหญ่รวมถึง FRTIB ได้รายงานผลลัพธ์ของ CIO และเจ้าหน้าที่ความเป็นส่วนตัวหลายครั้งในอดีต แต่คณะกรรมการดำเนินการตรวจสอบทั่วไปของผู้ตรวจสอบ FISMA เป็นครั้งแรกในปีงบประมาณ 2559

        ข้อมูลเชิงลึกโดย Tenable: ในระหว่างการสัมมนาผ่านเว็บคู่มือ CISO สุดพิเศษนี้ ผู้ดำเนินรายการ Justin Doubleday และแขกรับเชิญ Brian Hermann จาก Defense Information Systems Agency และ Christopher Day จาก Tenable จะสำรวจความคืบหน้าและกลยุทธ์ของ Zero Trust ที่ DISA

FRTIB ไม่มีผู้ตรวจสอบทั่วไปของตนเอง ดังนั้นจึงต้องจ้างผู้ตรวจสอบอิสระเพื่อดำเนินการตรวจสอบ IG 

Ernst and Young ดำเนินการตรวจสอบครั้งแรกของคณะกรรมการเมื่อปีที่แล้ว

ในการเริ่มต้น บอร์ดยังไม่ได้ใช้โปรแกรมการยืนยันตัวตนส่วนบุคคล (PIV) สำหรับผู้ใช้ แม้ว่า FRTIB จะบอกว่ากำลังอยู่ในระหว่างดำเนินการเพื่อให้มีการรับรองความถูกต้องด้วยสองปัจจัยสำหรับผู้ใช้ทุกคนภายในสิ้นไตรมาสหน้า

นอกจากนี้ หน่วยงานยังไม่ได้ใช้กลยุทธ์หรือขั้นตอนการจัดการความเสี่ยงอย่างสมบูรณ์เพื่อประเมินอย่างต่อเนื่องว่าการควบคุมความปลอดภัยทำงานอย่างถูกต้องหรือไม่ นี่เป็นโครงการต่อเนื่องสำหรับ FRTIB ซึ่งกล่าวไว้เมื่อปีที่แล้วว่ามีหน้าที่หลายอย่างของสำนักงานบริหารความเสี่ยงทั่วไป แต่ไม่ใช่ทั้งหมด

คณะกรรมการยังขาดโปรแกรมในการดูแลระบบที่ผู้รับเหมาดำเนินการ และไม่มีกระบวนการที่เป็นทางการในการวัด รายงาน และตรวจสอบประสิทธิภาพการรักษาความปลอดภัยข้อมูลของผู้รับเหมา รายงาน E&Y กล่าว

การติดตามอย่างต่อเนื่องยังคงเป็นสิ่งที่ท้าทาย เนื่องจากคณะกรรมการยังไม่ได้พัฒนาโปรแกรมหรือกำหนดนโยบายให้สมบูรณ์ FRTIB ยังไม่ได้กำหนดการฝึกอบรมการติดตามอย่างต่อเนื่องสำหรับผู้บริหาร Ernst and Young กล่าว การฝึกอบรมโดยทั่วไปเป็นอีกประเด็นหนึ่ง เนื่องจากผู้บริหารของคณะกรรมการ ผู้ดูแลระบบ IT และผู้จัดการไม่ได้รับความรู้ด้านความปลอดภัยและการฝึกสอนความเป็นส่วนตัวเป็นพิเศษ

สุดท้ายนี้ คณะกรรมการไม่มีขั้นตอนที่เหมาะสมในการสื่อสารกับ DHS เมื่อเกิดเหตุการณ์หรือนโยบายในการใช้โปรแกรม EINSTEIN ของแผนก รายงานระบุ

E&Y รับทราบว่าคณะกรรมการมีความคืบหน้าและจะดำเนินต่อไปในปีนี้ ไม่ใช่ทั้งหมดที่แสดงอยู่ในรายงาน FISMA ปี 2559

Wenner Lippner หัวหน้าของ Ernst and Young กล่าวในการประชุมของคณะกรรมการเมื่อวันที่ 27 กุมภาพันธ์ว่า “FRTIB ยังคงดำเนินต่อไปและดำเนินต่อไปตั้งแต่การปิดงานตรวจสอบของเราด้วยการเสริมความแข็งแกร่งให้กับท่าทางการรักษาความปลอดภัยข้อมูล การควบคุม และการจัดการ” E&Y ตรวจสอบระบบ FRTIB สี่ระบบจากทั้งหมด 19 ระบบสำหรับการตรวจสอบในปี 2559

        อ่านเพิ่มเติม: ความปลอดภัยทางไซเบอร์

คณะกรรมการเองยอมรับความท้าทายด้านความปลอดภัยทางไซเบอร์ของตนเอง โดยศึกษาแนวทางปฏิบัติที่ดีที่สุดของภาคเอกชนเมื่อปีที่แล้ว และส่งสัญญาณว่าความปลอดภัยทางไซเบอร์จะเป็นโครงการสำคัญสำหรับหน่วยงานในปี 2560

ความท้าทายเหล่านี้ไม่ได้มีเฉพาะใน FRTIB เท่านั้น แต่หน่วยงานดังกล่าวประสบปัญหาการละเมิดทางไซเบอร์ในปี 2555 เมื่อแฮ็กเกอร์เข้าถึงข้อมูลส่วนบุคคลของผู้เข้าร่วม TSP 123,000 รายผ่านหนึ่งในผู้รับเหมาของคณะกรรมการ

ตั้งแต่นั้นเป็นต้นมา คณะกรรมการได้รับการวิพากษ์วิจารณ์จากกระทรวงแรงงานและสภาคองเกรส สำหรับความคืบหน้าที่ซบเซาในการแก้ไขระบบความปลอดภัยทางไซเบอร์และการตอบสนองต่อข้อกังวลจากผู้ตรวจสอบภายนอก

ในการตรวจสอบ TSP ในปี 2558 Clifton Larson Allen ระบุว่าโปรแกรมความปลอดภัยของหน่วยงานเป็นหนึ่งในข้อบกพร่องที่สำคัญสองประการ ผู้ตรวจสอบชี้เฉพาะไปที่การอนุญาตระบบของ FRTIB และโปรแกรมการตรวจสอบอย่างต่อเนื่องว่าเป็นพื้นที่ที่ต้องให้ความสนใจ

คณะกรรมการยังต้องดิ้นรนเพื่อปิดคำแนะนำการตรวจสอบ ปิดคำแนะนำ 4 จาก 12 รายการในช่วงไตรมาสแรกของปีงบประมาณ 2017 และปิดคำแนะนำ 5 จาก 63 รายการในช่วงไตรมาสก่อนหน้า

จนถึงปัจจุบัน FRTIB มีคำแนะนำย่อย 165 รายการที่เปิดรับจากผู้ตรวจสอบภายนอก กรมแรงงานยังได้ออกคำแนะนำใหม่ 5 ข้อ และออกคำแนะนำใหม่อีก 1 ข้อจากปีที่แล้ว

“เห็นได้ชัดว่าอัตราการปิดการตรวจสอบของเราไม่สามารถยอมรับได้” Greg Long กรรมการบริหารของคณะกรรมการกล่าว

ยูฟ่าสล็อต