หลายปีหลังจากการละเมิดความปลอดภัยในโลกไซเบอร์ส่งผลกระทบต่อผู้เข้าร่วม การอัปเดตด้านไอทีและการรักษาความปลอดภัยได้เกิดขึ้นช้าที่ Federal Retirement Thrift Investment Board (FRTIB) ซึ่งเป็นหน่วยงานที่ดูแลและบริหารแผน Thrift Savingsคณะกรรมการยังคงมีหนทางอีกยาวไกลในการปฏิบัติตามเมตริกของแผนกความมั่นคงแห่งมาตุภูมิภายใต้กฎหมายการปรับปรุงความปลอดภัยของข้อมูลของรัฐบาลกลาง (FISMA) ตามส่วนหนึ่งของการตรวจสอบประสิทธิภาพของหน่วยงานใน
ปีงบประมาณ 2559
โดยทั่วไปแล้ว การตรวจสอบประสิทธิภาพการทำงานของ FISMA จะรวมตัวชี้วัดจากหน่วยงานสามแห่ง ได้แก่ หัวหน้าเจ้าหน้าที่ข้อมูลของหน่วยงาน เจ้าหน้าที่อาวุโสด้านความเป็นส่วนตัว และผู้ตรวจสอบทั่วไปขององค์กร
หน่วยงานส่วนใหญ่รวมถึง FRTIB ได้รายงานผลลัพธ์ของ CIO และเจ้าหน้าที่ความเป็นส่วนตัวหลายครั้งในอดีต แต่คณะกรรมการดำเนินการตรวจสอบทั่วไปของผู้ตรวจสอบ FISMA เป็นครั้งแรกในปีงบประมาณ 2559
ข้อมูลเชิงลึกโดย Tenable: ในระหว่างการสัมมนาผ่านเว็บคู่มือ CISO สุดพิเศษนี้ ผู้ดำเนินรายการ Justin Doubleday และแขกรับเชิญ Brian Hermann จาก Defense Information Systems Agency และ Christopher Day จาก Tenable จะสำรวจความคืบหน้าและกลยุทธ์ของ Zero Trust ที่ DISA
FRTIB ไม่มีผู้ตรวจสอบทั่วไปของตนเอง ดังนั้นจึงต้องจ้างผู้ตรวจสอบอิสระเพื่อดำเนินการตรวจสอบ IG
Ernst and Young ดำเนินการตรวจสอบครั้งแรกของคณะกรรมการเมื่อปีที่แล้ว
ในการเริ่มต้น บอร์ดยังไม่ได้ใช้โปรแกรมการยืนยันตัวตนส่วนบุคคล (PIV) สำหรับผู้ใช้ แม้ว่า FRTIB จะบอกว่ากำลังอยู่ในระหว่างดำเนินการเพื่อให้มีการรับรองความถูกต้องด้วยสองปัจจัยสำหรับผู้ใช้ทุกคนภายในสิ้นไตรมาสหน้า
นอกจากนี้ หน่วยงานยังไม่ได้ใช้กลยุทธ์หรือขั้นตอนการจัดการความเสี่ยงอย่างสมบูรณ์เพื่อประเมินอย่างต่อเนื่องว่าการควบคุมความปลอดภัยทำงานอย่างถูกต้องหรือไม่ นี่เป็นโครงการต่อเนื่องสำหรับ FRTIB ซึ่งกล่าวไว้เมื่อปีที่แล้วว่ามีหน้าที่หลายอย่างของสำนักงานบริหารความเสี่ยงทั่วไป แต่ไม่ใช่ทั้งหมด
คณะกรรมการยังขาดโปรแกรมในการดูแลระบบที่ผู้รับเหมาดำเนินการ และไม่มีกระบวนการที่เป็นทางการในการวัด รายงาน และตรวจสอบประสิทธิภาพการรักษาความปลอดภัยข้อมูลของผู้รับเหมา รายงาน E&Y กล่าว
การติดตามอย่างต่อเนื่องยังคงเป็นสิ่งที่ท้าทาย เนื่องจากคณะกรรมการยังไม่ได้พัฒนาโปรแกรมหรือกำหนดนโยบายให้สมบูรณ์ FRTIB ยังไม่ได้กำหนดการฝึกอบรมการติดตามอย่างต่อเนื่องสำหรับผู้บริหาร Ernst and Young กล่าว การฝึกอบรมโดยทั่วไปเป็นอีกประเด็นหนึ่ง เนื่องจากผู้บริหารของคณะกรรมการ ผู้ดูแลระบบ IT และผู้จัดการไม่ได้รับความรู้ด้านความปลอดภัยและการฝึกสอนความเป็นส่วนตัวเป็นพิเศษ
สุดท้ายนี้ คณะกรรมการไม่มีขั้นตอนที่เหมาะสมในการสื่อสารกับ DHS เมื่อเกิดเหตุการณ์หรือนโยบายในการใช้โปรแกรม EINSTEIN ของแผนก รายงานระบุ
E&Y รับทราบว่าคณะกรรมการมีความคืบหน้าและจะดำเนินต่อไปในปีนี้ ไม่ใช่ทั้งหมดที่แสดงอยู่ในรายงาน FISMA ปี 2559
Wenner Lippner หัวหน้าของ Ernst and Young กล่าวในการประชุมของคณะกรรมการเมื่อวันที่ 27 กุมภาพันธ์ว่า “FRTIB ยังคงดำเนินต่อไปและดำเนินต่อไปตั้งแต่การปิดงานตรวจสอบของเราด้วยการเสริมความแข็งแกร่งให้กับท่าทางการรักษาความปลอดภัยข้อมูล การควบคุม และการจัดการ” E&Y ตรวจสอบระบบ FRTIB สี่ระบบจากทั้งหมด 19 ระบบสำหรับการตรวจสอบในปี 2559
อ่านเพิ่มเติม: ความปลอดภัยทางไซเบอร์
คณะกรรมการเองยอมรับความท้าทายด้านความปลอดภัยทางไซเบอร์ของตนเอง โดยศึกษาแนวทางปฏิบัติที่ดีที่สุดของภาคเอกชนเมื่อปีที่แล้ว และส่งสัญญาณว่าความปลอดภัยทางไซเบอร์จะเป็นโครงการสำคัญสำหรับหน่วยงานในปี 2560
ความท้าทายเหล่านี้ไม่ได้มีเฉพาะใน FRTIB เท่านั้น แต่หน่วยงานดังกล่าวประสบปัญหาการละเมิดทางไซเบอร์ในปี 2555 เมื่อแฮ็กเกอร์เข้าถึงข้อมูลส่วนบุคคลของผู้เข้าร่วม TSP 123,000 รายผ่านหนึ่งในผู้รับเหมาของคณะกรรมการ
ตั้งแต่นั้นเป็นต้นมา คณะกรรมการได้รับการวิพากษ์วิจารณ์จากกระทรวงแรงงานและสภาคองเกรส สำหรับความคืบหน้าที่ซบเซาในการแก้ไขระบบความปลอดภัยทางไซเบอร์และการตอบสนองต่อข้อกังวลจากผู้ตรวจสอบภายนอก
ในการตรวจสอบ TSP ในปี 2558 Clifton Larson Allen ระบุว่าโปรแกรมความปลอดภัยของหน่วยงานเป็นหนึ่งในข้อบกพร่องที่สำคัญสองประการ ผู้ตรวจสอบชี้เฉพาะไปที่การอนุญาตระบบของ FRTIB และโปรแกรมการตรวจสอบอย่างต่อเนื่องว่าเป็นพื้นที่ที่ต้องให้ความสนใจ
คณะกรรมการยังต้องดิ้นรนเพื่อปิดคำแนะนำการตรวจสอบ ปิดคำแนะนำ 4 จาก 12 รายการในช่วงไตรมาสแรกของปีงบประมาณ 2017 และปิดคำแนะนำ 5 จาก 63 รายการในช่วงไตรมาสก่อนหน้า
จนถึงปัจจุบัน FRTIB มีคำแนะนำย่อย 165 รายการที่เปิดรับจากผู้ตรวจสอบภายนอก กรมแรงงานยังได้ออกคำแนะนำใหม่ 5 ข้อ และออกคำแนะนำใหม่อีก 1 ข้อจากปีที่แล้ว
“เห็นได้ชัดว่าอัตราการปิดการตรวจสอบของเราไม่สามารถยอมรับได้” Greg Long กรรมการบริหารของคณะกรรมการกล่าว
