จาก ‘นโยบายและกระบวนการ’ สู่ ‘การดำเนินการและความรับผิดชอบ’หากกลยุทธ์ความปลอดภัยทางไซเบอร์แห่งชาติล่าสุดดูเหมือนกับก่อนหน้านี้ Schneider กล่าวว่ามีเหตุผลสำหรับสิ่งนั้น เขาเพิ่มเวอร์ชันล่าสุดที่มุ่งเน้นไปที่พื้นฐานสำคัญบางประการในการปกป้องเครือข่ายและข้อมูลของเอเจนซี
“ความคิดริเริ่มหลายอย่างที่เราต้องทำนั้นเป็นการสานต่อจากการบริหารครั้งก่อนๆ เพราะในความคิดของฉัน สิ่งที่เราต้องทำมากมายในด้านความปลอดภัยทางไซเบอร์คือการทำสิ่งพื้นฐาน
— ทำให้ดี ทำมันวันแล้ววันเล่า ชไนเดอร์กล่าว
“ไม่จำเป็นต้องมีวิธีแก้ปัญหาที่ชัดเจนสำหรับการรักษาความปลอดภัยในโลกไซเบอร์ สิ่งที่ฉันคิดว่าแตกต่างเกี่ยวกับกลยุทธ์นี้คือการเคลื่อนไหวจากนโยบายและกระบวนการไปสู่การปฏิบัติและความรับผิดชอบ”
หนึ่งในสิ่งที่เปลี่ยนไปในช่วง 15 ปีที่ผ่านมาคือการแบ่งปันข้อมูลภัยคุกคามทางไซเบอร์
Jeanette Manfra ผู้ช่วยเลขานุการของ Office of Cybersecurity and Communications ที่ Department of Homeland Security กล่าวว่าการทำงานอย่างใกล้ชิดกับภาคอุตสาหกรรมและพันธมิตรอื่น ๆ เป็นกุญแจสำคัญของกลยุทธ์ใหม่
“นี่เป็นเรื่องเกี่ยวกับความเสี่ยงร่วมกัน — ที่ผู้บริโภค บุคคล บริษัท รัฐบาล ไม่ใช่แค่รัฐบาลสหรัฐอเมริกาและรัฐบาลอื่นๆ — เราทุกคนเป็นผู้มีบทบาทในสภาพแวดล้อมร่วมกันที่มีความเสี่ยง ดังนั้นเราจึงมีความเสี่ยงร่วมกันและเรามีหน้าที่รับผิดชอบในการปกป้องและสร้างสภาพแวดล้อมที่ปลอดภัยยิ่งขึ้น
ในช่วงฤดูร้อน DHS ได้เปิดตัวศูนย์บริหารความเสี่ยงแห่งชาติ
เป็นร้านค้าแบบครบวงจรสำหรับหน่วยงานในการแบ่งปันข่าวกรองภัยคุกคามทางไซเบอร์กับอุตสาหกรรมที่ควบคุมโครงสร้างพื้นฐานส่วนใหญ่ของประเทศ DHS ยังได้ให้ความสำคัญกับความพยายามในการจัดการความเสี่ยงด้านห่วงโซ่อุปทานอีกด้วย
เมื่อต้นปีที่ผ่านมา DHS และหน่วยงานต่างๆ เช่น กระทรวงกลาโหมและพลังงาน ได้เปิดตัวกลยุทธ์ความปลอดภัยทางไซเบอร์ของตนเอง แต่เพื่อทำความเข้าใจจุดยืนของ DHS ในความสัมพันธ์กับยุทธศาสตร์ชาติ Manfra กล่าวว่าหน่วยงานของเธอควรทำหน้าที่เป็น “ผู้จัดการความเสี่ยง” สำหรับส่วนที่เหลือของรัฐบาลและสำหรับอุตสาหกรรม
สมัครรับจดหมายข่าวรายวันของเรา เพื่อให้คุณไม่พลาดทุกความเคลื่อนไหวของรัฐบาลกลาง
เมื่อพูดถึงการให้หน่วยงานเข้าร่วมกับกลยุทธ์ความปลอดภัยทางไซเบอร์แห่งชาติ Manfra กล่าวว่างบประมาณที่จำกัดยังคงเป็นประเด็นสำคัญ
“นี่ไม่ใช่ปัญหาด้านไอที แต่เป็นปัญหาภารกิจ ไม่ใช่ CISO หรือ CIO ไม่ต้องการทำสิ่งเหล่านี้ แต่พวกเขาไม่มีทรัพยากรหรือไม่มีการสนับสนุน” เธอกล่าว
