การบริหารบริการทั่วไปกำลังพยายามปรับปรุงความปลอดภัยทางไซเบอร์ของรัฐบาลกลางซึ่งเริ่มต้นที่กระบวนการซื้อกิจการGSA กำลังพัฒนาโปรไฟล์ความเสี่ยงในการได้มาซึ่งไซเบอร์สำหรับหน่วยงานเพื่อใช้เมื่อซื้อผลิตภัณฑ์และบริการ โปรไฟล์ความเสี่ยงทางไซเบอร์เป็นหนึ่งในหกคำแนะนำที่ GSA และ DoD ส่งไปยังทำเนียบขาวในเดือนมกราคม 2014แต่อาจมีความสำคัญที่สุดในหกรายการเนื่องจากอีกห้ารายการทั้งหมดสร้างจากโปรไฟล์ความเสี่ยง
Emile Monette ที่ปรึกษาอาวุโสกล่าวว่า “เมื่อคุณนึกถึงข้อกำหนดพื้นฐาน
ด้านความปลอดภัยทางไซเบอร์เป็นเงื่อนไขสำหรับรางวัลสัญญาสำหรับการเข้าซื้อกิจการที่เหมาะสม เราไม่รู้จริงๆ ว่าการซื้อกิจการที่เหมาะสมคืออะไรจนกว่าเราจะเข้าใจอย่างถ่องแท้ถึงความเสี่ยงของการเข้าซื้อกิจการเหล่านั้น” Emile Monette ที่ปรึกษาอาวุโสกล่าว สำหรับความยืดหยุ่นและความปลอดภัยทางไซเบอร์ใน Office of Governmentwide Policy ของ GSA ในการให้สัมภาษณ์กับ Federal News Radio “เมื่อเราเริ่มทำงานบางอย่างเพื่อนำกลยุทธ์การจัดการความเสี่ยงนี้ไปใช้ในการเข้าซื้อกิจการ เราค่อนข้างจะเข้าใจได้อย่างรวดเร็วว่าเรามีช่องว่างในการที่ระบบการจัดหาของรัฐบาลกลางใช้กรอบการจัดการความเสี่ยงของ NIST กับกิจกรรมต่างๆ ของบริษัท และเพื่อ การประเมินความเสี่ยงเป็นขั้นตอนสำคัญในการประยุกต์ใช้กรอบการบริหารความเสี่ยง เมื่อเราดูวิธีการใช้กรอบการบริหารความเสี่ยงในระบบการเข้าซื้อกิจการของรัฐบาลกลาง เราพบว่าผู้มีอำนาจตัดสินใจในการซื้อกิจการมักจะขาดข้อมูลที่ชัดเจนเกี่ยวกับการตัดสินใจที่พวกเขากำลังทำอยู่ พวกเขาไม่สามารถประเมินความเสี่ยงได้ดีเท่าที่ควรหากมีข้อมูลเพิ่มเติม นั่นคือหนึ่งในเป้าหมายที่เราตามหาในตอนนี้”
ข้อมูลเชิงลึกโดย Tenable: ในระหว่างการสัมมนาผ่านเว็บคู่มือ CISO สุดพิเศษนี้ ผู้ดำเนินรายการ Justin Doubleday และแขกรับเชิญ Brian Hermann จาก Defense Information Systems Agency และ Christopher Day จาก Tenable จะสำรวจความคืบหน้าและกลยุทธ์ของ Zero Trust ที่ DISA
ในฐานะส่วนหนึ่งของการสร้างกรอบความเสี่ยง GSA ได้
จัดการประชุมสาธารณะในวันที่ 5 มิถุนายนเพื่อรับข้อมูลเชิงลึกเพิ่มเติมจากภาคอุตสาหกรรมและผู้สนใจอื่นๆ Monette กล่าวว่ามีผู้เข้าร่วมประชุมประมาณ 120 คน ซึ่งประมาณ 2 ใน 3 มาจากอุตสาหกรรม เขากล่าวว่าการประชุมส่วนใหญ่มุ่งเน้นไปที่การตอบสนองต่อคำขอข้อมูลที่ GSA เผยแพร่ในเดือนธันวาคม GSA ได้รับการตอบกลับ 29 รายการจากผู้ตรวจสอบอิสระ ที่ปรึกษา ผู้ให้บริการเฉพาะกลุ่ม ผู้รวบรวมข้อมูลขนาดใหญ่ ผู้จำหน่ายผลิตภัณฑ์ไอที มหาวิทยาลัย และสมาคมอุตสาหกรรม
คำสั่งผู้บริหารของประธานาธิบดีบารัค โอบามาเมื่อเดือนกุมภาพันธ์ 2556 สำหรับการรักษาความปลอดภัยโครงสร้างพื้นฐานที่สำคัญ เรียกร้องให้มีความพยายามในการมองจากภายในเพื่อสร้างแรงจูงใจให้ผู้รับเหมาและหน่วยงานต่าง ๆ เพื่อรักษาความปลอดภัยเครือข่ายของรัฐบาลกลาง
GSA และกระทรวงกลาโหมเผยแพร่รายงานในเดือนมกราคม 2014 โดยมีการปฏิรูปการจัดซื้อกิจการ 6 รายการเพื่อปรับปรุงความปลอดภัยทางไซเบอร์ในฐานะองค์กร:
กำหนดข้อกำหนดพื้นฐานทางไซเบอร์เป็นเงื่อนไขของรางวัลสัญญา
จัดการกับความปลอดภัยทางไซเบอร์ในการฝึกอบรมที่เกี่ยวข้อง
พัฒนาคำจำกัดความความปลอดภัยทางไซเบอร์ทั่วไปสำหรับการเข้าซื้อกิจการของรัฐบาลกลาง
กำหนดกลยุทธ์การจัดการความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์ของรัฐบาลกลาง
ข้อกำหนดในการซื้อจากผู้ผลิตอุปกรณ์ดั้งเดิม ผู้ค้าปลีกที่ได้รับอนุญาต หรือแหล่งที่เชื่อถือได้อื่นๆ ทุกครั้งที่มี
เพิ่มความรับผิดชอบของรัฐบาลสำหรับการจัดการความเสี่ยงทางไซเบอร์ในวงจรการเข้าซื้อกิจการ
ปัญหาการจัดการความเสี่ยงด้านห่วงโซ่อุปทานนี้ไม่ใช่เรื่องใหม่ รายงานปี 2012 จาก NIST และ University of Maryland เกี่ยวกับการจัดการความเสี่ยงด้านห่วงโซ่อุปทานเรียกร้องให้มีมาตรการจัดซื้อจัดจ้างที่เข้มงวดมากขึ้น และมีการใช้การจัดการความเสี่ยงมากขึ้นโดยผู้ขาย แต่คำถามยังคงเป็นอยู่ว่าจะทำอะไรได้บ้างที่จะไม่เป็นภาระแก่ผู้ขาย เพิ่มต้นทุนให้กับรัฐบาล และยังคงมีผลกระทบในเชิงบวกทั่วทั้งกระดาน
“มีความคิดเห็นและความคิดที่หลากหลายเกี่ยวกับวิธีที่รัฐบาลควรจัดการความเสี่ยงทางไซเบอร์ในการเข้าซื้อกิจการ” เขากล่าว “สิ่งหนึ่งที่ออกมาจากการประชุม จากมุมมองของฉัน คือความเป็นไปได้ที่จะได้รับฉันทามติอย่างท่วมท้นว่ารัฐบาลทำสิ่งนี้ได้อย่างไร ซึ่งค่อนข้างน้อย แต่เรามุ่งมั่นที่จะดำเนินการอย่างโปร่งใสและครอบคลุม และดำเนินการให้ใกล้เคียงกับฉันทามตินั้นมากที่สุด สิ่งที่ได้มาจากการประชุมที่เป็นบวกมากคือผู้เข้าร่วมประชุมสนับสนุนแนวทางร่วมกันของรัฐบาลอย่างมาก ส่วนใหญ่เป็นเพราะจะช่วยลดต้นทุนในการให้บริการลูกค้าของรัฐบาลกลางโดยให้ความสม่ำเสมอและความชัดเจนในกระบวนการซื้อกิจการของรัฐบาลกลาง”
