ส่วนที่ 1 ของคอลัมน์นี้อธิบายว่าเป็นช่วงเวลาที่เหมาะสมที่ฝ่ายบริหารของ Biden จะทำการเปลี่ยนแปลงที่กล้าได้กล้าเสีย ซึ่งเร่งให้หน่วยงานต่างๆ เติบโตเต็มที่ในการจัดการและใช้ประโยชน์จากไอที คำแนะนำ 6 ข้อสามารถช่วยฝ่ายบริหารของ Biden ทำการเปลี่ยนแปลงเหล่านั้นได้ ฉันได้อธิบายคำแนะนำ 3 ข้อแรก ได้แก่ การพัฒนาแผนการปรับปรุงเอเจนซีไอทีให้ทันสมัยอย่างครอบคลุมและเป็นจริงได้ การปรับปรุงความสามารถของหน่วยงานในการจัดการโปรแกรมและโครงการด้านไอที และการจัดการกับความทันเวลาของการจัดซื้อและการใช้กลยุทธ์การจัดหาและการจัดการหมวดหมู่—ในส่วนที่ 1 ของคอลัมน์นี้ นี่คือคำแนะนำอีกสามข้อที่เหลือ
การปรับปรุงท่าทางการรักษาความปลอดภัยทางไซเบอร์ของหน่วยงาน – การละเมิดความปลอดภัยทางไซเบอร์ได้กลายเป็นความเสี่ยงที่สำคัญที่สุดสำหรับหลาย ๆ องค์กร รวมถึงหน่วยงานของรัฐ และทั่วทั้งรัฐบาลกลาง เรายังคงมีความเปราะบางที่สำคัญ ฝ่ายบริหารของ Biden ควรตรวจสอบให้แน่ใจว่าหน่วยงานต่างๆ ใช้กรอบการจัดการความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์ขององค์กร ดังนั้นหน่วยงานต่างๆ จึงมุ่งเน้นที่การปกป้องข้อมูลที่ละเอียดอ่อนที่สุดและระบบที่สำคัญของตน ข่าวดีก็คือ National Institute of Standards and Technology (NIST) ได้พัฒนากรอบการจัดการความเสี่ยงที่เรียกว่า NIST Cybersecurity Framework (CSF) ประธานาธิบดีโดนัลด์ ทรัมป์ กำหนดให้หน่วยงานต่างๆ ใช้คำสั่งดังกล่าวในคำสั่งผู้บริหารด้านความปลอดภัยทางไซเบอร์ในปี 2560 หน่วยงานจำเป็นต้องปรับใช้ CSF อย่างเต็มที่ทั่วทั้งองค์กร
ขั้นตอนสุดท้ายของการดำเนินการตาม CSF คือการดำเนินการตามแผนปฏิบัติการ ซึ่งเป็นรายการลำดับความสำคัญของขั้นตอนที่หน่วยงานควรดำเนินการเพื่อปกป้องทรัพย์สินที่สำคัญที่สุดและจัดการกับความเสี่ยงด้านความปลอดภัยทางไซเบอร์ที่สำคัญ จากสภาพแวดล้อมปัจจุบัน โดยเฉพาะอย่างยิ่งในแง่ของการโจมตี SolarWinds OMB ควรยืนยันว่าทุกหน่วยงานใช้กระบวนการ CSF เพื่อพัฒนาแผนปฏิบัติการที่ได้รับการปรับปรุง นอกจากนี้ OMB ควรสั่งการให้หน่วยงานต่างๆ ดำเนินการตามขั้นตอนโดยทันทีเพื่อจัดการกับความเสี่ยง 5 อันดับแรก แม้ว่านั่นจะหมายถึงการโยกย้ายเงินทุนจากความพยายามในการปรับปรุงให้ทันสมัยหรือการพัฒนาระบบอื่นๆ การปกป้องทรัพย์สินของหน่วยงานที่สำคัญที่สุดเหล่านี้และการจัดการกับความเสี่ยงที่สำคัญจะไม่ล่าช้าอีกต่อไป
ในขณะที่หน่วยงานกำลังดำเนินการตามแผนปฏิบัติการด้านความปลอดภัยทางไซเบอร์รวมถึงแผนการปรับปรุงด้านไอทีให้ทันสมัย พวกเขาควรผลักดันให้ใช้สถาปัตยกรรมการรักษาความปลอดภัยที่ทันสมัย ถึงเวลาแล้วที่หน่วยงานของรัฐบาลกลางจะต้องทำงานเพื่อใช้กลยุทธ์การรักษาความปลอดภัยแบบไร้ความน่าเชื่อถือ กลยุทธ์การรักษาความปลอดภัยตามขอบเขตเดิมถูกเอาชนะด้วยการถือกำเนิดของความคล่องตัวและการประมวลผลแบบคลาวด์ กลยุทธ์การรักษาความปลอดภัยแบบ Zero-Trust เป็นวิธีการที่ได้รับการพิสูจน์แล้วในศตวรรษที่ 21 ซึ่งเมื่อนำไปใช้อย่างเหมาะสม จะให้การป้องกันที่ดีขึ้นด้วยต้นทุนที่ต่ำลง ข่าวดีก็คือหน่วยงานรัฐบาลหลายแห่งมีองค์ประกอบบางอย่างของ Zero Trust ที่ปรับใช้แล้วในโครงสร้างพื้นฐาน รวมถึงโซลูชัน Identity Credential and Access Management (ICAM) และการตรวจสอบอย่างต่อเนื่อง การใช้สถาปัตยกรรมแบบ Zero-Trust ควรเป็นส่วนสำคัญของแผนการปรับปรุงไอทีให้ทันสมัยของหน่วยงาน
แก้ปัญหาช่องว่างความสามารถด้านไอที– ทั่วทั้งรัฐบาลกลาง จำนวนคนงานที่อายุมากกว่า 60 ปีเกือบสองเท่าของจำนวนพนักงานที่อายุต่ำกว่า 30 ปี เราไม่สามารถดึงดูดบุคลากรที่มีความสามารถอายุน้อยเข้ามายังรัฐบาลได้มากพอ และปัญหาก็รุนแรงโดยเฉพาะอย่างยิ่งในสาขาเทคโนโลยี ดังนั้น เอเจนซี่จำนวนมากจึงประสบปัญหาในการกำกับดูแลผู้รับเหมาด้านเทคโนโลยีของตนอย่างมีประสิทธิภาพ เนื่องจากเอเจนซี่ขาดความสามารถด้านเทคนิคที่เพียงพอ เราจำเป็นต้องทำให้รัฐบาลกลางเป็นสถานที่ที่น่าสนใจมากขึ้นในการเริ่มต้นอาชีพของคุณหรือแม้แต่เข้าสู่ช่วงกลางอาชีพ CIO ของรัฐบาลกลาง พร้อมด้วย CIO ของหน่วยงาน ควรร่วมมือกับ Office of Personnel Management และ Federal Chief Human Capital Officers (CHCO) Council เพื่อหาวิธีเพิ่มเติมในการดึงดูดและรักษานักเทคโนโลยีไว้ในภาครัฐ ฉันเข้าสู่ราชการในช่วงกลางอาชีพและได้รับภารกิจและขอบเขตของสิ่งที่ฉันสามารถทำได้ในฐานะผู้นำด้านเทคนิค หน่วยงานต้องปรับปรุงการตลาดของโอกาสเหล่านี้ การดึงดูดผู้มีความสามารถที่เหมาะสมเป็นสิ่งจำเป็นในการปรับปรุงความสามารถของหน่วยงานในการจัดการไอทีและขับเคลื่อนความทันสมัย
ตัวอย่างที่จับต้องได้อย่างหนึ่งที่สามารถทำให้รัฐบาลมีความน่าสนใจมากขึ้นสำหรับมืออาชีพรุ่นใหม่คือการเร่งทำงานที่ยอดเยี่ยมในการสร้างการเรียนรู้และเส้นทางอาชีพสำหรับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ โดยพิจารณาจากบทบาทด้านความปลอดภัยทางไซเบอร์ที่กำหนดโดย National Initiative for Cybersecurity Education (NICE) ซึ่งเป็นส่วนหนึ่งของ NIST . หน่วยงานสามารถเพิ่มความสามารถในการสรรหาและรักษาผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้หากพวกเขามีการเรียนรู้และเส้นทางอาชีพที่ชัดเจนและสนับสนุนด้วยความมุ่งมั่นในการพัฒนาบุคคลดังกล่าวให้เป็นผู้เชี่ยวชาญในสาขาการรักษาความปลอดภัยทางไซเบอร์ที่แตกต่างกัน
ข้อมูลเชิงลึกโดย Eightfold: ค้นพบว่าข้อมูล เทคโนโลยี และกลยุทธ์การสรรหาใหม่ช่วยให้ USDA, EPA, GSA, NASA และ NIH ประสบความสำเร็จในการแข่งขันหาผู้มีความสามารถได้อย่างไร โดยเฉพาะอย่างยิ่งเมื่อเป็นเรื่องของเทคโนโลยีขั้นสูง วิทยาศาสตร์ และตำแหน่งอื่น ๆ ที่ยากต่อการบรรจุ
การปรับปรุงการจัดตำแหน่งทั่วทั้งฝ่ายบริหารและกับสภาคองเกรส – มีความสำคัญ และในบางกรณี ภาระที่ซ้ำซ้อนของข้อกำหนดในการรายงานเกี่ยวกับหน่วยงาน โดยเฉพาะอย่างยิ่งจากสำนักงานการจัดการและงบประมาณ (OMB) ฝ่ายบริหารใหม่ควรลดภาระการรายงานของหน่วยงานและมุ่งเน้นการรายงานของหน่วยงานในด้านที่สำคัญที่สุดในการปรับปรุงการจัดการด้านไอทีและความสามารถในการทำให้ทันสมัย ตัวอย่างเช่น ในเรื่องเกี่ยวกับความปลอดภัยทางไซเบอร์ การรายงานของ FISMA ยังคงเป็นภาระ และหลายคนที่มีหน้าที่รับผิดชอบในการกรอกเอกสาร FISMA Authority to operation (ATO) ยังตั้งคำถามถึงคุณค่าของมัน การรายงาน FISMA ไม่ควรถูกตัดออก แต่รวมเข้ากับกระบวนการ NIST CSF และทำให้คล่องตัวขึ้นอย่างมาก
นอกจากนี้ ฝ่ายบริหารควรทำงานร่วมกับสภาคองเกรสเพื่อพัฒนาตารางสรุปสถิติ FITARA โดยทำงานเพื่อให้การรายงานของหน่วยงานสอดคล้องกับการรายงานที่จำเป็นเพื่อกำหนดเกรดของหน่วยงานผ่านตารางสรุปสถิติ FITARA การจัดลำดับความสำคัญด้านไอทีของฝ่ายบริหารให้สอดคล้องกับวิธีการที่สภาคองเกรสให้คะแนนหน่วยงานจะช่วยเร่งการนำแนวทางปฏิบัติที่ดีที่สุดด้านการจัดการไอทีไปใช้ทั่วทั้งรัฐบาลกลาง
ความเป็นผู้นำที่มีเอกภาพและมุ่งมั่นเป็นกุญแจสำคัญในการปรับปรุงความสามารถของหน่วยงานในการจัดการและใช้ประโยชน์จากไอทีเพื่อปรับปรุงประสิทธิภาพการดำเนินงาน แน่นอนว่าเราต้องการ CIO ของเอเจนซีที่มีความสามารถ แต่สิ่งสำคัญพอๆ กันคือความมุ่งมั่นจากฝ่ายบริหารของ Biden ในระดับอาวุโสที่สุดของ OMB และผู้นำในเอเจนซีทั้งหมด เพื่อสนับสนุนคำแนะนำเหล่านี้ หากคุณต้องการให้ไอทีเป็นสินทรัพย์เชิงกลยุทธ์ที่แท้จริงเพื่อช่วยให้หน่วยงานต่างๆ ปรับปรุงประสิทธิภาพ ไม่มีทางลัด ฝ่ายบริหารชุดใหม่ต้องทำงานหนักในการพัฒนาการจัดการด้านไอทีในระดับหน่วยงาน โดยได้รับการสนับสนุนจากผู้นำหน่วยงาน
