ใช้แป้นลูกศรขึ้น/ลงเพื่อเพิ่มหรือลดระดับเสียงดาวน์โหลดเสียงประเด็นหลักสองประเด็นเกิดขึ้นเมื่อวานนี้จากเซสชันการรับฟังครั้งแรกเพื่อดำเนินการ ตามคำสั่งผู้บริหารของประธานาธิบดีบารัค โอบา มาเกี่ยวกับความปลอดภัยในโลกไซเบอร์ประการแรกเห็นได้ชัด: การทำงานร่วมกันต้องอยู่ภายใต้กระบวนการทั้งหมดในการสร้างกรอบความปลอดภัยทางไซเบอร์เพื่อปรับปรุงวิธีที่ผู้ให้บริการโครงสร้างพื้นฐานที่สำคัญปกป้องระบบและเครือข่าย
แต่มันเป็นหัวข้อที่สองที่จะกำหนดเส้นทางไปข้างหน้าสำหรับวิธีที่ผู้ให้บริการ
และรัฐบาลสร้างส่วนสำคัญของคำสั่งผู้บริหารซึ่งลงนามโดยประธานาธิบดีเมื่อวันที่ 14 กุมภาพันธ์ เจ้าหน้าที่ในอุตสาหกรรมกล่าวว่ากรอบความปลอดภัยทางไซเบอร์ซึ่งจะดึงแนวทางปฏิบัติที่ดีที่สุดทางไซเบอร์ที่มีอยู่มารวมกัน และมาตรฐานที่ใช้ได้ในทุกภาคส่วนต้องไปไกลกว่าพื้นฐานการจัดการความเสี่ยงด้านความปลอดภัย
ตัวแทนจากผู้ให้บริการโครงสร้างพื้นฐานที่สำคัญบอกกับสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ ซึ่งเป็นเจ้าภาพจัดงานที่กระทรวงพาณิชย์ในกรุงวอชิงตัน ว่าส่วนใหญ่ได้กล่าวถึงประเด็นความเสี่ยงขั้นพื้นฐานแล้ว
ข้อมูลเชิงลึกโดย Censys: ในระหว่างการสัมมนาออนไลน์เกี่ยวกับคู่มือ CISO สุดพิเศษนี้ ผู้ดำเนินรายการ Jason Miller และ Elena Peterson จะสำรวจการวิจัยด้านความปลอดภัยในโลกไซเบอร์และความคิดริเริ่มในการปรับปรุงไอทีให้ทันสมัยที่ PNNL ผู้ดำเนินรายการ Justin Doubleday และแขกรับเชิญ Matt Lembright จาก Censys จะให้มุมมองของอุตสาหกรรม
“ปัญหาหนึ่งที่เราเผชิญอยู่คือ อะไรคือตัวชี้วัดความสำเร็จ? ความปลอดภัยไม่ใช่เลขฐานสอง ไม่ใช่ว่าคุณปลอดภัยหรือไม่ปลอดภัย” เทอร์รี่ ไรซ์ รองประธานฝ่ายการจัดการความเสี่ยงด้านไอทีและประธานเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของเมอร์คกล่าว “เราพยายามอย่างหนักที่จะตัดสินใจอย่างแม่นยำว่าเราควรลงทุนในที่ใด และไม่ใช่แค่ในไอทีเท่านั้น มันอยู่ที่ว่า ถ้าฉันมีเงินสักหนึ่งดอลลาร์ ฉันจะใช้มันไปกับการวิจัยเกี่ยวกับโรคอัลไซเมอร์ มะเร็ง หรือโรคภัยไข้เจ็บอื่นๆ หรือฉันจะใช้จ่ายในการปกป้องข้อมูลและระบบของฉัน”
เขาเสริมว่ากรอบการทำงานจำเป็นต้องระบุวิธีที่ดีที่สุดในการวัดความเสี่ยง
“ฉันไม่ได้พูดถึง [เมตริก] นับพันที่เรามีในระดับยุทธวิธีในทุกวันนี้” ไรซ์กล่าว “แต่พวกเขา [มา] รวมกันเพื่อตอบคำถามเกี่ยวกับความเสี่ยงที่จะทำให้เราตัดสินใจได้ว่าเราจะลงทุนที่ไหน”
เมอร์คมีแผนการจัดการความเสี่ยงขององค์กรอยู่แล้ว ซึ่งพิจารณาจากความเสี่ยง 10 ต่อ 12 อันดับแรกที่อาจส่งผลกระทบต่อบริษัท
ไรซ์กล่าวว่าความปลอดภัยในโลกไซเบอร์ได้กลายเป็นส่วนสำคัญของการหารือเกี่ยวกับความเสี่ยงนั้น
เศรษฐศาสตร์ไซเบอร์แต่ไรซ์และคนอื่นๆ ในอุตสาหกรรมกล่าวว่ากรอบการทำงานต้องคำนึงถึงเศรษฐศาสตร์ในการจัดการความเสี่ยง
Michael Papay รองประธานฝ่ายการรักษาความปลอดภัยข้อมูลและการริเริ่มทางไซเบอร์ของ Northrop Grumman Information Systems กล่าวว่ามีการชักเย่ออย่างต่อเนื่องระหว่างต้นทุนทางเศรษฐกิจและความเสี่ยง ทุกบริษัทต้องทำใจกับจำนวนเงินที่ต้องใช้ในการลงทุนเพื่อลดความเสี่ยงที่ใหญ่ที่สุดPapay กล่าวว่าหากข้อมูลของ Northrop ไม่ปลอดภัย รัฐบาลหรือหุ้นส่วนใดๆ เช่น Lockheed Martin, Boeing, Raytheon และบริษัทอื่นๆ ก็จะไม่ปลอดภัยเช่นกัน และแน่นอนว่าสิ่งที่ตรงกันข้ามก็เป็นจริงเช่นกัน หากระบบของพันธมิตรรายหนึ่งของ Northrop ไม่ปลอดภัย นั่นจะทำให้ Northrop ตกอยู่ในความเสี่ยงเช่นกัน
Papay กล่าวว่ากรอบความปลอดภัยทางไซเบอร์ไม่สามารถละสายตาจากปัญหาเศรษฐกิจและต้องมีการควบคุมที่สำคัญเพื่อสร้างสมดุลให้กับปัจจัยทั้งหมด
การสร้างความสมดุลนี้ไม่ใช่เรื่องง่าย แต่นั่นเป็นเหตุผลที่ Patrick Gallagher ผู้อำนวยการของ NIST กล่าวว่าเป้าหมายไม่ใช่การสร้างวงล้อใหม่หรือมาตรฐานและแนวทางปฏิบัติที่ดีที่สุดสำหรับเรื่องนั้น
“แผนเริ่มต้นของเราคือการจัดระเบียบตามหัวข้อหลักสามหัวข้อ: การจัดการความเสี่ยง สุขอนามัยในโลกไซเบอร์ และเครื่องมือและตัวชี้วัด นี่เป็นเพราะจากสิ่งที่เราได้ยินจากผู้มีส่วนได้ส่วนเสียของเราในภาครัฐและอุตสาหกรรม สิ่งเหล่านี้เป็นส่วนสำคัญอย่างยิ่ง” กัลลาเกอร์กล่าว “เราจะเตรียมพร้อมรับมือกับภัยคุกคามที่กำลังพัฒนาได้อย่างไร อะไรคือหลักปฏิบัติที่ควรพิจารณาโดยไม่คำนึงถึงพันธกิจขององค์กรของคุณ? เครื่องมือและเทคนิคใดที่จะสนับสนุนเป้าหมายเหล่านั้น”
