ประสบการณ์การฟังที่ดีที่สุดอยู่บน Chrome, Firefox หรือ Safari สมัครรับเสียงสัมภาษณ์ประจำวันของ Federal Drive ใน Apple Podcasts หรือ PodcastOneหกขั้นตอนของกรอบการบริหารความเสี่ยงช่วยให้หน่วยงานมีกระบวนการระดับสูงในการประเมินระบบและข้อมูลหน่วยงานระบบสารสนเทศกลาโหมกำลังนำแนวคิดเรื่องความเสี่ยงลงมาในระดับหนึ่ง เอเจนซีจะบรรลุประสบการณ์ลูกค้าที่ยอดเยี่ยมด้วยความปลอดภัยทางไซเบอร์ที่ได้รับการปรับปรุงได้อย่างไร
ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ Jason Miller
ผู้ดำเนินรายการจะหารือเกี่ยวกับการเปลี่ยนแปลงสู่ระบบคลาวด์และกลยุทธ์การจัดการข้อมูลประจำตัวและการเข้าถึงกับหน่วยงานและผู้นำในอุตสาหกรรมRoger Greenwell หัวหน้าเจ้าหน้าที่ข้อมูล เจ้าหน้าที่ผู้เขียน และผู้บริหารการบริหารความเสี่ยงของ DISA กล่าวว่าหน่วยงานกำลังมองหาชุมชนผู้ใช้เพื่อทำความเข้าใจความเสี่ยงให้ดียิ่งขึ้นเนื่องจากระบบคลาวด์และ Agileกลายเป็นกระบวนการมาตรฐาน
“ที่เรากำลังเผชิญกับวิวัฒนาการคือข้อเท็จจริงที่ว่าการพัฒนาระบบคลาวด์ วิธีการพัฒนาที่คล่องตัว และประเภทของบทบาท dev/sec/ops กำลังบังคับให้เราต้องเปลี่ยนแปลงและสามารถตัดสินใจได้อย่างรวดเร็ว โดยที่กระบวนการส่วนใหญ่ของเราเกือบจะถูกกำหนดเป็นเป้าหมาย เกี่ยวกับการพัฒนาน้ำตกแบบดั้งเดิมที่สิ่งเหล่านี้เกิดขึ้นตามลำดับ: นี่คือการเปิดตัวโค้ด การประเมินการอนุญาตและการประเมิน และทั้งหมดนี้ต้องใช้เวลา” Greenwell กล่าวใน Ask the CIO “คุณต้องสามารถเปลี่ยนแปลงและตัดสินใจได้อย่างรวดเร็ว นั่นคือจุดที่ระบบอัตโนมัติและเทคโนโลยีจะเข้ามามีบทบาทอย่างมากในแง่ของชิ้นส่วนการประเมินจริง”
Roger Greenwell เป็นหัวหน้าเจ้าหน้าที่ฝ่ายข้อมูล ผู้เขียนอย่างเป็นทางการ และผู้บริหารการบริหารความเสี่ยงของ DISA (เอื้อเฟื้อภาพ DISA)
Greenwell กล่าวว่าการใช้ระบบอัตโนมัติกับสภาพแวดล้อมการพัฒนาจะช่วยให้มั่นใจ
ว่าการจัดการการกำหนดค่าและการควบคุมความปลอดภัยด้านไอทีอื่น ๆ เป็นไปตามที่กำหนด ซึ่งในทางกลับกันจะช่วยให้ข้อมูลภารกิจการตัดสินใจความเสี่ยงและผู้เชี่ยวชาญด้านความปลอดภัยทำ
สำหรับ Greenwell การคำนวณและตัดสินใจเกี่ยวกับความเสี่ยงจะตัดกับบทบาททั้งสามในปัจจุบันของเขา เขาดูแลมากกว่า 200 ระบบทั่ว DISA และมีส่วนร่วมในกระบวนการรักษาความปลอดภัยบนคลาวด์ที่เรียกว่า Federal Risk Authorization and Management Program (FedRAMP)
“ในอดีต ทุกสิ่งมุ่งเน้นไปที่การขจัดความเสี่ยง ในโลกปัจจุบัน คุณไม่สามารถกำจัดความเสี่ยงทั้งหมดได้” เขากล่าว “คุณต้องสามารถจัดการความเสี่ยงเหล่านั้นได้ และคุณต้องสามารถจัดลำดับความสำคัญของสิ่งที่คุณมีพนักงานหรือเครื่องมือหรือความสามารถที่จำกัดเพื่อให้สามารถจัดการได้ นั่นคือหนึ่งในสิ่งที่เราพยายามให้ความสำคัญจริงๆ คือการทำความเข้าใจว่าภัยคุกคามอยู่ที่ไหน เราจะนำข้อมูลนั้นไปใช้อย่างไร และทำให้แน่ใจว่าเรากำลังจัดการลำดับความสำคัญหลักเหล่านั้น”
เป้าหมายคือเพื่อให้แน่ใจว่า DISA ใช้การควบคุมที่สำคัญที่สุดเพื่อจัดการกับภัยคุกคามที่ใหญ่ที่สุด และ/หรือเพื่อปกป้องข้อมูลและระบบที่ละเอียดอ่อน ที่สุด
Greenwell กล่าวว่าจำนวนของระบบที่พวกเขาอาศัยอยู่—ในองค์กรหรือในระบบคลาวด์—และความสามารถของพวกเขาต้องการมุมมองที่แตกต่างกันของความเสี่ยงและวิธีลดความเสี่ยง
