كبار مسؤولي أمن المعلومات في الحكومة الأمريكية يشرحون تفاصيل سباق استراتيجية الثقة المعدومة

إذا أرادت مؤسسة ما أن تتعلم درسا في تشكيل استراتيجية انعدام الثقة بسرعة في منظمة مترامية الأطراف، فيتعين عليها أن تتطلع إلى جهود الحكومة الفيدرالية الأمريكية لجعل جميع الوكالات متوافقة بحلول عام 2024. وهذا ما قاله كريس ديروشا، الذي تم تعيينه كرئيس تنفيذي لأمن المعلومات الفيدرالي في مكتب كان لا بد من معرفة الميزانية والإدارة (OMB) لعام 2021 بسرعة.

وقد استخدم كلمته الرئيسية يوم الأربعاء خلال حدث Forrester’s Security & Risk في واشنطن العاصمة، لتقديم نظرة عامة على جهود الأمن السيبراني الشاقة التي تبذلها الحكومة وكيف يمكن استخدام هذه الإستراتيجية في المنظمات الأخرى.

ويقدر ديروشا أن هناك ما يزيد قليلاً عن 100 وكالة معنية باستراتيجية الثقة المعدومة، بما في ذلك إدارة أمن النقل (TSA)، والوكالة الفيدرالية لإدارة الطوارئ (FEMA)، والخدمة السرية، وخفر السواحل، والعديد من الحكومات المدنية الحساسة والبارزة الأخرى. جثث.

وقال: “لكن بصراحة، إذا قمت بالفعل بتقسيم الأمر إلى وحدات تشغيل مستقلة، فستجد أن هناك المئات، وكلها تشمل نطاقًا واسعًا من القدرات والموارد”.

إذًا، كيف يمكن للمدير أن يتعامل مع الاحتياجات الأمنية للعديد من المؤسسات عندما تكون هناك حاجة للتحرك بسرعة وحسم؟

نقطة البداية

قال ديروشا: “شعرت بأن هذا هو كل شيء. الأشياء التي كنا نتحدث عنها طوال العقد الماضي ونعمل عليها … كلها تحدث لنا الآن. لقد كنا بحاجة إلى معرفة كيف سنقوم بتحفيز ومحاولة ضخ الطاقة والتركيز في الوكالات الفيدرالية للمضي قدمًا حقًا في الأشياء التي كنا نعمل عليها لأكثر من عقد من الزمان. لكننا كنا نكافح من أجل تحقيق تقدم ملموس”.

متعلق ب:تواجه الوكالات الفيدرالية الأمريكية تحديات سحابية متعددة

كان لدى الفريق نقطة بداية: وثيقة مكونة من 170 صفحة تحدد الأهداف الأساسية. لكن مثل هذه المهمة الشاقة -تبسيط خطة الثقة المعدومة التي سيتم تقاسمها بين المنظمات المتنوعة- سوف تتطلب أكثر من مجرد كلمات على صفحة. “أتذكر أنني قرأته وقلت: “هذا أمر مثير للاهتمام حقًا، ومفيد ويشعرك بأنه صحيح.” وقال: “لكن لم يكن أحد يتفاعل مع ذلك”. “لذا، كان هذا هو الأساس. كنا بحاجة إلى خطة عمل مركزة.”

ساعدت خطة العمل والمواعيد النهائية الصارمة في وضع بعض المنظمات على المسار الصحيح، لكن المنظمات الأخرى التي لا تملك الموارد اللازمة كانت بحاجة إلى مزيد من الاهتمام. وقال ديروشا: “لقد قررنا، دعونا نذهب ونلتقي بكل وكالة تتواجد فيها… فلنعمل مع كل واحدة منها لوضع خطط التنفيذ الخاصة بها”. يمكن للمؤسسات الكبيرة التي لديها أقسام ومجموعات أصغر أن تتبع نهجًا عمليًا مماثلاً، مما يشجع كل وحدة على تطوير خطتها الخاصة التي تنجح.

الحصول على المدخلات الخارجية

بعد أن أنتجت فترة التعليق العام 120 ردًا مستقلاً من الأكاديميين وقادة الصناعة وغيرهم من الخبراء في جميع أنحاء البلاد، مع تقديم إرشادات حول أفضل ممارسات انعدام الثقة، كان لدى الفريق رأس مال فكري لدعم الخطة النبيلة. ساعدت هذه الاستجابات المؤسسات ذات الاحتياجات المختلفة على تصميم خططها الخاصة لتصبح متوافقة. وفي الوقت نفسه، كان لا بد من النظر في قيود الميزانية.

متعلق ب:الولايات المتحدة تحقق في اختراق البريد الإلكتروني لمايكروسوفت والأمن السحابي

“لنا [budget] قال ديروشا: “كان الأمر في غاية الأهمية”. “أعتقد أنني وبعض الحكومات، في الشركات الكبرى، بحاجة إلى القيام بهذا التخطيط أيضًا. وتحتاج إلى تبرير أن إنفاق الموارد مرتبط ببعض الاستراتيجيات التي من المحتمل أن تحقق بعض النتائج الجيدة. هذه هي الصيغة التي يقوم بها موظف الميزانية بالتوقيع.

من الخطوات المهمة لأي منظمة، بغض النظر عن حجمها، تحديد معنى انعدام الثقة بالنسبة لتلك المنظمة. وقال: “لقد أخذنا الجهاز الحكومي الكبير بأكمله، وقمنا بتركيزه ووضعنا هذا الرهان الكبير على ما نسميه “الثقة الصفرية”. أستطيع أن أخبركم ماذا يعني ذلك بالنسبة لنا، وهذا ليس ما يعنيه بالنسبة لنا”. الجميع. لقد كان الكثير من العمل حتى أتمكن من رؤية ذلك. ولكن عليك أن تبني شيئًا يزيل الضوضاء. وعليك أن تأخذ هذه التعليقات وتلك الانتقادات على محمل الجد وأن تبني شيئًا يمكن الدفاع عن تثبيته.

متعلق ب:CISA تطلق برنامجًا لحماية البنية التحتية الحيوية من برامج الفدية

وقال DeRusha إن مكتب الإدارة والميزانية يسير على الطريق الصحيح لرؤية استيفاء متطلبات الثقة الصفرية بحلول الموعد النهائي في عام 2024.

وقال: “إننا نمضي قدماً”.