美國政府問責辦公室(GAO) 的一項新審計發現,儘管取得了顯著進步,聯邦部門在實施有效的勞動力戰略方面仍然面臨巨大障礙,特別是在網路安全方面,這是保護聯邦IT 系統的核心領域。審計強調,解決隱私、身分驗證和安全挑戰與強大的聯邦網路安全勞動力的有效管理密不可分。
GAO的審計報告,網路安全人員:各部門需要全面實施關鍵實踐,強調熟練的網路安全勞動力對於維護隱私和保護敏感的聯邦資料至關重要。報告稱,技能差距和聯邦部門內部無法維持穩定的人才庫加劇了隱私風險。美國政府問責局強調,商務部、衛生與公共服務部以及退伍軍人事務部 (VA) 等部門缺乏應對這些挑戰的全面策略。
GAO 提出了 23 項建議,旨在幫助聯邦部門全面實施勞動力實踐並改善其評估流程。有些部門同意這些建議,而有些部門部分同意或沒有發表評論。該報告的結論是,在採用所有建議的做法之前,培養一支熟練且有彈性的網路安全員工隊伍仍將是一項挑戰。
審計發現,雖然國土安全部 (DHS) 堪稱最佳實踐的典範,但其他聯邦部門的實施情況參差不齊,凸顯了迫切需要進行改革。透過採納 GAO 的建議,聯邦機構可以縮小勞動力差距、增強安全性並保護敏感聯邦資料的隱私。美國政府問責局表示,這些措施對於確保聯邦政府有能力抵禦網路安全領域日益增長的威脅至關重要。
一個關鍵的隱私問題在於勞動力資料的管理。各部門依靠儀表板(例如人事管理辦公室 (OPM) 開發的網路勞動力儀表板)來分析和預測勞動力需求。然而,資料收集和分析方面的差距阻礙了對勞動力需求的準確預測以及解決資料保護漏洞的能力。如果沒有嚴格的資料治理框架,敏感的員工和系統資料仍然面臨被攻擊的風險,不僅損害隱私,而且損害聯邦運作的完整性。
GAO 報告稱,“大多數選定的部門報告稱,他們尚未完全實施全部 15 項做法,部分原因是按照 OPM 的預期,在組件級別而非部門級別管理其網絡安全員工隊伍”,並指出“直到如果各部門實施這些做法,他們可能會面臨挑戰,要求擁有一支具備必要技能的網路安全人員來保護聯邦IT 系統並支持政府的日常職能。
身份驗證是網路安全的一個基本面,直接受到網路安全人員專業知識的影響。美國政府問責局的審計報告強調了該領域培訓和準備的重大差距。美國政府問責局表示,大多數聯邦部門未能對技能和能力進行充分的分析,這阻礙了他們識別和填補與身分驗證技術相關的空白的能力。
身份驗證系統的強度取決於設計和維護它們的專業人員。美國政府問責局表示,當國土安全部等聯邦機構實施強有力的治理和培訓計畫時,他們成功地填補了與身分驗證相關的許多關鍵角色。
相反,財政部和退伍軍人管理局等其他部門在製定包括身份驗證技術全面培訓在內的勞動力計劃方面卻落後。這種差異表明需要採取全部門範圍的方法來解決技能短缺問題,特別是在生物識別系統和零信任架構等新興身分驗證框架中。
聯邦系統的安全漏洞通常與勞動力規劃和執行的不足有關。 GAO 發現,沒有一個接受評估的部門完全實施了網路安全勞動力行動計劃,其中包括衡量增強安全能力進展的指標。這些缺陷為聯邦系統帶來了漏洞,可能使其面臨網路攻擊、資料外洩和其他安全威脅。
DHS 成為勞動力規劃領域的領導者,實施了 15 項已確定的最佳實踐中的 14 項。美國政府問責局表示,國土安全部的成功歸功於集中的治理模式和強而有力的溝通策略,以確保各部門之間的協調一致。然而,其他部門由於規劃分散和監督機制不足而陷入困境。這種脫節的方法阻礙了安全風險的及時識別,並破壞了聯邦政府加強網路防禦態勢的努力。
為了應對這些挑戰,GAO 提供了旨在改善網路安全人員的隱私、身分驗證和安全實踐的可行建議。主要建議包括:
集中治理:敦促各部門對勞動力規劃採取集中方法。這涉及製定與聯邦網路安全總體目標一致的全部門策略,全面解決隱私和安全問題。
增強的勞動分析:有效使用數據儀表板和分析工具來預測勞動力供需至關重要。透過即時辨識差距,各部門可主動解決隱私和安全方面的漏洞。
培訓與發展:在身分驗證技術和隱私管理等領域對網路安全專業人員的專業培訓進行投資至關重要。這些措施的設計應隨著新出現的威脅和技術的發展而發展。
監測與評估:各部門必須建立指標和評估架構來衡量其勞動力策略的成功。定期評估員工效率將能夠及時糾正方向,並有助於維持安全改善。
跨機構合作:採用協作方式進行招募和留任可以緩解薪資差距和與私部門的競爭等挑戰。 GAO 表示,聯邦銜接計畫等招募應屆畢業生的共同措施可以擴大人才庫。
文章主題
|||||
