การตรวจสอบของสำนักงานความรับผิดชอบของรัฐบาลสหรัฐฯ (GAO) ใหม่พบว่า แม้จะมีความก้าวหน้าที่โดดเด่น แต่หน่วยงานของรัฐบาลกลางยังคงเผชิญกับอุปสรรคสำคัญในการใช้กลยุทธ์ด้านแรงงานที่มีประสิทธิภาพ โดยเฉพาะอย่างยิ่งในด้านความปลอดภัยทางไซเบอร์ ซึ่งเป็นประเด็นที่เป็นศูนย์กลางในการปกป้องระบบไอทีของรัฐบาลกลาง การตรวจสอบเน้นย้ำว่าการจัดการกับความท้าทายด้านความเป็นส่วนตัว การรับรองความถูกต้อง และความปลอดภัยนั้นเชื่อมโยงอย่างแยกไม่ออกกับการจัดการที่มีประสิทธิภาพของบุคลากรด้านความปลอดภัยทางไซเบอร์ของรัฐบาลกลางที่แข็งแกร่ง
รายงานการตรวจสอบของ GAOพนักงานรักษาความปลอดภัยทางไซเบอร์: แผนกต่างๆ จำเป็นต้องนำแนวทางปฏิบัติหลักไปปฏิบัติอย่างเต็มที่ตอกย้ำว่าบุคลากรด้านความปลอดภัยทางไซเบอร์ที่มีทักษะมีความสำคัญต่อการรักษาความเป็นส่วนตัวและการปกป้องข้อมูลที่ละเอียดอ่อนของรัฐบาลกลาง กล่าวว่าความเสี่ยงด้านความเป็นส่วนตัวนั้นรุนแรงขึ้นจากช่องว่างด้านทักษะและการไม่สามารถรักษากลุ่มผู้มีความสามารถที่สอดคล้องกันภายในหน่วยงานของรัฐบาลกลาง GAO เน้นย้ำว่าหน่วยงานต่างๆ เช่น Departments of Commerce, Health and Human Services และ Veterans Affairs (VA) ขาดกลยุทธ์ที่ครอบคลุมเพื่อจัดการกับความท้าทายเหล่านี้
GAO ได้ให้คำแนะนำ 23 ประการโดยมีวัตถุประสงค์เพื่อช่วยให้หน่วยงานรัฐบาลกลางนำแนวทางปฏิบัติด้านแรงงานไปใช้อย่างเต็มที่ และปรับปรุงกระบวนการประเมินผล บางแผนกเห็นด้วยกับข้อเสนอแนะ ในขณะที่บางแผนกเห็นด้วยบางส่วนหรือไม่แสดงความคิดเห็น รายงานสรุปว่าจนกว่าจะนำแนวทางปฏิบัติที่แนะนำทั้งหมดมาใช้ การบรรลุบุคลากรด้านความปลอดภัยทางไซเบอร์ที่มีทักษะและความยืดหยุ่นจะยังคงเป็นเรื่องที่ท้าทาย
แม้ว่ากระทรวงความมั่นคงแห่งมาตุภูมิ (DHS) จะทำหน้าที่เป็นต้นแบบสำหรับแนวปฏิบัติที่ดีที่สุด แต่การดำเนินการที่ไม่สม่ำเสมอในหน่วยงานของรัฐบาลกลางอื่นๆ เน้นย้ำถึงความจำเป็นในการปฏิรูปอย่างเร่งด่วน การตรวจสอบพบว่า หน่วยงานรัฐบาลกลางสามารถเชื่อมช่องว่างระหว่างแรงงาน ปรับปรุงความปลอดภัย และปกป้องความเป็นส่วนตัวของข้อมูลรัฐบาลกลางที่ละเอียดอ่อนได้ด้วยการนำคำแนะนำของ GAO มาใช้ GAO กล่าวว่าขั้นตอนเหล่านี้มีความจำเป็นในการรับรองว่ารัฐบาลกลางมีความพร้อมที่จะป้องกันภัยคุกคามที่เพิ่มขึ้นในแนวความปลอดภัยทางไซเบอร์
ปัญหาความเป็นส่วนตัวที่สำคัญอยู่ที่การจัดการข้อมูลบุคลากร แผนกต่างๆ อาศัยแดชบอร์ด เช่น Cyber Workforce Dashboard ที่พัฒนาโดยสำนักงานบริหารงานบุคคล (OPM) เพื่อวิเคราะห์และคาดการณ์ความต้องการของบุคลากร อย่างไรก็ตาม ช่องว่างในการเก็บรวบรวมและการวิเคราะห์ข้อมูลขัดขวางการคาดการณ์ความต้องการของบุคลากรอย่างแม่นยำ และความสามารถในการแก้ไขช่องโหว่ในการปกป้องข้อมูล หากไม่มีกรอบการกำกับดูแลข้อมูลที่เข้มงวด ข้อมูลพนักงานและระบบที่มีความละเอียดอ่อนจะยังคงมีความเสี่ยงอยู่ซึ่งไม่เพียงแต่กระทบต่อความเป็นส่วนตัวเท่านั้น แต่ยังรวมถึงความสมบูรณ์ของการดำเนินงานของรัฐบาลกลางด้วย
“แผนกที่ได้รับเลือกส่วนใหญ่รายงานว่าพวกเขาไม่ได้นำแนวทางปฏิบัติทั้ง 15 ประการไปใช้อย่างเต็มที่ ส่วนหนึ่งคือการจัดการบุคลากรด้านความปลอดภัยทางไซเบอร์ในระดับส่วนประกอบมากกว่าระดับแผนก ตามที่ OPM ตั้งใจไว้” GAO รายงาน โดยสังเกตว่า “จนกว่า หน่วยงานต่างๆ ดำเนินการตามแนวทางปฏิบัติเหล่านี้ พวกเขามีแนวโน้มที่จะถูกท้าทายในการมีบุคลากรด้านความปลอดภัยทางไซเบอร์ที่มีทักษะที่จำเป็นในการปกป้องระบบไอทีของรัฐบาลกลาง และเปิดใช้งานฟังก์ชันในแต่ละวันของรัฐบาล”
การรับรองความถูกต้องซึ่งเป็นลักษณะพื้นฐานของความปลอดภัยทางไซเบอร์ได้รับผลกระทบโดยตรงจากความเชี่ยวชาญของบุคลากรด้านความปลอดภัยทางไซเบอร์ รายงานการตรวจสอบของ GAO เน้นย้ำถึงช่องว่างสำคัญในการฝึกอบรมและการเตรียมพร้อมในด้านนี้ GAO กล่าวว่าหน่วยงานรัฐบาลกลางส่วนใหญ่ล้มเหลวในการวิเคราะห์ทักษะและความสามารถอย่างเพียงพอ ซึ่งเป็นอุปสรรคต่อความสามารถในการระบุและเติมเต็มช่องว่างที่เกี่ยวข้องกับเทคโนโลยีการรับรองความถูกต้อง
ระบบการรับรองความถูกต้องจะแข็งแกร่งพอ ๆ กับผู้เชี่ยวชาญที่ออกแบบและดูแลรักษาเท่านั้น เมื่อหน่วยงานของรัฐบาลกลาง เช่น DHS ใช้โปรแกรมการกำกับดูแลและการฝึกอบรมที่แข็งแกร่ง พวกเขาก็ประสบความสำเร็จในการเติมเต็มบทบาทสำคัญหลายประการที่เกี่ยวข้องกับการรับรองความถูกต้อง GAO กล่าว
ในทางกลับกัน แผนกอื่นๆ เช่น Department of Treasury และ VA มีความล่าช้าในการพัฒนาแผนกำลังคนซึ่งรวมถึงการฝึกอบรมที่ครอบคลุมเกี่ยวกับเทคโนโลยีการตรวจสอบความถูกต้อง ความแตกต่างนี้เผยให้เห็นถึงความจำเป็นในการใช้แนวทางทั่วทั้งแผนกในการจัดการกับปัญหาการขาดแคลนทักษะ โดยเฉพาะอย่างยิ่งในกรอบงานการรับรองความถูกต้องที่เกิดขึ้นใหม่ เช่น ระบบไบโอเมตริกซ์ และสถาปัตยกรรมแบบ Zero-Trust
ความล้มเหลวด้านความปลอดภัยในระบบของรัฐบาลกลางมักเชื่อมโยงกับความไม่เพียงพอในการวางแผนและการปฏิบัติงานด้านกำลังคน GAO ระบุว่าไม่มีหน่วยงานที่ได้รับการประเมินใดที่นำแผนปฏิบัติการด้านความมั่นคงปลอดภัยทางไซเบอร์ของบุคลากรไปใช้อย่างเต็มที่ ซึ่งรวมถึงตัวชี้วัดเพื่อวัดความคืบหน้าในการเพิ่มขีดความสามารถด้านความปลอดภัย ข้อบกพร่องเหล่านี้สร้างช่องโหว่ในระบบของรัฐบาลกลาง ซึ่งอาจเสี่ยงต่อการโจมตีทางไซเบอร์ การละเมิดข้อมูล และภัยคุกคามด้านความปลอดภัยอื่นๆ
DHS กลายเป็นผู้นำด้านการวางแผนกำลังคน โดยใช้แนวทางปฏิบัติที่ดีที่สุด 14 ข้อจาก 15 ข้อที่ระบุไว้ GAO กล่าวว่าความสำเร็จของ DHS มาจากรูปแบบการกำกับดูแลแบบรวมศูนย์และกลยุทธ์การสื่อสารที่แข็งแกร่ง ซึ่งรับประกันความสอดคล้องระหว่างองค์ประกอบของแผนก อย่างไรก็ตาม แผนกอื่นๆ ประสบปัญหาเนื่องจากการวางแผนแบบกระจายอำนาจและกลไกการติดตามไม่เพียงพอ วิธีการที่ไม่ปะติดปะต่อกันนี้จะช่วยป้องกันการระบุความเสี่ยงด้านความปลอดภัยอย่างทันท่วงที และบ่อนทำลายความพยายามของรัฐบาลกลางในการเสริมสร้างความแข็งแกร่งในการป้องกันทางไซเบอร์
เพื่อจัดการกับความท้าทายเหล่านี้ GAO ได้ให้คำแนะนำที่สามารถนำไปใช้ได้จริงโดยมีเป้าหมายเพื่อปรับปรุงความเป็นส่วนตัว การรับรองความถูกต้อง และแนวปฏิบัติด้านความปลอดภัยภายในบุคลากรด้านความปลอดภัยทางไซเบอร์ คำแนะนำที่สำคัญ ได้แก่ :
การปกครองแบบรวมศูนย์: หน่วยงานต่างๆ ได้รับการกระตุ้นให้นำแนวทางแบบรวมศูนย์มาใช้ในการวางแผนกำลังคน สิ่งนี้เกี่ยวข้องกับการพัฒนากลยุทธ์ทั่วทั้งแผนกที่สอดคล้องกับเป้าหมายความปลอดภัยทางไซเบอร์ของรัฐบาลกลางที่ครอบคลุม การจัดการกับความเป็นส่วนตัวและความปลอดภัยแบบองค์รวม
การวิเคราะห์กำลังคนที่ได้รับการปรับปรุง: การใช้แดชบอร์ดข้อมูลและเครื่องมือวิเคราะห์อย่างมีประสิทธิภาพเพื่อคาดการณ์อุปสงค์และอุปทานของพนักงานถือเป็นสิ่งสำคัญ ด้วยการระบุช่องว่างแบบเรียลไทม์ แผนกต่างๆ สามารถแก้ไขช่องโหว่ด้านความเป็นส่วนตัวและความปลอดภัยได้ในเชิงรุก
การฝึกอบรมและพัฒนา: การลงทุนในการฝึกอบรมเฉพาะทางสำหรับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ในด้านต่างๆ เช่น เทคโนโลยีการตรวจสอบสิทธิ์และการจัดการความเป็นส่วนตัว ถือเป็นสิ่งสำคัญ โครงการริเริ่มเหล่านี้ควรได้รับการออกแบบให้พัฒนาไปพร้อมกับภัยคุกคามและเทคโนโลยีที่เกิดขึ้นใหม่
การติดตามและประเมินผล: แผนกจะต้องสร้างตัวชี้วัดและกรอบการประเมินผลเพื่อวัดความสำเร็จของกลยุทธ์ด้านกำลังคน การประเมินประสิทธิผลของกำลังคนเป็นประจำจะช่วยให้สามารถแก้ไขหลักสูตรได้ทันท่วงทีและช่วยรักษาการปรับปรุงด้านความปลอดภัย
การทำงานร่วมกันระหว่างหน่วยงาน: แนวทางการทำงานร่วมกันในการสรรหาและการรักษาไว้สามารถบรรเทาความท้าทาย เช่น ความไม่เท่าเทียมกันในการจ่ายค่าจ้าง และการแข่งขันกับภาคเอกชน GAO กล่าวว่าโครงการริเริ่มร่วมกัน เช่น โครงการ Pathways ของรัฐบาลกลางสำหรับการจ้างผู้สำเร็จการศึกษาล่าสุดสามารถขยายกลุ่มผู้มีความสามารถได้
หัวข้อบทความ
-----
