美国政府问责办公室 (GAO) 的一项新审计发现,尽管取得了显着进步,联邦部门在实施有效的劳动力战略方面仍然面临巨大障碍,特别是在网络安全方面,这是保护联邦 IT 系统的核心领域。审计强调,解决隐私、身份验证和安全挑战与强大的联邦网络安全劳动力的有效管理密不可分。
GAO的审计报告,网络安全人员:各部门需要全面实施关键实践,强调熟练的网络安全劳动力对于维护隐私和保护敏感的联邦数据至关重要。报告称,技能差距和联邦部门内部无法维持稳定的人才库加剧了隐私风险。美国政府问责局强调,商务部、卫生与公共服务部以及退伍军人事务部 (VA) 等部门缺乏应对这些挑战的全面战略。
GAO 提出了 23 条建议,旨在帮助联邦部门全面实施劳动力实践并改进其评估流程。一些部门同意这些建议,而另一些部门部分同意或没有发表评论。该报告的结论是,在采用所有建议的做法之前,培养一支熟练且有弹性的网络安全员工队伍仍将是一项挑战。
审计发现,虽然国土安全部 (DHS) 堪称最佳实践的典范,但其他联邦部门的实施情况参差不齐,凸显了迫切需要进行改革。通过采纳 GAO 的建议,联邦机构可以缩小劳动力差距、增强安全性并保护敏感联邦数据的隐私。美国政府问责局表示,这些措施对于确保联邦政府有能力抵御网络安全领域日益增长的威胁至关重要。
一个关键的隐私问题在于劳动力数据的管理。各部门依靠仪表板(例如人事管理办公室 (OPM) 开发的网络劳动力仪表板)来分析和预测劳动力需求。然而,数据收集和分析方面的差距阻碍了对劳动力需求的准确预测以及解决数据保护漏洞的能力。如果没有严格的数据治理框架,敏感的员工和系统数据仍然面临被攻击的风险,不仅损害隐私,而且损害联邦运作的完整性。
GAO 报告称,“大多数选定的部门报告称,他们尚未完全实施全部 15 项做法,部分原因是按照 OPM 的预期,在组件级别而不是部门级别管理其网络安全员工队伍。”并指出,“在这些部门实施这些做法之前,他们可能会面临拥有一支具备保护联邦 IT 系统和支持政府日常职能所需技能的网络安全员工队伍的挑战。”
身份验证是网络安全的一个基本方面,直接受到网络安全人员专业知识的影响。美国政府问责局的审计报告强调了该领域培训和准备方面的重大差距。美国政府问责局表示,大多数联邦部门未能对技能和能力进行充分的分析,这阻碍了他们识别和填补与身份验证技术相关的空白的能力。
身份验证系统的强大程度取决于设计和维护它们的专业人员。美国政府问责局表示,当国土安全部等联邦机构实施强有力的治理和培训计划时,他们成功地填补了与身份验证相关的许多关键角色。
相反,财政部和退伍军人管理局等其他部门在制定包括身份验证技术全面培训在内的劳动力计划方面却滞后。这种差异表明需要采取全部门范围的方法来解决技能短缺问题,特别是在生物识别系统和零信任架构等新兴身份验证框架中。
联邦系统的安全漏洞通常与劳动力规划和执行的不足有关。 GAO 发现,没有一个接受评估的部门完全实施了网络安全劳动力行动计划,其中包括衡量增强安全能力进展的指标。这些缺陷给联邦系统带来了漏洞,可能使其面临网络攻击、数据泄露和其他安全威胁。
DHS 成为劳动力规划领域的领导者,实施了 15 项已确定的最佳实践中的 14 项。美国政府问责局表示,国土安全部的成功归功于集中的治理模式和强有力的沟通策略,以确保各部门之间的协调一致。然而,其他部门由于规划分散和监督机制不足而陷入困境。这种脱节的方法阻碍了安全风险的及时识别,并破坏了联邦政府加强网络防御态势的努力。
为了应对这些挑战,GAO 提供了旨在改善网络安全人员的隐私、身份验证和安全实践的可行建议。主要建议包括:
集中治理:敦促各部门对劳动力规划采取集中方法。这涉及制定与联邦网络安全总体目标相一致的全部门战略,全面解决隐私和安全问题。
增强的劳动力分析:有效使用数据仪表板和分析工具来预测劳动力供需至关重要。通过实时识别差距,各部门可以主动解决隐私和安全方面的漏洞。
培训与发展:在身份验证技术和隐私管理等领域对网络安全专业人员的专业培训进行投资至关重要。这些举措的设计应随着新出现的威胁和技术的发展而发展。
监测与评估:各部门必须建立指标和评估框架来衡量其劳动力战略的成功。定期评估员工效率将能够及时纠正方向,并有助于维持安全改进。
跨机构合作:采用协作方式进行招聘和留用可以缓解薪酬差距和与私营部门的竞争等挑战。 GAO 表示,联邦衔接计划等招聘应届毕业生的共同举措可以扩大人才库。
文章主题
|||||
