การย้ายไปสู่การทำงานทางไกลสูงสุดในหน่วยงานของรัฐบาลกลางไม่ได้เป็นเรื่องที่เจ็บปวด และสภาคองเกรสต้องการทราบว่ามันเป็นอย่างไร ในฐานะส่วนหนึ่งของกฎหมาย Coronavirus Aid, Relief and Economic Security (CARES) มีการเรียกร้องให้สำนักงานความรับผิดชอบของรัฐบาล (Government Accountability Office) กำกับดูแลและตรวจสอบว่าหน่วยงานของรัฐบาลกลางดำเนินการอย่างไรในสภาพแวดล้อมการทำงานทางไกลแบบใหม่นี้
“ส่วนหนึ่งจะดูที่การทำงานทางไกล ดูที่ความต่อเนื่องของกิจกรรมการดำเนินงาน
จากนั้นภายในทั้งสองความพยายามนั้น ดูที่ความปลอดภัย” นิค มารินอส ผู้อำนวยการฝ่ายเทคโนโลยีสารสนเทศและความปลอดภัยทางไซเบอร์ของสำนักงานความรับผิดชอบของรัฐบาล กล่าวระหว่างการสัมมนาทางเว็บวันที่ 27 พฤษภาคม จาก DefenseOne และ Nextgov “ดังนั้น นี่จึงเป็นสิ่งที่ต่อยอดจากงานที่เราทำโดยทั่วไปมากขึ้น โดยพิจารณาว่าหน่วยงานของรัฐบาลกลางกำลังเข้าใกล้การจัดการความเสี่ยงทางไซเบอร์ของพวกเขาอย่างไร และอาจจะยกระดับขึ้นเมื่อเทียบกับสิ่งที่เรากำลังประสบอยู่ในขณะนี้”
Marinos และ Armando Quintananieves ผู้อำนวยการฝ่ายปฏิบัติการรักษาความปลอดภัยของ Office of the Chief Information Officer ที่ General Services Administration ได้เสนอคำแนะนำบางประการสำหรับหน่วยงานรัฐบาลกลางเกี่ยวกับวิธีดำเนินการเชิงรุกในการรักษาความปลอดภัยเครือข่ายของตนโดยลดปัญหาพนักงานที่ทำงานจากระยะไกลเป็นหลัก
“ระบบคลาวด์จำเป็นต้องได้รับการปฏิบัติเหมือนเป็นส่วนขยายของเครือข่ายภายในของคุณ” Marinos กล่าว “ดังนั้นทุกสิ่งที่คุณโพสต์ การรักษาความปลอดภัยที่คุณมีให้บนเครือข่าย คุณต้องคำนึงถึงฟังก์ชันการทำงานเดียวกันนอกเครือข่ายของคุณด้วย” ข้อมูลเชิงลึกโดย Carahsoft: เอเจนซีจะบรรลุประสบการณ์ลูกค้าที่ยอดเยี่ยมด้วยความปลอดภัยทางไซเบอร์ที่ได้รับการปรับปรุงได้อย่างไร ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ Jason Miller ผู้ดำเนินรายการจะหารือเกี่ยวกับการเปลี่ยนแปลงสู่ระบบคลาวด์และกลยุทธ์การจัดการข้อมูลประจำตัวและการเข้าถึงกับหน่วยงานและผู้นำในอุตสาหกรรม
ด้วยเหตุนี้ Quintananieves กล่าวว่าหน่วยงานควรให้ความสำคัญ
กับ FedRAMP เสมอเมื่อประเมินเครื่องมือบนคลาวด์ ไม่มีเครื่องมือใดที่เหมาะกับทุกสถานการณ์ แต่เครื่องมือทุกอย่างที่พนักงานใช้จำเป็นต้องได้รับการประเมินจากมุมมองด้านความปลอดภัย
“นั่นคือที่มาของ FedRAMP ทุกหน่วยงานสามารถไปใช้เว็บไซต์ Fedramp.gov เพื่อค้นหาโซลูชันที่ได้รับอนุญาตซึ่งผ่านการตรวจสอบแล้วและเป็นไปตามข้อกำหนดของรัฐบาล” Quintananieves กล่าว “เมื่อเร็วๆ นี้ GSA ได้สื่อสารกับ [the Department of Homeland Security’s Cybersecurity and Infrastructure Security Agency] และได้แนวทางบางอย่าง หากคุณไปที่เว็บไซต์ CISA คุณจะเห็นสิ่งพิมพ์ที่ GSA รองรับ แนวทางสำหรับเทคโนโลยีการประชุมทางวิดีโอและแนวทางปฏิบัติที่ดีที่สุด”
แต่หน่วยงานเองก็จำเป็นต้องให้ความชัดเจนกับพนักงานของตนเกี่ยวกับคำแนะนำเกี่ยวกับทรัพยากรทางเทคโนโลยี เมื่อความคาดหวังหรือข้อกำหนดของหน่วยงานไม่ชัดเจน นั่นคือเวลาที่พนักงานเริ่มหักมุม ที่หนึ่งที่มักจะเกิดขึ้นเป็นพิเศษคือเมื่อพนักงานของรัฐบาลกลางต้องการใช้อุปกรณ์ของตนเอง
“ในสถานการณ์ที่คุณนำอุปกรณ์มาเอง คุณต้องตั้งสมมติฐานเสมอว่าสภาพแวดล้อมเหล่านั้นจะมีภัยคุกคามที่ไม่เป็นมิตร” Marinos กล่าว “ดังนั้น ให้ตั้งสมมติฐานว่ามีความเสี่ยงด้านความปลอดภัยแฝงอยู่ในการทำงานระยะไกลที่คนๆ หนึ่งจะทำ ไม่ว่าจะเป็นบนอุปกรณ์ของตนเองหรือบนอุปกรณ์ที่ออกโดยรัฐบาลเช่นกัน ดังนั้นฉันคิดว่าเริ่มจากจุดนั้น เอเจนซี่ต้องตัดสินใจแลกกับวิธีที่พวกเขาต้องการให้ผู้ใช้แต่ละคนและพนักงานมีปฏิสัมพันธ์กับทรัพยากรของรัฐบาล”
ตัวอย่างเช่น หน่วยงานบางแห่งอาจไม่อนุญาตให้พนักงานเชื่อมต่อกับ VPN เว้นแต่ว่าพวกเขาจะมีอุปกรณ์ที่ออกโดยรัฐบาลซึ่งมีการรับรองความถูกต้องด้วยหลายปัจจัย ในทางกลับกัน อาจอนุญาตให้พนักงานเชื่อมต่อกับโครงสร้างพื้นฐานเดสก์ท็อปเสมือน (VDI) ซึ่งจากนั้นจะใช้การรับรองความถูกต้องด้วยหลายปัจจัย ดังนั้นจึงมีเส้นทางที่แตกต่างกันไปยังทรัพยากรภายใน และหน่วยงานจำเป็นต้องกำหนดระดับความเสี่ยงที่พวกเขาพอใจ
ทุกอย่างกลับมาที่การสื่อสารที่มีประสิทธิภาพระหว่างพนักงานและผู้กำหนดนโยบาย พนักงานจำเป็นต้องเข้าใจหลักเกณฑ์ในขณะที่พวกเขากำลังค้นหาวิธีใหม่ๆ ในการทำงานให้สำเร็จ พวกเขายังต้องรู้ว่าควรถามใครในกรณีที่หลักเกณฑ์ไม่ชัดเจน
Marinos กล่าวว่า “ทรัพยากรที่ดีที่สุดและการรับรู้ที่ดีที่สุดเกี่ยวกับสิ่งที่หน่วยงานรัฐบาลกลางส่วนบุคคลของคุณพอใจเมื่อเกิดความเสี่ยงคือหน่วยงานเอง” “ดังนั้น ฉันจะบอกว่าหากผู้ใช้แต่ละคนไม่แน่ใจว่าจะเข้าถึงการทำงานทางไกลด้วยวิธีที่ปลอดภัยที่สุดเท่าที่จะเป็นไปได้อย่างไร พวกเขาควรติดต่อเจ้าหน้าที่รักษาความปลอดภัยภายในของตนเพื่อขอคำแนะนำเกี่ยวกับเรื่องนี้”
