ในช่วงสองปีที่ผ่านมา Small Business Administration มีภารกิจในการสร้างมาตรฐานและรวบรวมเครื่องมือและบริการด้านความปลอดภัยทางไซเบอร์ในหลาย ๆ ด้าน SBA กำลังสร้างแบบจำลองอนาคตของการรักษาความปลอดภัยทางไซเบอร์สำหรับหลาย ๆ หน่วยงานGuy Cavallo รอง CIO ของ SBA กล่าวว่าหน่วยงานมีแผนที่จะพัฒนาเครื่องมือและกลยุทธ์ด้านความปลอดภัยทางไซเบอร์อย่างต่อเนื่องโดยใช้กรอบการทำงานที่ไม่ไว้วางใจ
เอเจนซีจะบรรลุประสบการณ์ลูกค้าที่ยอดเยี่ยมด้วยความปลอดภัยทางไซเบอร์
ที่ได้รับการปรับปรุงได้อย่างไร ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ Jason Miller ผู้ดำเนินรายการจะหารือเกี่ยวกับการเปลี่ยนแปลงสู่ระบบคลาวด์และกลยุทธ์การจัดการข้อมูลประจำตัวและการเข้าถึงกับหน่วยงานและผู้นำในอุตสาหกรรมGuy Cavallo เป็นรอง CIO ที่ Small Business Administration
“ขั้นตอนต่อไปของเราคือนำทั้งหมดนี้ไปใช้กับ SBA ทุกแห่งจากทั้งหมด 115 แห่ง เพื่อให้เครือข่ายไว้วางใจเป็นศูนย์และแยกออกจากทุกสิ่งที่เชื่อมต่อกัน และเมื่อคุณอยู่ในเครือข่าย SBA คุณจะได้รับความไว้วางใจ ไม่ต้องเชื่อถือสิ่งใดๆ” Cavallo กล่าวเมื่อถามCIO “เนื่องจากเครื่องมือคลาวด์ที่เราใช้อยู่ เครื่องมือคลาวด์เหล่านั้นจะช่วยให้เรา [เป็น] การเชื่อมต่ออินเทอร์เน็ตที่เชื่อถือได้ (TIC) สำหรับแต่ละสถานที่ในกว่า 100 แห่งและเห็นแดชบอร์ดเดียวกันกับที่เราเห็นตอนนี้ ด้วยวิธี MTIPS แบบดั้งเดิม นั่นจะเป็นการเปลี่ยนแปลงแบบปฏิวัติสำหรับเรา”
Cavallo กล่าวว่าเขาให้เครดิตนวัตกรรมของ SBA กับโปรแกรมการวินิจฉัยและการลดผลกระทบอย่างต่อเนื่อง (CDM)และโปรแกรม TICซึ่งทั้งสองอย่างนี้นำโดยกระทรวงความมั่นคงแห่งมาตุภูมิ ซึ่งเป็นเหตุผลที่หน่วยงานพร้อมที่จะก้าวไปสู่กรอบการทำงานที่ไม่ไว้วางใจ
ในช่วงสองปีที่ผ่านมา SBA เป็นผู้นำในการใช้เครื่องมือระบบคลาวด์เพื่อตอบสนองเจตนารมณ์และความตั้งใจของ CDM และ TIC ภายใต้การดูแลของ DHS ภายใต้โครงการริเริ่มทางไซเบอร์ทั้งของรัฐบาล SBA เชื่อมต่อกับเครื่องมือรักษาความปลอดภัยบนคลาวด์เพื่อดูบริการในองค์กรและบริการเครือข่ายคลาวด์ แทนที่จะพยายามจับคู่ข้อกำหนด TIC แบบควบคุมโดยควบคุม หรือข้อกำหนด CDM แบบเครื่องมือต่อเครื่องมือ SBA มุ่งเน้นไปที่ผลลัพธ์ ซึ่งเป็นการทำความเข้าใจและดำเนินการกับภัยคุกคามและช่องโหว่ของเครือข่ายแบบเรียลไทม์
ตอนนี้ได้พิสูจน์ทั้งคุณค่าและความเร็วของแนวทางแล้ว Cavallo กล่าวว่า
SBA พร้อมแล้วสำหรับก้าวต่อไปในการเดินทางทางไซเบอร์ ไร้ซึ่งความไว้วางใจCavallo กล่าวว่า SBA เลือกสำนักงาน 5-6 แห่งที่มีขนาดและภูมิภาคต่างๆ กันเพื่อทดสอบโมเดล Zero trust
“สิ่งนี้ยังช่วยให้เราสามารถแทนที่วงจร MTIPS ในแต่ละตำแหน่งด้วยสิ่งที่ดีที่สุดสำหรับพื้นที่นั้น ไม่ว่าจะเป็นเคเบิลโมเด็มหรือการเชื่อมต่ออื่นๆ เพื่อที่เราจะได้มีผู้จำหน่ายมากกว่าหนึ่งรายทั่วทั้งประเทศ มันจะช่วยลดค่าโทรคมนาคมของเราได้อย่างมากจากผลข้างเคียงของมัน” เขากล่าว “จะใช้เวลาทั้งหมดสองปี สมมติว่าการทดสอบเป็นไปด้วยดี ก่อนที่เราจะดำเนินการให้เสร็จ เนื่องจากมีที่ตั้งสำนักงานจำนวนมาก เราทราบดีว่ามองเห็นจุดสิ้นสุดของการมองเห็นว่าการมองเห็นคืออะไร ดังนั้นตอนนี้จึงเปลี่ยนสถาปัตยกรรมพื้นฐานให้เป็นสถาปัตยกรรมแบบ Zero trust ที่มีความสามารถพื้นฐาน
การย้ายออกจากเครือข่ายในปี 1990
การปรับปรุงสถาปัตยกรรมเครือข่ายให้ทันสมัยหมายความว่า SBA สามารถอัปเกรดจากโมเดลปี 1990 ซึ่ง Cavallo เรียกว่าโมเดล “ฮับและสปีค” เขากล่าวว่าภายใต้สถาปัตยกรรมปัจจุบันนี้ เครือข่ายบริเวณกว้างมีความปลอดภัยและเสถียรน้อยกว่า เพราะหากฮับใดฮับหนึ่งออฟไลน์ ซี่ห้าหรือหกซี่ที่เชื่อมต่ออยู่ก็จะออฟไลน์ไปด้วย
ภายใต้แนวทางใหม่นี้ Cavallo กล่าวว่าสำนักงาน SBA ทุกแห่งจะเป็นศูนย์กลางของตนเอง ดังนั้นการหยุดทำงานของอินเทอร์เน็ตจะไม่ส่งผลกระทบในวงกว้างเหมือนกับที่เป็นอยู่ในปัจจุบัน เป้าหมายอื่น ๆ Cavallo กล่าวว่าคือการขยับเข้าใกล้การสร้างบทบาทและความรับผิดชอบสำหรับพนักงานและผู้รับเหมาที่ใช้เครือข่ายของ SBAด้วยแนวคิด Zero trust องค์กรต่างๆ จะมีความเข้าใจที่ดีขึ้นว่าใครอยู่ในเครือข่ายและเข้าถึงอะไรได้บ้างในแง่ของข้อมูลและระบบ สภาCIO และหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลตลอดจน DHS ผ่านกรณีการใช้งาน TIC 3.0กำลังผลักดันแนวคิดของการไม่ไว้วางใจเป็นศูนย์ทั่วทั้งรัฐบาล
ในขณะเดียวกัน SBA ได้เข้าร่วมหน่วยงานหลายแห่ง รวมถึงกองทัพอากาศ หน่วยงานระบบข้อมูลกลาโหม และอื่นๆ ในการนำร่องแนวคิดเกี่ยวกับความไว้วางใจเป็นศูนย์
นอกจากนี้ National Institute of Standards and Technology ยังกำลังแก้ไขคำแนะนำเรื่อง Zero Trust Special Publication 800-207 อีกด้วย สก็อตต์ โรส นักวิทยาศาสตร์คอมพิวเตอร์ของ NIST กล่าวว่าเอกสารเผยแพร่นี้มีขึ้นเพื่อช่วยสร้าง “กรอบแนวคิด” สำหรับหน่วยงานและผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เพื่อใช้หลักการไว้วางใจเป็นศูนย์ภายในองค์กรของตน ทั้งในโครงสร้างพื้นฐานเครือข่ายและวิธีการดำเนินการจริง
