สำนักงานกระทรวงการต่างประเทศที่รับผิดชอบด้านความปลอดภัยในโลกไซเบอร์แทบไม่ได้ทำงานตามรายงานของ ผู้ตรวจการทั่วไป ที่เผยแพร่เมื่อสัปดาห์ที่แล้วรายงานระบุว่า Office of Information Assurance (IRM/IA) ของสำนักบริหารทรัพยากรสารสนเทศของแผนกมีปัญหาในด้านต่างๆ รวมถึงการจัดการความปลอดภัย และประสิทธิภาพการทำงานรายงานระบุเนื่องจากความต้องการการรักษาความปลอดภัยทางไซเบอร์ที่เข้มงวดมีมากขึ้น รายงานระบุว่าสำนักงานยังดำเนินการไม่เพียงพอที่จะเป็นไปตามมาตรฐานของแผนก
ค้นพบวิธีที่หน่วยงานต่างๆ ทั่วทั้งรัฐบาลใช้ระบบคลาวด์เพื่อพลิกโฉมบริการภาครัฐ
ตั้งแต่องค์กรไปจนถึงปลายทางในงาน 3 วันนี้ ลงทะเบียนวันนี้!“หน้าที่ส่วนใหญ่ดำเนินการโดยสำนักงานอื่น IRM/IA ยังทำงานได้ไม่เพียงพอ และอาจทำให้ระบบของแผนกมีความเสี่ยง IRM/IA ยอมรับว่าองค์ประกอบของแผนกอื่นๆ มีบทบาทมากขึ้นในการรักษาความปลอดภัยข้อมูล ทำให้ความเกี่ยวข้องของ IRM/IA ลดลง” รายงานระบุ
สำนักงานซึ่งก่อตั้งขึ้นในปี 2547 มีหน้าที่รับผิดชอบโครงการความปลอดภัยทางไซเบอร์ของรัฐและนโยบายการประกันข้อมูล
รายงานเสนอคำ แนะนำ32 ข้อ รวมถึงการประเมินองค์กร ตลอดจนการพัฒนาพันธกิจที่มีทั้งเป้าหมาย ระยะสั้นและระยะยาว รายงานระบุว่าสำนักงานไม่มีพันธกิจหรือเป้าหมายอย่างเป็นทางการในระหว่างการสอบสวน
แม้ว่าการมาถึงของหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลคนใหม่ วิลเลียม เลย์ ได้ปรับปรุงบรรยากาศของสำนักงาน แต่สำนักงาน IRM/IA ก็ไม่มีภาระงานเพียงพอที่จะปรับโครงสร้างองค์กรให้เหมาะสม ผู้สอบบัญชีพบว่า
“เนื่องจากการขาดการมีส่วนร่วมอย่างแข็งขันในความรับผิดชอบที่ระบุไว้หลายข้อ
การปรับตำแหน่งสำนักงาน IRM/IA ที่เสนอสำหรับตำแหน่งรองเพิ่มเติมและแผนกเพิ่มเติมหนึ่งแผนก ตลอดจนความต้องการแผนกปัจจุบันบางแผนกนั้นไม่ได้รับการพิสูจน์โดย ระดับของงานที่กำลังดำเนินการอยู่ มีความเป็นไปได้ของการทำงานซ้ำซ้อนระหว่าง IRM/IA และแผนกอื่นๆ” รายงานระบุ
สำนักงานมีความไม่สอดคล้องกันทั้งในด้านนโยบายและแนวปฏิบัติ ตามรายงาน ทำให้กระบวนการรับรองและรับประกัน (C&A) บางส่วนที่จัดการไม่มีประสิทธิภาพ การอนุญาตการดำเนินการของระบบจำนวนมากหมดอายุแล้ว
แม้ว่า IRM/IA จะเป็นสำนักงานหลักสำหรับ C&A แต่ก็รับผิดชอบเพียง 56 เปอร์เซ็นต์ของโปรแกรมของแผนกเท่านั้น ในหลายกรณี รายงานกล่าวว่า โปรแกรมเหล่านี้บางส่วนทำงานภายใต้การอนุญาตที่หมดอายุเป็นเวลาสองปีหรือมากกว่านั้น
“เมื่อถูกสอบถาม ฝ่ายบริหารของ IRM/IA ระบุว่าความรับผิดชอบในการให้สิทธิ์ระบบเสร็จสมบูรณ์นั้นขึ้นอยู่กับเจ้าของระบบ เจ้าของระบบมีหน้าที่รับผิดชอบในการกรอกเอกสารและการประเมินที่จำเป็น แต่ท้ายที่สุดแล้ว มันเป็นความรับผิดชอบของ CISO ในการตรวจสอบว่าการอนุญาตระบบได้ดำเนินการกับระบบของแผนกทั้งหมดตามหัวข้อ III ของพระราชบัญญัติรัฐบาลอิเล็กทรอนิกส์ปี 2002” รายงานระบุ .
