EE.UU. busca reducir el riesgo cibernético con nuevas estrategias métricas. La Administración de Servicios Generales y el Departamento de Energía están tomando dos caminos diferentes para lograr el mismo objetivo: reducir el riesgo cibernético. GSA está utilizando el poder de su cartera de compras. La energía está evaluando qué inversiones en personas, procesos o tecnologías reducirán su puntaje de riesgo.
Antilavadodedinero / Federalnewsnetwork
Emery Csulak, director de seguridad de la información de Energy, dijo que aunque esta discusión sobre la reducción del riesgo cibernético no es nueva, las agencias tienen una mejor comprensión de cómo mitigar y gestionar estos desafíos.
“Estamos tratando de cambiar esa conversación. Estamos tratando de descubrir la mejor manera de aplicar la gestión cuantificada de riesgos. ¿Cómo podemos evaluar si una inversión de $ 1 millón me dará un riesgo reducido de $ 1 millón para hacer un proyecto de modernización o me dará una reducción de riesgo de $ 30,000?
Debes poder tener esas conversaciones ”, dijo Csulak durante la reciente conferencia 930Gov, que fue un evento Live Ask the CIO . “En Energy, estamos viendo cómo históricamente hemos pasado mucho tiempo enseñando al CFO o COO sobre cómo hablamos sobre seguridad de TI, pero apenas hemos arañado la superficie de enseñarle a la gente de seguridad cómo hablar dólares, centavos , probabilidades y la exposición de eso. Estamos adoptando la gestión cuantificada de riesgos ”.
GSA está cuantificando la gestión de riesgos de una manera diferente, a través de la seguridad de la cadena de suministro. A principios de este verano, GSA anunció que estaba pensando en dejar de ofrecer productos renovados o usados a través del cronograma.
Emitió una solicitud de comentarios durante el verano, pero en la reciente actualización de mover números de artículos especiales (SIN) a los códigos de los Sistemas de Clasificación Industrial de América del Norte (NAICS), la lista de productos usados o renovados siguió siendo parte del esfuerzo.
Asegurar compras de horario
Aún así, Larry Hale, director de la Subcategoría de Seguridad de TI para el Servicio Federal de Adquisiciones de GSA, dijo que hay muchos pasos que la agencia está tomando para garantizar que los productos que las agencias compran de acuerdo al cronograma sean seguros y confiables.
“Hay pasos que los clientes deben tomar para asegurarse de comprar a revendedores y revendedores autorizados. Cuando un fabricante no vende directamente al gobierno, generalmente tienen revendedores con licencia y yo recomendaría a las agencias federales que utilicen esos revendedores con licencia para reducir el riesgo de obtener productos falsificados o del mercado gris.
Buscamos activamente informes de tecnologías falsificadas en los productos que las personas compran a GSA. Cuando descubrimos que los vendedores están vendiendo productos falsificados, tomamos medidas contra ellos. Los quitamos del horario. Los cerramos. Involucramos a la policía cuando sea apropiado «.
Junto con eso, Hale dijo que GSA está trabajando con el Instituto Nacional de Estándares y Tecnología y el Departamento de Defensa en iniciativas de gestión de riesgos de la cadena de suministro.
GSA también está trabajando en los requisitos de la Ley de Tecnología Segura, que otorgó a la agencia funciones específicas en el Consejo Federal de Seguridad de Adquisiciones y la garantía de que los productos que deben excluirse se eliminen de los contratos gubernamentales.
“Las agencias necesitan hacer un análisis de gestión de riesgos y determinar a qué están dispuestas a exponerse en términos de la procedencia de los equipos que van a instalar en ciertos sistemas. El uso del sistema puede determinar si están dispuestos a pagar una prima por los sistemas específicos del fabricante del equipo original con controles de seguridad específicos o si están haciendo algo de rutina con una exposición de seguridad limitada y les gustaría ahorrar dinero ”, dijo Hale.
“Eso es emblemático del tipo de pensamiento que necesita entrar en una adquisición bien planificada, y eso no es lo que siempre tiene lugar. Muy a menudo, la presión es ‘Lo necesito rápido y lo necesito barato’, por lo que encuentran el distribuidor que les da lo que necesitan al precio más bajo posible.
Un proceso mas robusto
Comprender los riesgos de adquisición es parte del cálculo que Csulak está tratando de lograr que haga una sección más amplia de Energía.
Csulak dijo que Energy adjudicó un contrato recientemente para hacer específicamente las evaluaciones de la cadena de suministro que se incorporarán al proceso de adquisición.
«Esto creará un proceso mucho más robusto de incorporar elementos internos y externos para tomar decisiones de producto más informadas», dijo.
«Estamos trabajando estrechamente con las adquisiciones para decir, ‘si esta es una ruta crítica o información esencial, ¿cómo hacemos esa evaluación?’ tenemos un proceso y lo estamos refinando ahora, y básicamente cualquiera de nuestras principales inversiones pasaría por ese análisis para ver si esos proveedores de la cadena de suministro están cumpliendo nuestras expectativas «.
Csulak dijo que la capacidad de cuantificar el riesgo ya está ocurriendo hoy, ya sea a través del proceso de adquisición o de las juntas de revisión de inversiones. Pero, dijo, con demasiada frecuencia las decisiones no son las mejores y en su mayoría uniformadas.
“Podemos comenzar a pensar de manera más inteligente sobre cómo tomamos decisiones. Si queremos hablar sobre la cadena de suministro o sobre hacer inversiones en big data o inteligencia artificial, tenemos que decir ‘según el valor de los datos que estamos protegiendo y el riesgo para la seguridad nacional, veamos qué hacen y tienen esas inversiones discusiones más significativas ‘”, dijo.
«Lo que estamos viendo este año es cómo podemos tomar decisiones más inteligentes y mejores en lugar de simplemente tener sentimientos viscerales o argumentos de marketing o un consenso general en la sala de que es una buena idea».
Con ese fin, Energy está analizando sus inversiones, incluida la nube, y revisando las razones o factores que tomaron la decisión.
«Hicimos una gran encuesta de mercado de los principales proveedores en esto», dijo. “Estamos tratando de decir ¿podemos poner un valor en dólares y una probabilidad al riesgo? Esas son las dos cosas clave.
¿Podemos cuantificar nuestra resistencia resistencia? ¿Podemos aportar ideas nuevas o novedosas, como las pruebas de penetración de origen público para ayudarnos a desarrollar nuestra medida de defensa? Se trata de cambiar la rúbrica de cómo hablamos de riesgo. Todavía estamos en la sesión de la infancia de pilotos y encontramos ejemplos que realmente nos hablan «.
