ביקורת חדשה של משרד האחריות של ממשלת ארה"ב (GAO) מצאה שלמרות התקדמות ניכרת, המחלקות הפדרליות עדיין מתמודדות עם חסמים מהותיים ליישום אסטרטגיות כוח אדם יעילות, במיוחד באבטחת סייבר, תחום שהוא מרכזי בשמירה על מערכות IT פדרליות. הביקורת מדגישה שהטיפול באתגרי הפרטיות, האימות והאבטחה קשורה קשר בל יינתק לניהול יעיל של כוח עבודה פדרלי אבטחת סייבר.
דוח הביקורת של GAO,כוח העבודה של אבטחת סייבר: מחלקות צריכות ליישם באופן מלא שיטות מפתח, מדגיש שכוח עבודה מיומן בתחום אבטחת סייבר חיוני לשמירה על פרטיות והגנה על נתונים פדרליים רגישים. הוא אומר שסיכוני הפרטיות מוחמרים על ידי פערי מיומנויות וחוסר היכולת לשמור על מאגר כשרונות עקבי בתוך המחלקות הפדרליות. GAO הדגיש כי למחלקות כמו מחלקות המסחר, הבריאות ושירותי האנוש, ולענייני ותיקים (VA) אין אסטרטגיות מקיפות להתמודדות עם אתגרים אלו.
GAO הציע 23 המלצות שמטרתן לסייע למחלקות הפדרליות ליישם באופן מלא נהלי כוח אדם ולשפר את תהליכי ההערכה שלהם. חלק מהמחלקות הסכימו עם ההמלצות, בעוד שאחרות הסכימו חלקית או לא הגיבו. הדוח מגיע למסקנה שעד לאימוץ כל הפרקטיקות המומלצות, השגת כוח אדם מיומן וחוסן בתחום אבטחת סייבר תישאר אתגר.
בעוד שהמשרד לביטחון המולדת (DHS) משמש מודל לשיטות עבודה מומלצות, היישום הלא אחיד במחלקות פדרליות אחרות מדגיש את הצורך ברפורמות דחופות, כך מצא הביקורת. על ידי אימוץ ההמלצות של GAO, סוכנויות פדרליות יכולות לגשר על פערי כוח אדם, לשפר את האבטחה ולהגן על הפרטיות של נתונים פדרליים רגישים. GAO אמר שהצעדים הללו הכרחיים כדי להבטיח שהממשלה הפדרלית מצוידת להגן מפני האיומים ההולכים וגדלים בנוף אבטחת הסייבר.
סוגיית פרטיות מרכזית טמונה בניהול נתוני כוח אדם. מחלקות מסתמכות על לוחות מחוונים, כגון לוח המחוונים של Cyber Workforce שפותח על ידי המשרד לניהול כוח אדם (OPM), כדי לנתח ולהקרין דרישות כוח אדם. עם זאת, פערים באיסוף וניתוח נתונים פוגעים בחיזוי מדויק של צורכי כוח אדם וביכולת לטפל בפרצות בהגנה על נתונים. ללא מסגרות ממשל נתונים קפדניות, נתוני עובדים ומערכת רגישים נשארים בסיכון, פגיעה לא רק בפרטיות אלא בשלמות הפעולות הפדרליות.
"רוב המחלקות שנבחרו דיווחו כי לא יישמו במלואן את כל 15 הפרקטיקות, בין היתר, בשל ניהול כוח העבודה שלהם בתחום אבטחת הסייבר ברמת הרכיבים ולא ברמת המחלקה, כפי שכוונת OPM", דיווח GAO, וציין כי "עד המחלקות מיישמות את הפרקטיקות הללו, סביר להניח שהן יאתגרו בכוח העבודה של אבטחת סייבר עם הכישורים הדרושים כדי להגן על מערכות IT פדרליות ולאפשר את פונקציות יומיומיות".
אימות, היבט בסיסי של אבטחת סייבר, מושפע ישירות מהמומחיות של כוח העבודה באבטחת הסייבר. דוח הביקורת של GAO מדגיש פערים משמעותיים בהכשרה ובמוכנות בתחום זה. GAO אמר שרוב המחלקות הפדרליות לא מצליחות לבצע ניתוחים מספקים של מיומנויות וכישורים, מה שמפריע ליכולתן לזהות ולמלא פערים הקשורים לטכנולוגיות אימות.
מערכות אימות חזקות רק כמו אנשי המקצוע שמתכננים ומתחזקים אותן. כאשר סוכנויות פדרליות כמו DHS מיישמות ממשל חזק ותוכניות הכשרה, הן הצליחו למלא תפקידים קריטיים רבים הקשורים לאימות, אמר GAO.
לעומת זאת, מחלקות אחרות, כמו משרד האוצר וה-VA, פיגרו בפיתוח תוכניות כוח אדם הכוללות הכשרה מקיפה בטכנולוגיות אימות. פער זה מגלה את הצורך בגישה כלל-מחלקה לטיפול במחסור במיומנויות, במיוחד במסגרות אימות מתפתחות כמו מערכות ביומטריות וארכיטקטורות אפס אמון.
תקלות אבטחה במערכות פדרליות קשורות לעתים קרובות לחוסר התאמה בתכנון וביצוע כוח העבודה. GAO זיהה שאף אחת מהמחלקות המוערכות לא יישמה במלואה תוכנית פעולה לכוח העבודה של אבטחת סייבר, הכוללת מדדים למדידת התקדמות בשיפור יכולות האבטחה. החסרונות הללו יוצרים נקודות תורפה במערכות פדרליות, שעלולות לחשוף אותן להתקפות סייבר, פרצות מידע ואיומי אבטחה אחרים.
DHS התגלה כמובילה בתכנון כוח אדם, תוך יישום 14 מתוך 15 שיטות העבודה המומלצות שזוהו. GAO אמר כי הצלחת DHS מיוחסת למודל ממשל מרכזי ואסטרטגיות תקשורת חזקות המבטיחות התאמה בין מרכיבי המחלקה. מחלקות אחרות, לעומת זאת, נאבקו בשל תכנון מבוזר ומנגנוני ניטור מספיקים. גישה מפורקת זו מונעת זיהוי בזמן של סיכוני אבטחה ומערערת את המאמצים הפדרליים לחזק את עמדת הגנת הסייבר שלה.
כדי להתמודד עם אתגרים אלה, GAO סיפקה המלצות בר-פעולה שמטרתן לשפר את הפרטיות, האימות והאבטחה בכוח העבודה של אבטחת הסייבר. ההמלצות העיקריות כוללות:
ממשל מרכזי: המחלקות נקראות לאמץ גישה ריכוזית לתכנון כוח אדם. זה כרוך בפיתוח אסטרטגיות כלל-מחלקה שמתיישרות עם יעדי אבטחת סייבר פדרליים, תוך התייחסות לפרטיות ואבטחה בצורה הוליסטית.
ניתוח כוח אדם משופר: שימוש יעיל בלוחות מחוונים של נתונים ובכלים אנליטיים כדי לחזות היצע וביקוש של כוח אדם הוא חיוני. על ידי זיהוי פערים בזמן אמת, מחלקות יכולות לטפל באופן יזום בפרצות בפרטיות ובאבטחה.
הדרכה ופיתוח: השקעות בהכשרה מיוחדת לאנשי אבטחת סייבר בתחומים כמו טכנולוגיות אימות וניהול פרטיות הן קריטיות. יוזמות אלה צריכות להיות מתוכננות כך שיתפתחו עם איומים וטכנולוגיות מתעוררים.
ניטור והערכה: המחלקות חייבות להקים מדדים ומסגרות הערכה כדי למדוד את הצלחת אסטרטגיות כוח העבודה שלהן. הערכות קבועות של יעילות כוח העבודה יאפשרו תיקוני קורס בזמן ויסייעו לקיים שיפורי אבטחה.
שיתוף פעולה בין סוכנויות: גישה שיתופית לגיוס ושימור יכולה לצמצם אתגרים כמו פערי שכר ותחרות עם המגזר הפרטי. GAO אמר כי יוזמות משותפות כמו תוכנית הנתיבים הפדרלית להעסקת בוגרים טריים יכולות להרחיב את מאגר הכישרונות.
נושאי מאמר
|||||
