безопасности

Госструктуры Вашингтон призвали для укрепления их информационной безопасности и практики обеспечения непрерывности бизнеса в очередной раз после более чем на 40% учреждений не соответствует минимальным показателями.

В двенадцатый ежегодный аудит информационных систем, генеральный Ревизор Кэролайн Спенсер сказал, что два элемента управления кибербезопасности остались проблемные области для агентств, несмотря на незначительные улучшения в течение последних 12 месяцев.

“Информационная безопасность и непрерывность бизнеса показал небольшое улучшение, многие ведомства не соответствует эталону минимальных практика”, – сказала она.

“Это вызывает серьезную озабоченность, учитывая ценность личной и корпоративной информации организации”.

В докладе [формат PDF], выпущенный в понедельник, оценивается 50 агентств по отношению к шести элементов: информационной безопасности, непрерывности бизнеса, риск-менеджмента, ИТ, управление изменениями и физической безопасности.

Было выявлено незначительное снижение общего компьютерного управления вопросов в отношениях между 2018 и 2019, от 547 до 522, после роста годом ранее.

Наибольшее улучшение физической безопасности, которые увидели 13 точки прыжка до 89 процентов учреждений, с последующим “информзащиты”, который вырос на 10 пунктов до 57 процентов от агентств.

Это представляет в первый раз, что большинство учреждений выполнили тест аудитора для информационной безопасности, поскольку отчеты по аудиту началась в 2008 году.

Но, несмотря на это улучшение, в докладе говорится, что есть еще возможности для совершенствования, особенно по ИБ и непрерывности бизнеса, которые “продолжают оставаться проблемными вопросами”.

“Плохое управление в этих областях, оставьте систем и информацию уязвимыми для злоупотреблений и может повлиять на данные услуги, оказываемые населению”, говорится в докладе.

Недостатков по защите информации включают в себя “неадекватными или устаревшую” политику ИБ, бедный процессов в личности и уязвимостей, гибкий и слабый контроль пароль.

В одном экземпляре, Счетной палатой был в состоянии использовать уязвимости в системе финансирования того или иного ведомства, которые недавно мигрировали в облако, чтобы “получить привилегированный доступ ко всем функциям”. Система была также без соответствующих процедур аудита.

“В совокупности эти недостатки могут привести к человеку ненадо ввода и согласования счета на оплату, изменение реквизитов получателя средств на их личные банковские счета и обработки фиктивных журналов” аудит государства.

Робастное управление по обеспечению непрерывности бизнеса и аварийного восстановления также были выделены как особенно важные для решения риск крупных сбоев, вызванных эпидемий или стихийных бедствий.

Спенсер говорит, в то время как Агентства действительно улучшились, многие не уделяют достаточно быстро находить аудит, в результате в упорной слабости “во всех отраслях и организациях”

“Я считаю, что лица должны быть бдительными в защите своих личных и корпоративных данных, путем осуществления такого же уровня контроля, включая мониторинг и охрану, как и для других ценных активов, таких как наличные, счет в банке открыть и другие физические активы”, – сказала она.

Спенсер также сказал, что учреждения должны улучшить “управление аутсорсинговых ИТ-мероприятий”, чтобы убедиться, что аутсорсинг системы отвечают требованиям безопасности.

“Существа не были последовательно обеспечение систем, реализованных поставщиками оправдать ожидания вокруг стандартов безопасности, архитектуру и функциональность”, – сказала она.

“С глобальной тенденции к аутсорсингу ИТ-услуг, подразделения все более важную ответственность за обеспечение того, чтобы внешние поставщики услуг следовать лучшим практикам.”

Количество агентств, которые выполнили все общей системе компьютерного контроля увеличен с 13 до 15 в период между 2018 и 2019 годах.

Однако, только четыре из них демонстрирует хорошую практику во всех шести элементов: сайт landgate, Департамент премьер-министра и правительства, университет Кертин и гонки и Пари Вашингтон.

Аудитор

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here