National Archives of Australia nyligen kom under kontroll från Australian National Audit Office (ANAO) för bristande säkerhet front där den federala regeringen ‘ s Top 4 riskreducerande strategier som var berörda.
Men medan riksarkivet är för närvarande arbetar sin väg genom införandet av ett it-beredskap. ram, generaldirektör David Fricker har frågor om Commonwealth enhetens förmåga att uppnå full efterlevnad och mäta efterlevnad i enlighet med detta.
“Jag är nöjd med den nivå av råd som vi får i termer av vad som krävs för att uppnå överensstämmelse, men jag är bekymrad över vår förmåga att uppnå överensstämmelse och även vår egen examen inom organisationen att själv bedöma att vi har nått överensstämmelse,” Fricker berättade den Gemensamma Kommittén för Offentliga Räkenskaper och Revision på torsdag.
Samtidigt som han medgav att enkelt genomföra Väsentliga Åtta-vilket är en regering-uppdrag förlängning av Topp 4-borde eliminera de flesta av de risker som hans organ skulle möta, Fricker är också cognizant av behovet av att inte låta slå sig till ro.
“Det finns fortfarande en oro för att, om vi läser alltför bokstavligt som om råd, vi tenderar att missa några större tekniska sårbarheter och sedan fortsätter vi lyckligt tänker vi är kompatibel, men vi är inte,” förklarade han.
“Jag tror att de råd vi fått är bra, men jag tror att den större poängen är att med självutvärdering och beroendet av enskilda myndigheter, var och en med en ojämn förmåga och en ojämn teknisk kunskap, vi kommer inte att uppnå en konsekvent motståndskraft för hela det brittiska Samväldet.
“Det finns alltid kommer att vara organ bland oss som representerar den svagare länken i kedjan … min oro är att detta kommer att fortsätta att vara en ‘bästa’ som svar. Jag har aldrig tro att vi är 100 procent kompatibel, eftersom jag tror att självbelåtenhet raser vanvård.”
Fricker sa att riksarkivet inte har ett system för certifiering av någon i organisationen för att korrekt bedöma it-risker, utan det har “it-proffs” som är “riktigt klarar av att driva och administrera nätverk”.
Han sade dock att de inte nödvändigtvis har specialistkunskap om it-säkerhet.
Detta blev tydligt när riksarkivet leds ner vitlista väg.
“Vi gör själva bedöma i Arkiven, men vi har gjort ett fel i tolkningen av riktlinjerna kring vitlistor, och som ett resultat av att vi förbisett ett område på vårt nätverk, som borde ha haft en vitlista genomföras” Fricker sagt.
“Under revisionen, det var erkänd som en bit av otydlighet i formuleringen av råd, men en mer kvalificerad person inom vår organisation skulle ha plockat upp den tvetydighet och svarade på det med en mycket djupare förståelse av risk-och karaktären av den risk.”
Svar till ANAO sond, riksarkivet har genomfört ett it-säkerhet motståndskraft ram, vilken byrå som biträdande generaldirektör it och CIO Yaso Arumugam sade innehåller en tre-år färdplan för att hjälpa den att få en “riktig it-motståndskraft hållning” som täcker de Grundläggande Åtta.
Hon sa att riksarkivet har också gjort framsteg sedan granskningen inleddes för att få till minst topp-fyra efterlevnaden under de närmaste månaderna.
När han tillfrågades av kommittén om budgetfrågor var hindrar riksarkivets aktualitet vid genomförandet av sådana åtgärder, Fricker bara svarade “Ja”.
RELATERADE TÄCKNING
Geovetenskap Australien för att vara Topp-4-kompatibel efter upptäckten av okänd skurk fil
Efter en dålig revision resultat och upptäckten av en skurk fil, regeringen enheten kommer att vara kompatibel med den nu ersatts Topp 4 riskreducerande strategier för it-säkerhet kommer 30 juni 2019.
ASD avslöjar regler för att hålla sårbarheter hemlighet
När Australien signals intelligence agency finner en it-säkerhet, sårbarhet, det avslöjar det, utom i några fall där det kan bidra till att uppfylla en “kritisk intelligens krav”.
5 sätt att upprätthålla företagets säkerhet (TechRepublic)
Det finns flera åtgärder som företag kan vidta för att förbättra de anställdas medvetenhet om säkerhet. Visa upp fem nedan.
Relaterade Ämnen:
Australien
Säkerhet-TV
Hantering Av Data
CXO
Datacenter