Il revisore generale dell'Australia occidentale ha segnalato 553 punti deboli dei sistemi IT a 59 enti governativi statali, affermando di essere “delusa”: solo il 50% di loro ha soddisfatto il punto di riferimento nella sicurezza delle informazioni.
Nell'ultimo rapporto del revisore generale [PDF], Information Systems Audit Report 2021 – State Government Entities, è stato rivelato che il 42% dei risultati effettuati quest'anno era stato precedentemente segnalato alle 59 entità.
“Uno Il modo in cui le entità possono rimanere vigili contro le minacce in rapida evoluzione ai sistemi informativi è affrontare prontamente i risultati degli audit”, ha affermato il revisore generale dello stato Caroline Spencer. “Scarsi controlli sulla sicurezza delle informazioni rendono i sistemi e le informazioni delle entità vulnerabili a un uso improprio e possono avere un impatto sui servizi critici forniti al pubblico.”
A 36 delle 59 entità sono state fornite valutazioni della maturità delle capacità ed è stato chiesto di autovalutare i propri controlli informatici generali.
Mentre le entità hanno migliorato i propri controlli in quattro delle sei categorie (continuità aziendale, operazioni IT, controllo delle modifiche e sicurezza fisica) e sono rimaste costanti nella gestione dei rischi IT, mentre sono tornate indietro nella categoria infosec .
“Continuiamo a trovare un gran numero di punti deboli che potrebbero compromettere la riservatezza, l'integrità e la disponibilità dei sistemi informativi. La sicurezza delle informazioni rimane la nostra principale area di preoccupazione”, afferma il 13° rapporto dell'Ufficio del revisore generale (OAG).< /p>
Valutazioni per i risultati generali del controllo del computer in ciascuna categoria di controllo
Immagine: OAG
Le 36 valutazioni hanno visto il livello di maturità delle entità tariffarie OAG nelle sei categorie, utilizzando un sistema di rating 0-5. Il livello 3, “definito”, è lo standard minimo che le entità sono tenute a soddisfare. Il 50% delle entità si è trovato valutato a livello 3 o superiore per infosec; 62% per la continuità aziendale; 78% per la gestione dei rischi informatici; 82% per le operazioni IT; L'85% per il controllo delle modifiche e la sicurezza fisica è stato il punteggio più alto, con il 91% delle entità che ha raggiunto il livello 3 o superiore.
“Il numero di entità che ha soddisfatto il nostro benchmark per la sicurezza delle informazioni è diminuito dal 57% nel 2018 Da -19 a 50% nel 2019-20. Continuiamo a vedere scarsi miglioramenti in questo spazio negli ultimi 13 anni”, afferma il rapporto.
I punti deboli comuni riscontrati includevano criteri di sicurezza delle informazioni inadeguati, gestione inefficace delle vulnerabilità tecniche, controlli di accesso inadeguati, privilegi di amministratore non gestiti correttamente, mancanza di controlli per la prevenzione della perdita di dati, segregazione di rete inappropriata, connettività del dispositivo non autorizzata, controlli di sicurezza del database deboli e controlli di sicurezza del cloud scadenti .
Alcune delle raccomandazioni fatte includono la richiesta ai manager esecutivi di infosec dello stato di garantire l'applicazione di patch e la gestione delle vulnerabilità, il rafforzamento e il controllo delle applicazioni e l'esistenza di passphrase/password efficaci e autenticazione a più fattori, nonché di implementare restrizioni sull'account amministratore, segregare le reti e prevenire dispositivi non autorizzati e infrastruttura cloud sicura, database, posta elettronica e archiviazione.
L'OAG vuole anche dare priorità al monitoraggio della sicurezza informatica, al rilevamento delle intrusioni e alla protezione dai malware.
I punti deboli comuni riscontrati nell'intestazione della continuità operativa erano la mancanza di pianificazione della continuità operativa, nessuna procedura di test di backup, piani di ripristino di emergenza IT inadeguati e la mancanza di test del piano di ripristino di emergenza.
La gestione dei problemi relativi ai rischi IT includeva processi inadeguati per identificare, valutare e trattare i rischi IT, nonché una mancanza di responsabilità. Per il controllo delle modifiche, i problemi comuni includevano la mancanza di processi di gestione delle modifiche formalizzati all'interno delle entità e, quando esistono, non venivano seguiti.
I punti deboli comuni delle operazioni IT, ha affermato l'OAG, includevano un fallimento rivedere le politiche e le procedure, processi di licenziamento del personale inadeguati, gestione delle risorse IT inefficace, mancanza di gestione delle prestazioni dei fornitori e inadeguatezza complessiva nel monitoraggio degli eventi.
Infine, i problemi con la sicurezza fisica tra le entità indagate includevano l'accesso illimitato alle sale server, i materiali combustibili immagazzinati nelle sale server e la mancanza di sistemi antincendio in atto.
Data#3, un fornitore di IT all'iniziativa GovNext-ICT dell'intero governo dello stato, nel frattempo si è impegnata ad aiutare le entità WA con la sicurezza, lanciando il progetto Fortify.
Il progetto Fortify, supportato dall'Ufficio del governo digitale e dal Dipartimento delle finanze, mira ad assistere gli enti statali con operazioni di sicurezza, conformità a Essential 8 e valutazioni dei rischi dei sistemi legacy.
“Questa è una grande opportunità per le agenzie con risorse limitate per accelerare la loro maturità in materia di sicurezza informatica e migliorare la resilienza del settore pubblico alle minacce informatiche”, ha affermato Peter Bouhlas, chief information security officer di WA presso l'Office of Digital Government.
Il finanziamento dell'iniziativa arriva tramite un Fondo per l'innovazione digitale, che è stato creato nell'ambito dell'accordo di licenza Microsoft del governo WA Data#3 raccolto nel 2019.
ALTRO DALL'OAG
328 punti deboli rilevati da Revisore generale WA in 50 sistemi di governo locale Il revisore generale WA rileva punti deboli di controllo in quattro applicazioni IT statali Il revisore dei conti WA rivela pratiche di sicurezza “riguardanti” all'interno del sistema di registro statale 12 anni dopo, l'audit rileva che le entità governative WA non ottengono ancora infosecWA governo per stabilire l'intero- del centro di sicurezza informatica del governo Il gruppo cinese APT Naikon ha preso di mira il governo dell'Australia occidentale
Argomenti correlati:
Australia Security TV Data Management CXO Data Centers 