Immagine: Getty Images/iStockphoto
Un rapporto del revisore generale dell'Australia occidentale ha rilevato che alcuni ex dipendenti di enti statali avevano ancora accesso ai sistemi e alle apparecchiature IT nonostante la cessazione del rapporto di lavoro.
La scoperta è stata effettuata nell'ambito dell'ufficio del revisore dei conti. – Indagine del generale (OAG) sui controlli di uscita del personale in atto presso tre agenzie governative statali. L'audit [PDF] ha valutato se il Dipartimento per la pianificazione, il territorio e il patrimonio (DPLH), il Dipartimento delle finanze e il Dipartimento del governo locale, delle industrie sportive e culturali (DLGSC) hanno gestito in modo efficace ed efficiente l'uscita del personale per ridurre al minimo la sicurezza, asset e rischi finanziari.
L'audit ha riguardato il periodo dal 1° luglio 2019 al 31 dicembre 2020 con un campione di 30 dipendenti della DLGSC, 27 del DPLH e 26 del Finance, inclusi consulenti e appaltatori terzi, che hanno lasciato durante quel periodo.
Anche se il rapporto ha rilevato che tutte le entità hanno annullato l'accesso al sistema IT del personale in uscita, non sempre è stato fatto immediatamente. Secondo il rapporto, ci sono voluti dai due ai 161 giorni per disattivare o revocare l'accesso ai sistemi informativi dopo che il personale ha lasciato l'entità.
In Finance, OAG ha affermato che ci sono voluti dai sei ai 161 giorni per annullare l'accesso ai sistemi IT dopo l'ultimo giorno di lavoro. Il caso, durato 161 giorni, riguardava invece un distacco in cui l'ex dipendente ha continuato a svolgere un'attività lavorativa per conto dell'ente.
A parte questo caso, Finance ha impiegato, in media, sette giorni per annullare l'accesso ai sistemi IT, nonostante il suo framework di gestione della sicurezza notasse che l'accesso IT per il personale licenziato dovrebbe essere disabilitato l'ultimo giorno di lavoro.
Il DPLH non registra date specifiche in cui l'accesso IT viene cancellato, ma nell'esaminare le informazioni del registro di sistema, ove disponibili, OAG ha riscontrato cancellazioni tardive comprese tra uno e 124 giorni dopo la partenza dell'individuo.
Analogamente, il OAG ha affermato che la DLGSC non disponeva di informazioni sufficienti per determinare quando l'accesso ai sistemi IT fosse stato annullato per tutte le 30 persone nel suo campione di audit.
“I registri di sistema che mostrano le date di quando ciò si è verificato non sono stati registrati. In assenza di queste informazioni, abbiamo verificato se qualcuno degli individui avesse avuto accesso ai sistemi IT e abbiamo scoperto che 29 non hanno avuto accesso al sistema dopo che se ne sono andati”, afferma il rapporto. .
“Una persona ha effettuato l'accesso al sistema quattro giorni dopo la data di uscita.”
Il rapporto ha anche rilevato che DPLH e DLGSC mancavano entrambe di informazioni adeguate per dimostrare che i pass di accesso all'ufficio erano stati restituiti o disattivati per il 72% dell'ex personale campione. OAG ha affermato che al personale della DLGSC è stata addebitata una commissione di 12 AU$ per eventuali modifiche allo stato dei pass da parte dell'operatore privato che gestiva l'edificio ed è stato pertanto disincentivato a intraprendere il processo.
Tutti i pass di accesso sono stati annullati o disattivati. dopo che il personale ha lasciato le finanze, tuttavia per cinque dei 26 campioni, OAG ha affermato che la cancellazione dei pass non è stata tempestiva. Per quattro persone, OAG ha affermato che ci sono voluti dai sei ai 44 giorni. La persona distaccata ha avuto ancora accesso fisico all'edificio per i 116 giorni in cui ha continuato ad avere accesso ai sistemi.
Anche il processo di restituzione delle risorse presso le tre entità era sotto esame, con OAG che ha riscontrato che nessuna aveva un registro completo e facilmente accessibile di tutte le risorse, comprese le apparecchiature IT, fornite al personale.
Il rapporto affermava che OAG non era in grado di verificare se tutte le risorse informatiche erano state restituite a DPLH perché non vi erano registrazioni sufficienti di ciò che era stato rilasciato alle 27 persone del suo campione. Ha detto che 15 membri del personale erano partiti senza prove del ritorno del laptop. Si sapeva che solo due delle 27 persone avevano ricevuto un telefono, con prove che dimostravano che solo una era stata restituita.
Alla DLGSC, l'OAG ha trovato record di soli sei dipendenti dimessi nel suo campione di 30 relativi ai resi di laptop e Finance ha dimostrato che 19 dei 26 dipendenti del campione hanno restituito le proprie apparecchiature IT.
Per ridurre al minimo il rischio di accesso non autorizzato ai locali quando il personale lascia il personale, le entità consigliate da OAG mantengono un registro accurato di tutti i pass di accesso, inclusi resi e cancellazioni/disattivazioni, effettuano controlli regolari di tutti i pass attivi e assicurano che tutti i pass di accesso vengano restituiti quando il personale lascia.
L'OAG ha anche chiesto alle entità di garantire che l'accesso ai sistemi IT venga rimosso o disabilitato immediatamente quando il personale lascia. Ha inoltre chiesto alle entità di registrare chiaramente quando si è verificata la rimozione dell'accesso al sistema informatico e di mantenere un registro di tutti i beni rilasciati al personale all'inizio, durante l'assunzione e di ciò che viene restituito all'uscita.
Inoltre, alle entità è stato chiesto di ridurre al minimo il rischio di perdite finanziarie dovute a pagamenti in eccesso ai dipendenti licenziati, gestire meglio i rischi con diverse circostanze di cessazione del rapporto di lavoro e migliorare la comunicazione tra le funzioni aziendali responsabili delle uscite del personale.
ALTRO DALL'OVEST
Il revisore ha scoperto che la polizia di WA ha avuto accesso ai dati di SafeWA 3 volte e l'app era difettosa al momento del lancio La nuova strategia digitale “ambiziosa” dell'Australia occidentale per portarla fino al 2025328 punti deboli rilevati dal revisore generale del WA in 50 sistemi di governo locale12 anni dopo , l'audit rileva che le entità governative WA non ricevono ancora infosec
Argomenti correlati:
Australia Security TV Data Management CXO Data Center 