Artículo: Las agencias federales siguen careciendo de las prácticas de higiene cibernética fuertes. 

https://goo.gl/M9WImg

Traducción Google:

Un nuevo estudio de encuesta que muestra cómo las agencias federales y sus contratistas que todavía no tienen una sólida comprensión de las prácticas de seguridad cibernética adecuados fue puesto en libertad, irónicamente, sólo días después de que el contratista externo contratado para fortificar los EE.UU. Oficina de Administración de Personal de (OPM) sistemas de repente dejar de fumar hasta la mitad a través del trabajo.

El estudio conjunto, realizado en marzo por la educación y la seguridad cibernética entidad de certificación (ISC) 2y la firma de servicios profesionalesKPMG , buscó las opiniones de 54 directivos cibernéticos en el gobierno federal de Estados Unidos, ya sea trabajando como empleados de la agencia o contratistas. «El Estado de seguridad cibernética de la cibernética Perspectiva Ejecutivo Federal» informe de investigación encontró que el 40 por ciento de los encuestados dijo que el plan de respuesta a incidentes de su agencia no era eficaz para responder a los ataques cibernéticos, incluso después de la violación de los datos de la OPM en junio el año 2015 que expuso a 21,5 millones de discos y generado pedidos para barrer las reformas de seguridad.

Por otra parte, el 52 por ciento de los encuestados opinó que que los de Cyber ​​Sprint mecanismos puestos en marcha por el gobierno federal CIO Tony Scott – la intención de poner en práctica rápidamente varios procedimientos de seguridad cibernética de alta prioridad en la estela de la violación de la OPM – no mejoró la seguridad general de los sistemas de información federales . Tal vez peor, el 25 por ciento de los encuestados dijo que su agencia no hizo cambios a raíz de la violación (aunque el 35 por ciento dijo que el incumplimiento dio lugar a un mayor énfasis en las diversas medidas preventivas, tales como la autenticación de múltiples factores).

Los hallazgos aparecen trasluchar con los informes de este mes que con sede en Virginia Arlington, Imperatis Corporation, un contratista externo contratado para endurecer ciberdefensas de OPM, abandonó el proyecto. De acuerdo con un informe de Nextgov , la OPM afirma que los empleados Imperatis dejaron de presentarse a trabajar en mayo, las operaciones sobre contrato de $ 20 millones de habitantes de la empresa el cesar de manera efectiva debido a «dificultades financieras». El portavoz de la OPM Sam Schumach también dijo en el artículo que el retroceso haría tiene «muy poco impacto en las operaciones actuales de la OPM,» teniendo en cuenta que el contrato fue programado para terminar en junio de todos modos.

En una actualización de la historia, Imperatis respondió a Nextgov, la emisión de una declaración que decía: «La compañía confía en que a medida que todos los hechos están a disposición del público, que se contradicen por completo la caracterización errónea de los resultados de la compañía que se informa en este momento. «

Otros resultados de (ISC) 2 informe en el que se veía más allá de la violación OPM fueron igualmente desalentador. Por ejemplo, el 59 por ciento de los encuestados de acuerdo en que su organismo en particular lucha por entender cómo los atacantes podrían potencialmente interceptar sus sistemas, mientras que el 40 por ciento dijo que sus organismos no eran plenamente conscientes de la ubicación de los activos clave que los hackers podrían robar, corromper o secuestrar. Y 60 por ciento no estuvo de acuerdo con la noción de que el gobierno federal en su conjunto actualmente tiene la capacidad de detectar ataques cibernéticos en curso.

Dan Waddell, CISSP y director general de (ISC 2 ) ‘s región de América del Norte, dijo que los ejecutivos de gobierno SCMagazine.com cibernéticos son claramente preocupado de que «los adversarios se mueven a velocidad de la luz, y porque el gobierno sigue siendo muy burocrático, y lleno de procesos y trámites burocráticos … muchas veces simplemente no pueden seguir el ritmo de los ataques «.

La principal de las causas que los encuestados se culpa por la falta de avance en la seguridad cibernética las agencias del gobierno era insuficiente financiación (65 por ciento), seguido por la falta de rendición de cuentas (48 por ciento) y la falta de comprensión (48 por ciento). En cuanto a la falta de financiación, Waddell fue cautelosamente optimista de que después de la elección presidencial, el Congreso será «darle a la gente de seguridad alguna autoridad para hacer [] decisiones de seguridad cibernética y desviar los recursos hacia eso.»

los empleados no TI también una amenaza porque no ven necesariamente el cumplimiento de la seguridad cibernética y las mejores prácticas como su responsabilidad personal. De hecho, el 42 por ciento de los encuestados dijo que la gente es actualmente el mayor vulnerabilidad a los ataques cibernéticos. Y mientras que el 91 por ciento de las personas preguntadas dijeron que sus departamentos de TI consideran la seguridad cibernética a ser una prioridad importante o muy importante, las cifras eran mucho menos optimista al dirigirse a otros departamentos (el 56 por ciento de HR, 56 por ciento para la compra y contratación, y el 41 por ciento para el público relaciones).

«Es necesario que haya cambio fundamental en la forma en que [agencias] entrenan todos los usuarios dentro de la agencia que la ciberseguridad es parte del trabajo de todos. Hasta que hagamos eso, aún vamos a ver a las agencias luchan para hacer frente «, dijo Waddell. «Las violaciones van a suceder, pero si todos están de acuerdo, vamos a minimizar una gran cantidad de daño y una gran cantidad de ese riesgo.»

Además de una mejor formación, el informe también recomienda que los organismos actualizar su software de detección de malware de las soluciones tradicionales basadas en firmas de soluciones predictivas, basadas en el comportamiento.

Waddell dice que se mueve hacia adelante, la clave es la práctica de la higiene cibernética sonido, todo el año, en lugar de reaccionar después de los hechos, al igual que con el incumplimiento de la OPM. «Si sólo vas a la doc cuando algo va mal, no está practicando la higiene básica», dijo Waddell. Y que visita al médico «va a ser muy doloroso.

The following two tabs change content below.
Consultor freelance de Ciberseguridad. Técnico Superior Informático en Desarrollo de Aplicaciones Multiplataforma y Perito Judicial Informático Forense inscrito con el nº 120 en la Asociación Profesional de Peritos de las Nuevas Tecnologías (PETEC). **Profesional del campo de la Informática desde el año 1988, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET. **En el campo de la pericial informática: * Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos. * Autentificación y Verificación de correos electrónicos. * Suplantación de identidad y verificación de mensajes en redes sociales. * Recuperación de datos de dispositivos de almacenamiento físicos. * Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral. * Fraudes informáticos y phising. ............ Radioaficionado desde hace más de 30 años y fotógrafo nocturno, disfrutando de la noche admirando el patrimonio nacional con otros ojos.