Auditor: US SEC ha bisogno di migliorare la sicurezza informatica

The La Securities and Exchange Commission (SEC) degli Stati Uniti ha adottato misure per migliorare la sicurezza delle informazioni, ma non ha ancora corretto diverse vulnerabilità riscontrate nel febbraio 2008, secondo la relazione di un auditor.

La SEC, l'agenzia che controlla gli Stati Uniti in difficoltà settore finanziario, ha corretto 18 delle 34 debolezze di sicurezza delle informazioni rilevate dall'Ufficio di responsabilità del governo degli Stati Uniti nel febbraio 2008 e il GAO ha identificato 23 nuove debolezze, ha detto in un nuovo rapporto.

I nuovi punti deboli sono nei controlli volti a limitare accesso a dati e sistemi e ad altri controlli "che continuano a mettere a repentaglio la riservatezza, l'integrità e la disponibilità delle informazioni finanziarie e sensibili della SEC", ha detto il GAO nel suo rapporto, pubblicato martedì.

[Ulteriori letture: Come per rimuovere il malware dal PC Windows]

Il motivo principale per i punti deboli è che la SEC non ha implementato completamente il suo programma di sicurezza delle informazioni, occupato un posto vacante per il responsabile della sicurezza delle informazioni e testato pienamente l'efficacia dei suoi controlli di sicurezza delle informazioni, ha detto il GAO. "Questi punti deboli rappresentano una significativa carenza nei controlli interni rispetto ai sistemi informativi e ai dati utilizzati per la rendicontazione finanziaria", afferma il rapporto del GAO.

La SEC non ha sempre applicato forti impostazioni di password sui suoi server di database aziendali e più utenti condivisi account per inserire le informazioni di sistema su un'importante applicazione di dati aziendali SEC, il rapporto GAO ha detto.

Le password in testo normale potrebbero essere disponibili per utenti non autorizzati, aggiunto il report.

Inoltre, la SEC non ha crittografato sempre le informazioni sensibili informazioni, comprese le comunicazioni tra i computer client e i server di database di un'applicazione finanziaria chiave, afferma il rapporto. Gli utenti che eseguivano l'autenticazione a un'applicazione di database enterprise chiave hanno anche inviato password non crittografate sulla rete.

SEC non ha sempre fornito un controllo e un monitoraggio adeguati dei database aziendali e non ha mantenuto tracce di controllo complete dell'attività degli utenti e delle applicazioni nel database applicazioni che erano rilevanti per la sicurezza, ha detto il rapporto GAO.

Fino a quando tali punti deboli non saranno corretti, le informazioni finanziarie della SEC rimarranno ad aumentato rischio di divulgazione, modifica o distruzione non autorizzate e le sue decisioni di gestione potrebbero essere basate su inaffidabilità o informazioni non accurate ", ha detto il rapporto GAO.

In risposta al rapporto, la presidentessa della SEC Mary Schapiro ha detto che l'agenzia generalmente concorda con le raccomandazioni del GAO.

Ma Schapiro ha anche detto che la SEC ha compiuto" continui progressi "verso il miglioramento delle informazioni sicurezza. "Perché negli anni precedenti la SEC aveva affrontato molte delle più comuni debolezze della sicurezza delle informazioni, i revisori hanno sempre più focalizzato le loro revisioni su un insieme più ristretto di controlli di livello relativamente basso", ha scritto in una risposta inclusa nel rapporto GAO. Il SEC si concentrerà sull'autenticazione e sulla crittografia in corso, scrisse Schapiro.