L'ex capo della sicurezza informatica DHS punta dito al Congresso

Garcia ha menzionato otto comitati del Congresso che hanno responsabilità per una parte della politica di cibersicurezza, e ha invitato la leadership del Congresso a coordinare gli sforzi di sicurezza informatica. Alcuni comitati stanno spingendo per una maggiore responsabilità di cybersecurity al di fuori del DHS, mentre altre commissioni stanno resistendo ai cambiamenti, ha detto durante una conferenza stampa.

[Ulteriori letture: Come rimuovere il malware dal PC Windows]

I leader del Congresso "devono riunisci i loro comitati, li fai sedere intorno al tavolo … e assicurati che tutti capiscano qual è la loro giurisdizione, qual è la loro responsabilità e quali sono le lacune politiche ", ha detto Garcia. "Avere un processo coordinato, guidato dalla leadership, piuttosto che lasciare che tutti questi comitati vadano freelance con la loro prossima grande idea."

Se una commissione sta premendo per il Dipartimento di Giustizia degli Stati Uniti per avere più autorità e un secondo sta premendo per Il DHS ha più autorità, "non stiamo facendo progressi, stiamo per sparpagliare", ha aggiunto Garcia.

Il tempo di Garcia al DHS è stato caratterizzato dall'ipercritismo da parte di un Congresso controllato dall'Agenzia democratico, con la sua leadership nominata dall'ex presidente repubblicano George Bush, ha detto. C'erano anche problemi di gestione significativi al DHS, in parte perché l'agenzia aveva solo sei anni, ha detto Garcia, ma un grosso problema era che i dirigenti delle agenzie erano sensibili alle critiche del Congresso, e non lasciava che gli impiegati di livello inferiore prendessero le decisioni che avevano

"Le decisioni sono state prese a livello politico, non a livello di funzionari pubblici", ha detto.

Alcune delle critiche del Congresso al DHS sembravano "ciniche", ha aggiunto Garcia, ora presidente di Garcia Strategies, un gruppo di consulenza.

I rappresentanti del Comitato per la sicurezza interna della Camera dei Rappresentanti degli Stati Uniti non hanno immediatamente risposto a una richiesta di reazione ai commenti di Garcia. Il comitato della Camera ha ospitato diverse udienze incentrate sulla sicurezza informatica negli ultimi anni.

Le critiche di Garcia riguardo al processo di policy sulla sicurezza informatica sono arrivate due giorni dopo che l'Ufficio per la responsabilità del governo degli Stati Uniti (GAO) ha pubblicato un rapporto che afferma che i sistemi informatici federali restano vulnerabili a una varietà di attacchi informatici

Gli audit di sicurezza "hanno identificato debolezze significative nei controlli di sicurezza sui sistemi di informazione federali, con conseguenti vulnerabilità pervasive", afferma il rapporto GAO. "Il GAO ha individuato punti deboli in tutte le principali categorie di controlli di sicurezza delle informazioni presso le agenzie federali".

Nel corso del 2008, i controlli hanno rilevato carenze nei controlli di sicurezza delle informazioni in 23 delle 24 principali agenzie statunitensi. Le agenzie non hanno costantemente autenticato gli utenti per impedire l'accesso non autorizzato ai sistemi; non crittografare i dati sensibili; e non ha registrato e monitorato eventi rilevanti per la sicurezza, ha detto il GAO. Le agenzie non sono riuscite ad attuare pienamente i programmi di sicurezza delle informazioni, afferma il rapporto.

Chiesto a cosa il Congresso possa fare per aiutare le società private a proteggersi meglio, Garcia e Alan Kessler, presidente del fornitore di protezione dalle intrusioni TippingPoint, si sono chiesti se le nuove normative sarebbero state produttive.

Molte grandi aziende dovrebbero avere incentivi sufficienti per proteggere i propri dati, ha affermato Kessler. "Non sono sicuro che regolamentazioni o ammenda costringeranno necessariamente i consigli di amministrazione oi dirigenti IT senior", ha affermato. "Possono perdere tutto con una vulnerabilità."

Tuttavia, il Congresso potrebbe essere in grado di creare incentivi per le medie imprese che non dispongono delle risorse per affrontare adeguatamente la sicurezza informatica, ha aggiunto Kessler.

Garcia si è anche chiesto se i nuovi regolamenti sarebbero efficaci, ma ha avvertito che potrebbero venire. Alcune industrie statunitensi continuano a non prendere abbastanza sul serio la sicurezza informatica, ha affermato. "Ci può essere un momento in cui il Congresso si stanca … e dichiarerà il fallimento del mercato e regolerà", ha detto.