What does a Cybersecurity Auditor Do? | Complete Career Series Cybersecurity
Sekuriti dan Sekuriti Suruhanjaya AS (SEC) telah mengambil langkah-langkah untuk meningkatkan keselamatan maklumatnya, tetapi masih belum diperbetulkan beberapa kelemahan yang dijumpai pada Februari 2008, menurut laporan juruaudit.
SEC, agensi yang mengawasi AS yang bergelut industri kewangan, telah membetulkan 18 dari 34 kelemahan keselamatan maklumat yang ditemui oleh Pejabat Akauntabiliti Kerajaan AS pada bulan Februari 2008, dan GAO telah mengenal pasti 23 kelemahan baru, katanya dalam satu laporan baru.
Kelemahan-kelemahan baru dalam kawalan yang bertujuan untuk menyekat akses kepada data dan sistem, dan kawalan lain "yang terus membahayakan kerahsiaan, integriti, dan ketersediaan maklumat kewangan dan sensitif SEC," kata GAO dalam laporannya yang dikeluarkan Selasa.
[Bacaan lanjut: Bagaimana untuk menghapuskan perisian hasad dari PC Windows Anda]Sebab utama kelemahan adalah bahawa SEC tidak sepenuhnya melancarkan program keselamatan maklumatnya, mengisi kekosongan untuk pegawai keselamatan maklumat kanan dan menguji keberkesanan kawalan keselamatan maklumat sepenuhnya, kata GAO. "Kelemahan ini mewakili kekurangan yang ketara dalam kawalan dalaman terhadap sistem maklumat dan data yang digunakan untuk pelaporan kewangan," kata laporan GAO.
SEC tidak selalu menguatkan tetapan kata laluan yang kuat pada pelayan pangkalan data perusahaannya, dan banyak pengguna yang dikongsi bersama akaun untuk memasukkan maklumat sistem pada aplikasi data perusahaan SEC utama, kata laporan GAO.
Kata laluan dalam teks biasa mungkin tersedia untuk pengguna yang tidak sah, laporan itu ditambahkan.
Selain itu, SEC tidak selalu menyulitkan sensitif maklumat, termasuk komunikasi antara komputer klien dan pelayan pangkalan data aplikasi kewangan utama, kata laporan itu.
SEC juga tidak selalu menyediakan pengauditan dan pemantauan yang mencukupi bagi pangkalan data perusahaan, dan ia tidak mengekalkan laluan audit lengkap aktiviti oleh pengguna dan aplikasi dalam pangkalan data
Sehingga kelemahan-kelemahan tersebut telah ditetapkan, "maklumat kewangan SEC akan kekal pada peningkatan risiko pendedahan, pengubahsuaian atau pemusnahan yang tidak dibenarkan, dan keputusan pengurusannya mungkin berdasarkan kepada tidak dapat dipercayai atau keselamatan. "Oleh kerana pada tahun-tahun sebelumnya SEC telah menangani banyak kelemahan keselamatan maklumat yang lebih umum, juruaudit semakin menumpu ulasan mereka pada set yang lebih sempit kawalan tahap yang lebih rendah," tulisnya dalam sambutan yang dimasukkan dalam laporan GAO.
SEC akan memberi tumpuan kepada pengesahan dan penyulitan ke hadapan, kata Schapiro.
Keamanan, Keamanan, Keamanan Lebih
Berita keselamatan didominasi minggu ini, dan itu pasti akan berlaku minggu depan juga, dengan Black Hat and Defcon ...
Kumpulan: Kerajaan Perlu Sediakan Insentif Cybersecurity
Perikatan Keselamatan Internet mengatakan kerajaan perlu menyediakan insentif untuk pelaburan swasta dalam keselamatan siber. Barack Obama perlu mengambil pendekatan baru untuk keselamatan siber, dengan kerajaan menyediakan insentif untuk perniagaan swasta untuk mengadopsi langkah-langkah keselamatan, kata kumpulan keamanan siber.
Perniagaan Perlu Sokongan Cybersecurity, Kongres Beritahu
Kerajaan harus menyediakan insentif, bukan mandat untuk menggalakkan perniagaan untuk melindungi infrastruktur, kata perunding. perlu mencari insentif bagi perniagaan swasta untuk mengamalkan amalan keselamatan siber yang lebih kukuh dan bukannya mewujudkan mandat baru, satu pakar keselamatan maklumat memberitahu satu jawatankuasa kecil kongres pada minggu lalu.