TN Nota: El manejo imprudente de los datos por parte de los supuestos “expertos” ha sido expuesto, pero difícilmente remediado. Las fugas de datos (es decir, los piratas informáticos) no son la principal preocupación de los tecnócratas, porque no importa qué pequeña porción se filtre, ellos razonan que todavía tienen los datos originales completos que solo pueden ser analizados por ellos mismos.
El Departamento de Seguridad Nacional está ejecutando cientos de bases de datos confidenciales y de alto secreto sin la autorización adecuada, dejando a la agencia insegura de si puede "proteger la información confidencial" de los ataques cibernéticos.
An auditoría publicado públicamente el jueves por el inspector general encontró múltiples áreas de debilidades dentro de los programas de seguridad de la información de la agencia.
Específicamente, el departamento opera sistemas 136 "sensibles pero no clasificados", "Secretos" y "Top Secret" con "autoridades expiradas para operar".
"A partir de junio 2015, DHS tenía sistemas 17 clasificados como 'Secreto' o 'Alto Secreto' operando sin [las autoridades para operar] ATO", dijo el inspector general. "Sin ATO, el DHS no puede garantizar que sus sistemas estén debidamente protegidos para proteger la información confidencial almacenada y procesada en ellos".
Liderando las agencias que operan bases de datos no seguras estaba la Guardia Costera con 26, seguida por la Agencia Federal de Manejo de Emergencias con 25 y la Aduana y Protección de Fronteras con 14.
La sede del Departamento de Seguridad Nacional está operando 11, y la Administración de Seguridad del Transporte está ejecutando sistemas sensibles o secretos 10 con autorizaciones caducadas.
La auditoría también encontró que faltaban parches de seguridad para computadoras, navegadores de Internet y bases de datos, y las contraseñas débiles dejaban vulnerable la seguridad de la información de la agencia.
"Encontramos vulnerabilidades adicionales con respecto al software Adobe Acrobat, Adobe Reader y Oracle Java en las estaciones de trabajo Windows 7", dijo el inspector general. "Si se explotan, estas vulnerabilidades podrían permitir el acceso no autorizado a los datos del DHS".
La revisión, que fue ordenada por la Ley Federal de Modernización de la Seguridad de la Información de 2014, encontró que los sitios web internos también eran susceptibles a ataques de "clickjacking" y "vulnerabilidades entre sitios y entre marcos".
"Las vulnerabilidades de cross-site y cross-frame scripting permiten a los atacantes inyectar código malicioso en sitios web benignos", dijo el inspector general. "Un ataque de clickjacking engaña a una víctima para que interactúe con elementos específicos de un sitio web objetivo sin el conocimiento del usuario, ejecutando una funcionalidad privilegiada en nombre de la víctima".
wpDiscuz