OIG: La pobre ciberseguridad de la NASA es una amenaza operacional.

Los inspectores de seguridad han descubierto graves deficiencias en el programa de seguridad de la información de la NASA que, según ellos, podrían amenazar las operaciones.

Los hallazgos provienen de la última revisión realizada por la Oficina de Inspección General (OIG) de la agencia espacial para el año fiscal 2018, conforme a la Ley Federal de Modernización de la Seguridad de la Información de 2014 (FISMA).

La OIG probó la madurez del programa infosec de la NASA a través de 61 métricas en cinco áreas de funciones de seguridad más un subconjunto de sistemas de TI. Esto implicó probar los sistemas contra la documentación de seguridad correspondiente y entrevistar a los propietarios de sistemas de información y al personal de seguridad.

Desafortunadamente, el informe evaluó el programa de ciberseguridad de la NASA en el Nivel 2 (Definido) por segundo año consecutivo, muy por debajo del Nivel 4 (Administrado y Medible) requerido por la Oficina de Administración y Presupuesto para ser juzgado como efectivo.

Los inspectores también señalaron dos problemas graves: datos faltantes, incompletos e inexactos en los planes de seguridad del sistema y las evaluaciones de control no realizadas de manera oportuna.

“Consideramos que el problema de los datos faltantes, incompletos e inexactos del plan de seguridad de la información es un indicador de una deficiencia de control continua que hemos identificado en las revisiones recientes de la OIG de la NASA”, explicó el inspector general adjunto para auditorías, Jim Morrison, en una carta a CIO de la NASA, Renee Wynn.

“Del mismo modo, el desempeño inoportuno de las evaluaciones de control de seguridad de la información podría indicar deficiencias de control y posiblemente amenazas importantes para las operaciones de la NASA, lo que podría afectar la capacidad de la agencia para proteger la confidencialidad, integridad y disponibilidad de sus datos, sistemas y redes”.

La noticia es preocupante, dada la disposición de los piratas informáticos de los estados nacionales para perseguir la confidencialidad de la propiedad intelectual del gobierno, lo que podría afectar la seguridad nacional.

Sin embargo, no es la primera vez: la agencia recibió un informe de calificaciones aún peor en 2010 cuando la OIG inspeccionó.

El año pasado, la NASA también reveló que un servidor que contenía números de la Seguridad Social y otros datos de identidad de empleados actuales y anteriores podría haber sido comprometido.

Más información

#HablemosDeSeguridad

Vía @infosecurityMag

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Puedes usar estas etiquetas y atributos HTML:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>