Auditor: la SEC de EE. UU. Necesita mejorar la ciberseguridad

La SEC ha tomado medidas para mejorar la seguridad de su información, pero aún no ha corregido varias vulnerabilidades halladas en febrero de 2008, según un informe de un auditor.

La SEC, la agencia que supervisa los Estados Unidos. industria financiera, ha corregido 18 de 34 debilidades de seguridad de la información encontradas por la Oficina de Responsabilidad Gubernamental de los EE. UU. en febrero de 2008, y la GAO ha identificado 23 nuevas debilidades, dijo en un nuevo informe.

Las nuevas debilidades están en controles destinados a restringir acceso a datos y sistemas, y en otros controles "que continúan poniendo en peligro la confidencialidad, integridad y disponibilidad de la información financiera y sensible de la SEC", dijo la GAO en su informe, publicado el martes.

[Más información: cómo para eliminar el malware de su PC con Windows]

La razón principal de las debilidades es que la SEC no ha implementado completamente su programa de seguridad de la información, ha llenado una vacante de oficial de seguridad de la información y ha probado totalmente la efectividad de sus controles de seguridad de la información. dijo la GAO. "Estas debilidades representan una deficiencia significativa en los controles internos sobre los sistemas de información y los datos utilizados para los informes financieros", dijo el informe de la GAO.

La SEC no siempre aplicaba configuraciones de contraseñas sólidas en sus servidores de bases de datos empresariales, y varias personas compartían el usuario cuentas para ingresar información del sistema en una aplicación clave de datos empresariales SEC, dijo el informe de GAO.

Las contraseñas en texto plano pueden haber estado disponibles para usuarios no autorizados, agregó el informe.

Además, la SEC no siempre encripta información, incluidas las comunicaciones entre las computadoras cliente y los servidores de base de datos de una aplicación financiera clave, según el informe. Los usuarios que se autenticaban en una aplicación de base de datos también enviaban contraseñas no cifradas a través de la red.

SEC no siempre proporcionaba una auditoría y supervisión adecuadas de las bases de datos empresariales, y no mantenía pistas de auditoría completas de la actividad de los usuarios y las aplicaciones. aplicaciones que eran relevantes para la seguridad, dijo el informe GAO.

Hasta que esas debilidades no se corrijan, la "información financiera" de la SEC seguirá teniendo un mayor riesgo de divulgación, modificación o destrucción no autorizadas, y sus decisiones de gestión pueden basarse en información no confiable o información inexacta ", dijo el informe GAO.

En respuesta al informe, la presidenta de la SEC Mary Schapiro dijo que la agencia generalmente está de acuerdo con las recomendaciones de la GAO.

Pero Schapiro también dijo que la SEC ha realizado un" progreso continuo "hacia la mejora de la información seguridad. "Debido a que en años anteriores la SEC había abordado muchas de las debilidades de seguridad de la información más comunes, los auditores han enfocado cada vez más sus revisiones en un conjunto más limitado de controles de nivel relativamente bajo", escribió en una respuesta incluida en el informe GAO.

La SEC se centrará en la autenticación y el cifrado en el futuro, escribió Schapiro.