Auditor: A SEC dos EUA precisa melhorar a segurança cibernética

A Comissão de Valores Mobiliários dos Estados Unidos (SEC) tomou medidas para melhorar a segurança de suas informações, mas ainda não corrigiu várias vulnerabilidades encontradas em fevereiro de 2008, de acordo com um relatório de auditoria. A SEC, a agência que supervisiona os EUA em dificuldades. O setor financeiro corrigiu 18 das 34 deficiências de segurança da informação encontradas pelo Escritório de Contabilidade do Governo dos EUA em fevereiro de 2008, e o GAO identificou 23 novas fraquezas, disse em um novo relatório.

As novas fraquezas estão nos controles destinados a restringir acesso a dados e sistemas, e em outros controles "que continuam comprometendo a confidencialidade, integridade e disponibilidade das informações financeiras e sensíveis da SEC", disse o GAO em seu relatório, divulgado na terça-feira. para remover malware do seu PC com Windows]

A principal razão para os pontos fracos é que a SEC não implementou totalmente seu programa de segurança de informações, preencheu uma vaga para o diretor sênior de segurança de informações e testou totalmente a eficácia de seus controles de segurança de informações. disse o GAO. "Essas fraquezas representam uma deficiência significativa nos controles internos sobre os sistemas de informação e dados usados ​​para relatórios financeiros", disse o relatório do GAO.

A SEC nem sempre aplica configurações de senha forte em seus servidores de banco de dados corporativos e várias pessoas compartilham usuários O

Senhas em texto simples podem ter estado disponíveis para usuários não autorizados, acrescentou o relatório

Além disso, a SEC nem sempre criptografava informações confidenciais. informações, incluindo comunicações entre computadores clientes e servidores de banco de dados de um aplicativo financeiro-chave, disse o relatório. Os usuários que se autenticaram em um aplicativo de banco de dados corporativo também enviaram senhas não criptografadas pela rede.

A SEC também nem sempre fornecia auditoria e monitoramento adequados de bancos de dados corporativos e não mantinha trilhas de auditoria completas de usuários e aplicativos no banco de dados os aplicativos que eram relevantes para a segurança, disse o relatório do GAO.

Até que essas deficiências sejam corrigidas, as "informações financeiras da SEC permanecerão em maior risco de divulgação não autorizada, modificação ou destruição, e suas decisões administrativas podem ser baseadas em Em resposta ao relatório, a presidente da SEC, Mary Schapiro, disse que a agência geralmente concorda com as recomendações do GAO.

Mas Schapiro também disse que a SEC fez "progresso contínuo" para melhorar a informação. segurança. "Como nos anos anteriores a SEC havia abordado muitas das fraquezas mais comuns da segurança da informação, os auditores concentravam cada vez mais suas revisões em um conjunto mais restrito de controles de nível relativamente baixo", escreveu ela em uma resposta incluída no relatório do GAO. A SEC se concentrará em autenticação e criptografia daqui para frente, escreveu Schapiro.