Ex-chefe de Segurança do DHS Dedo no Congresso

Garcia mencionou oito comitês do Congresso que têm responsabilidades Por uma parte da política de segurança cibernética, ele pediu à liderança do Congresso para coordenar os esforços de segurança cibernética. Alguns comitês estão pressionando por mais responsabilidade de segurança cibernética fora do DHS, enquanto outros comitês estão resistindo a mudanças, disse ele durante uma coletiva de imprensa

[Leia mais: Como remover malware do seu PC Windows]

Líderes do Congresso "precisam traga seus comitês juntos, coloque-os em volta da mesa … e certifique-se de que todos entendam qual é a sua jurisdição, qual é a responsabilidade deles e quais são as lacunas de política ", disse Garcia. “Ter um processo coordenado e orientado pela liderança, em vez de deixar todos esses comitês serem freelancers com sua próxima grande ideia.”

Se um comitê está pressionando para que o Departamento de Justiça dos EUA tenha mais autoridade e um segundo pressiona para Para que o DHS tenha mais autoridade, "não estamos progredindo, estamos saindo do lado de fora", acrescentou Garcia.

O tempo de Garcia no DHS foi marcado por hipercritismo de um Congresso da agência controlado pelos democratas, com sua liderança nomeada pelo ex-presidente republicano George Bush, ele disse. Houve também problemas de gestão significativos no DHS, em parte porque a agência tem apenas seis anos, disse Garcia, mas um grande problema era que os líderes das agências eram sensíveis às críticas do Congresso e não deixavam que os funcionários de nível inferior tomassem as decisões que tinham. especialização a ser tomada

"As decisões foram tomadas no nível político, não no nível do servidor público", disse ele.

Algumas das críticas do Congresso ao DHS pareceram "cínicas", acrescentou Garcia, agora presidente da Garcia Strategies., um grupo de consultoria

Representantes do Comitê de Segurança Interna da Câmara dos Representantes dos EUA não responderam imediatamente a um pedido de reação aos comentários de Garcia. O comitê da Câmara recebeu várias audiências focadas na segurança cibernética nos últimos anos. As críticas de Garcia ao processo da política de segurança cibernética ocorreram dois dias depois que o Government Accountability Office (GAO) dos EUA divulgou um relatório dizendo que os sistemas federais de TI continuam vulneráveis ​​a uma variedade de ataques cibernéticos

As auditorias de segurança "identificaram fraquezas significativas nos controles de segurança dos sistemas de informação federais, resultando em vulnerabilidades generalizadas", disse o relatório do GAO. "O GAO identificou pontos fracos em todas as principais categorias de controles de segurança de informações nas agências federais".

Durante 2008, as auditorias encontraram pontos fracos nos controles de segurança da informação em 23 das 24 principais agências dos EUA, informou o GAO. As agências não autenticaram consistentemente os usuários para impedir o acesso não autorizado aos sistemas; não criptografou dados confidenciais; e não registrou e monitorou eventos relevantes para a segurança, disse o GAO. As agências não implementaram totalmente os programas de segurança da informação, segundo o relatório.1 Perguntado sobre o que o Congresso pode fazer para proteger as empresas privadas, Garcia e Alan Kessler, presidente da TippingPoint, questionaram se as novas regulamentações seriam produtivas.

Muitas grandes empresas devem ter incentivos suficientes para proteger seus dados, disse Kessler. "Não estou certo de que as regulamentações ou multas vão obrigar necessariamente os conselhos de administração ou executivos seniores de TI", disse ele. "Eles podem perder tudo com uma vulnerabilidade."

No entanto, o Congresso pode ser capaz de criar alguns incentivos para empresas de médio porte que não têm recursos para lidar com a segurança cibernética, acrescentou Kessler.

Garcia também questionou se novos regulamentos seriam eficazes, mas ele advertiu que eles podem estar chegando. Algumas indústrias norte-americanas ainda não levam a segurança cibernética a sério, disse ele. "Pode haver um momento em que o congresso fique cansado … e declare a falha do mercado e regule", disse ele.