Question Period: MMIWG inquiry final report, media bailout panel — June 3, 2019
La SEC, l'agence qui supervise les États-Unis l'industrie financière a corrigé 18 des 34 faiblesses de la sécurité de l'information relevées par le Government Accountability Office des États-Unis en février 2008, et le GAO a identifié 23 nouvelles faiblesses, selon un nouveau rapport.
Les nouvelles faiblesses sont dans les contrôles destinés à restreindre l'accès aux données et aux systèmes, ainsi que d'autres contrôles "qui continuent de compromettre la confidentialité, l'intégrité et la disponibilité des informations financières et sensibles de la SEC", a déclaré le GAO dans son rapport publié mardi.
pour supprimer les logiciels malveillants de votre PC Windows]
La principale raison de ces faiblesses est que la SEC n'a pas entièrement déployé son programme de sécurité de l'information, a comblé un poste vacant de responsable de la sécurité informatique et a testé l'efficacité de ses contrôles de sécurité. le GAO a dit. "Ces faiblesses représentent une déficience significative des contrôles internes sur les systèmes d'information et les données utilisées pour les rapports financiers", indique le rapport du GAO.La SEC n'appliquait pas toujours des paramètres de mot de passe forts sur ses serveurs de base de données d'entreprise.
Les mots de passe en texte clair étaient peut-être disponibles pour les utilisateurs non autorisés, ajoute le rapport.
En outre, la SEC ne chiffrait pas toujours les informations sensibles sur une application clé de l'entreprise. informations, y compris les communications entre les ordinateurs clients et les serveurs de bases de données d'une application financière clé, indique le rapport. Les utilisateurs s'authentifiant auprès d'une application de base de données clé envoyaient également des mots de passe non cryptés sur le réseau.
SEC ne fournissait pas toujours un audit et une surveillance adéquats des bases de données d'entreprise.
Tant que ces faiblesses n'auront pas été corrigées, les informations financières de la SEC continueront à être exposées à un risque accru de divulgation, de modification ou de destruction non autorisées, et ses décisions de gestion pourraient être fondées sur des informations non fiables ou non fiables.
En réponse au rapport, la présidente de la SEC, Mary Schapiro, a déclaré que l'agence était globalement d'accord avec les recommandations du GAO.
Mais Schapiro a également déclaré que la SEC avait fait des progrès constants Sécurité. "Parce que les années précédentes, la SEC avait traité plusieurs des faiblesses les plus communes de la sécurité de l'information, les auditeurs ont de plus en plus centré leurs examens sur un ensemble plus restreint de contrôles de niveau relativement inférieur". La SEC se concentrera sur l'authentification et le cryptage à l'avenir, a écrit Schapiro.
Groupes: la cybersécurité doit dépasser le problème informatique
Une nouvelle étude suggère que les directeurs financiers et les autres départements des entreprises s'impliquent dans l'évaluation et la réduction des cyberrisques
Microsoft profite en vendant des publicités en ligne sur son moteur de recherche à des gangs criminels gérant des sites Web pharmaceutiques offrant des médicaments Selon une nouvelle étude, Microsoft vend des publicités en ligne sur son moteur de recherche à des gangs criminels qui gèrent des sites Web pharmaceutiques offrant des médicaments à des personnes sans ordonnance adéquate.
Environ 89,7% des Selon le rapport, les pharmacies qui paient des publicités sur le dernier moteur de recherche de la société, Bing.com, sont frauduleuses ou se livrent à des activités illégales. KnujOn, une compagnie antispam, et LegitScript, qui offre un service qui vérifie la légitimité de certaines pharmacies en ligne, ont publié le rapport.
L'Alliance Internet Security appelle à un nouvel accent sur les incitations à la cybersécurité et l'éducation aux entreprises. AmJust> L'alliance, dans un rapport publié jeudi, a également appelé à une cybersécurité internationale permanente. centres de collaboration, nouvelles normes de sécurité pour les communications VoIP (Voice over Internet Protocol) et programmes pour éduquer les dirigeants d'entreprise sur les avantages des efforts de cybersécurité améliorés.
Beaucoup de groupes ont appelé à une meilleure éducation à la sécurité de l'information. est souvent négligé, a déclaré Joe Buonomo, président et chef de la direction de Direct Computer Resources, un fournisseur de produits de sécurité des données.