Marile agenții guvernamentale NSW încă fără planuri de recuperare în caz de dezastru pentru toate sistemele – Strategie – Securitate


O mână dintre cele mai mari agenții ale guvernului NSW sunt încă fără planuri de recuperare în caz de dezastru pentru toate sistemele și infrastructura IT, a constatat auditorul general al statului.

Într-o revizuire anuală[[pdf]în ceea ce privește controalele interne și guvernanța, biroul de audit NSW a identificat deficiențe în recuperarea în caz de dezastru și planificarea continuității afacerii, precum și în controalele IT generale.

Auditul a evaluat 40 dintre cele mai mari agenții din sectorul public NSW – care sunt responsabile pentru cele mai critice sisteme IT ale statului și aproximativ 85% din toate cheltuielile – înainte de pandemie.

În timp ce s-a constatat că majoritatea agențiilor au planuri de recuperare în caz de dezastru pentru „unele sau toate sistemele IT critice” în cursul anului 2019, 19% sunt încă fără astfel de planuri pentru toate sistemele IT cheie.

Fiind cele mai mari 40 de agenții din stat, auditul notează că acest lucru înseamnă că „nu există un plan în vigoare pentru recuperarea unor sisteme și infrastructuri IT cheie care să susțină funcțiile critice ale agențiilor”.

Auditul a constatat, de asemenea, că 43% dintre agenții „nu și-au dezvoltat și testat planurile de recuperare în caz de dezastru” în cursul anului 2019.

Auditul notează că în prezent nu există „nicio direcție guvernamentală specifică NSW care să solicite agențiilor să mențină continuitatea activității și aranjamentele de planificare a recuperării în caz de dezastru”.

Cu toate acestea, există cerințe pentru un cadru de gestionare a riscurilor în cadrul auditului intern și al politicii de gestionare a riscurilor și un plan de securitate cibernetică aprobat în cadrul politicii de securitate cibernetică NSW.

De asemenea, s-a constatat că alte 23 la sută din agenții nu au efectuat o analiză a impactului asupra afacerii (BIA), în timp ce 20 la sută dintre cele care au avut-o au efectuat-o doar pe bază ad-hoc.

Un BIA „ajută agențiile să identifice funcțiile comerciale critice care susțin obiectivele de afaceri ale unei agenții, inclusiv timpul de recuperare țintă”, explică auditul.

Aproximativ 10 la sută din BIA care au fost efectuate „nu au inclus obiective de timp de recuperare”, în timp ce șase la sută „nu au identificat sistemele IT cheie care susțin funcțiile critice ale afacerii”.

„Fără un BIA actualizat și cuprinzător, există riscul ca agențiile să nu poată restabili funcțiile critice ale afacerii într-un interval de timp acceptabil”, a spus auditul.

„De asemenea, este posibil ca agențiile să nu știe ce să facă în cazul unei întreruperi dacă nu au fost identificate sisteme cheie și dependențe și interdependențe, ceea ce crește riscul.”

Deficiențele de control IT cresc

Auditul subliniază, de asemenea, că numărul deficiențelor de control IT a crescut cu 11% între 2019 și 2020.

Un „număr semnificativ” din deficiențele de control IT sunt legate de dificultățile nerezolvate de control IT de anul trecut.

„În 2019-20, constatările repetate au crescut cu 13%, de la 69 în 2018-19 la 78 în 2019-20”, a spus auditul.

„De asemenea, noile deficiențe de control IT au crescut ușor de la 83 în 2018-1919 la 92 în 2019-20.”

Biroul de audit NSW intenționează acum să efectueze un audit al performanței privind continuitatea activității și planificarea recuperării în caz de dezastru, cu un accent deosebit pe pandemie.

În prezent, efectuează o revizuire a conformității agenției cu politica de securitate cibernetică a NSW după ce a constatat niveluri scăzute de maturitate în cadrul modelului Essential Eight în toate guvernele.



Source link

Lasă un răspuns