GAO Find Weaknesses in SEC Information Systems Security Program

Przez personel KsięgowościWEB

W piśmie z dnia 12 kwietnia skierowanym do przewodniczącej SEC Mary Schapiro, Jamesa Dalkina, dyrektora ds. zarządzania finansami i gwarancji w ogólnym interesie gospodarczym, oraz Gregory’ego Wilshusena, dyrektora ds. bezpieczeństwa informacji w ogólnym interesie gospodarczym, stwierdzono, że “konieczna jest poprawa w zakresie kontroli wewnętrznych i procedur księgowych SEC”.

W trakcie kontroli sprawozdań finansowych SEC za lata budżetowe 2011 i 2010 audytorzy GAO “stwierdzili istotne braki w kontroli wewnętrznej”, jednym z nich był program bezpieczeństwa systemów informatycznych SEC. Poniżej znajduje się krótkie podsumowanie.

W sprawozdaniu dotyczącym ogólnie przyjętych zasad rachunkowości przedstawiono pięć konkretnych niedociągnięć:

  1. Kontrole nie były konsekwentnie wdrażane w celu identyfikacji i uwierzytelniania użytkowników.
  2. Słabe strony kontroli autoryzacji ograniczyły ich skuteczność.
  3. Niektóre poufne dane zostały przesłane w postaci niezaszyfrowanej.
  4. Niektóre systemy nie zostały skonfigurowane do prowadzenia ścieżek audytu zdarzeń istotnych dla bezpieczeństwa.
  5. Systemy nie były rutynowo i konsekwentnie łatane.

Zalecenia GAO dla działań wykonawczych:

  1. Ustalić konfigurację bazową i związane z tym wytyczne dotyczące zabezpieczenia systemów i wdrożenia konfiguracji bazowej systemu monitorowania.
  2. Udoskonalenie planu bezpieczeństwa EDGAR w celu udokumentowania wymagań bezpieczeństwa dla podsystemu EDGAR/Fee Momentum.
  3. Opracowanie i wdrożenie kompleksowej strategii zarządzania podatnościami, która obejmuje rutynowe skanowanie systemów SEC i ocenę takiego skanowania w celu zapewnienia niezbędnych działań naprawczych.

Aby dowiedzieć się więcej, można uzyskać dostęp do pliku tekstowego raportu GAO o numerze GAO-12-424R”,Management Report: Potrzeba ulepszeń w kontroli wewnętrznej i procedurach księgowych SEC”, który ukazał się 13 kwietnia 2012 roku.

Artykuły pokrewne:

  • GAO Audit Reveals IRS Security Weaknesses
  • Zarządzanie bezpieczeństwem informacji pozostaje głównym przedmiotem troski