Una auditoría de seguridad cibernética obtuvo “máximo acceso” a dos departamentos del gobierno de Queensland y reveló graves lagunas en los sistemas.
El Auditor General examinó la eficacia de los controles de seguridad informática de un gobierno estatal, un gobierno local y un organismo estatutario.
El informe señaló que las empresas no sabían “cuán vulnerables” eran a las amenazas de ciberseguridad de terceros.
“En cada una de las entidades, pudimos obtener contraseñas, acceder a sistemas y extraer información confidencial fuera del alcance de acceso previsto de un usuario externo”, dice el informe.
“Para dos de ellos, pudimos eludir los controles y obtener el máximo acceso a sus entornos de TI.“
El informe encontró que la creciente frecuencia y sofisticación de los ciberataques podría exponer a las empresas con una ciberseguridad débil.
“Las empresas que no gestionan estos riesgos de manera eficaz pueden ser víctimas de un ciberataque de terceros, lo que resulta en pérdida de privacidad, costos financieros, daños a la reputación y otras consecuencias”.
Debido a la falta de controles de mitigación de riesgos, el auditor descubrió que las empresas no podían comprender el alcance de los riesgos de su cadena de suministro.
Los contratos también representaron una importante brecha de seguridad.
“Solo dos de los 36 contratos que revisamos incluían requisitos para que terceros informaran sobre sus incidentes y vulnerabilidades de ciberseguridad”, decía el informe.
“Esto significa que las empresas pueden tener riesgos de los que no son conscientes y, por tanto, no pueden gestionar de forma eficaz”.
Riesgos discutidos hace cinco años
El Auditor General también evaluó cómo el Departamento de Vivienda, Servicio al Cliente y Datos Abiertos del Gobierno de Queensland gestiona los riesgos de ciberseguridad en el sector público.
Resultó que estos últimos no evaluaban ni monitoreaban activamente las capacidades cibernéticas de terceros.
“El CDSB (Departamento de Servicio al Cliente, Datos Abiertos y Pequeñas y Familiares Empresas) ha comenzado a desarrollar capacidades en todo el sector público para abordar los riesgos de ciberseguridad de terceros, pero necesita hacer más para ser eficaz”, dice el informe.
El informe señaló que la agencia de ciberseguridad de la Commonwealth ha señalado riesgos desde 2021.
“El gobierno de Queensland ha tardado en desarrollar un marco para ayudar a las empresas a gestionar sus riesgos de ciberseguridad de terceros”, dijo.
El auditor hizo varias recomendaciones, entre ellas que todas las entidades públicas y gobiernos locales revisen y actualicen sus sistemas de TI, identifiquen mejor las actividades sospechosas y fortalezcan las prácticas de gestión de contratos.
La ministra de gobierno local, Ann Leahy, dijo que su departamento escribiría a cada consejo para “destacar la importancia de implementar las recomendaciones”.
Ann Leahy dice que su departamento escribirá a cada consejo para “destacar la importancia de implementar las recomendaciones”. (Imagen de AAP: Darren Inglaterra)
“Observo, sin embargo, que para algunos consejos, particularmente los más pequeños o con recursos limitados, existen posibles impactos en materia de recursos y capacidad asociados con la implementación de una mejor gobernanza y presentación de informes”, dijo.
Mark Cridland, director general del Ministerio de Vivienda y Obras Públicas, dijo que su equipo está comprometido a seguir desarrollando capacidades para identificar y gestionar riesgos de ciberseguridad de terceros.
About The Author
