Business

Dasar-dasar dunia maya masih di luar jangkauan pemerintah karena mandat Esensial Delapan menjulang – Strategi – Keamanan

Instansi pemerintah federal terus berjuang untuk menerapkan kontrol keamanan cyber ‘Essential Eight’, dengan hanya dua dari 19 lembaga yang baru-baru ini diperiksa oleh auditor nasional yang memenuhi persyaratan.

Itulah temuan audit kontrol keuangan interim 2021-22 entitas besar [pdf]yang meninjau penilaian mandiri ‘Kebijakan 10’ 2020-21 dari agensi terpilih, dengan fokus pada sistem keuangan dan SDM inti.

Pengungkapan itu bukan pertanda baik untuk siklus pelaporan berikutnya, mengingat keputusan pemerintah baru-baru ini untuk mengamanatkan Delapan Esensial untuk semua entitas Persemakmuran non-korporat.

Delapan Esensial – yang telah lama dianggap sebagai dasar untuk ketahanan siber dalam pemerintahan, tetapi hanya disahkan sebagai persyaratan wajib tahun lalu – akan menggantikan kontrol Empat Besar mulai Juli 2022.

Audit, yang dirilis pada hari Kamis, menunjukkan bahwa sementara tingkat kedewasaan perlahan membaik, terutama dengan kontrol aplikasi, sebagian besar lembaga masih gagal mencapai tingkat kedewasaan yang disyaratkan oleh Kebijakan 10.

“Meskipun beberapa perbaikan yang dilaporkan diamati, Kantor Audit Nasional Australia menemukan tingkat jatuh tempo yang dilaporkan untuk sebagian besar entitas masih jauh di bawah persyaratan Kebijakan 10,” kata audit tersebut.

“Dari 19 entitas yang dinilai, dua telah menilai sendiri mencapai tingkat kematangan pengelolaan. Entitas-entitas ini mampu menunjukkan bukti untuk mendukung penilaian diri mereka sebagaimana diperlukan.”

Kebijakan 10, bagian dari kerangka kebijakan keamanan pelindung (PSPF), mengharuskan lembaga untuk menerapkan kontrol Empat Teratas dan mempertimbangkan empat kontrol sukarela lainnya untuk mencapai peringkat kedewasaan pengelolaan pada 2021-22.

Mulai Juli 2022, entitas Persemakmuran non-korporat diharapkan menerapkan mitigasi tingkat maturitas Esensial Delapan untuk mencapai peringkat maturitas pengelolaan berdasarkan Kebijakan 10.

Audit menambahkan bahwa angka pengelola “tidak berubah sejak penilaian 2020-21”, dengan jumlah entitas yang melaporkan tingkat kematangan ad-hoc atau berkembang juga “tidak berubah secara signifikan”.

Ia juga mencatat bahwa sementara keuangan dan sistem SDM menjadi fokus, “sebagian besar entitas melakukan penilaian sendiri pada tingkat sistem atau lingkungan dan tidak secara khusus menilai kontrol yang diperlukan untuk meminimalkan risiko dunia maya terhadap [those] aplikasi”.

Tiga dari lembaga yang ditinjau melaporkan “peningkatan tingkat kematangan Esensial Delapan di beberapa” [controls]”, kata audit, tetapi dua lainnya melaporkan jatuh tempo yang lebih rendah sejak tahun lalu.

Menambal masih gagal

‘Menambal aplikasi’ terus menjadi kontrol yang paling keras kepala untuk agensi, dengan hanya lima dari 19 yang dinilai oleh kepatuhan pelaporan ANAO, diikuti oleh ‘pengerasan aplikasi pengguna.

“Meskipun sebagian besar entitas memiliki rencana untuk meningkatkan kontrol ‘penambalan aplikasi’ dan ‘pengerasan aplikasi pengguna’ pada Juli 2020, karena pada Juni 2021 entitas masih belum mencapai tingkat kematangan pengelolaan,” kata audit.

“Jumlah aplikasi dalam sistem entitas dan mengidentifikasi semua kontrol pengerasan yang berlaku untuk aplikasi tertentu terus menjadi masalah utama dalam menerapkan strategi mitigasi ini.

“Beberapa entitas juga telah menyatakan bahwa persyaratan ‘penambalan aplikasi’ tidak dapat dicapai dan telah memilih untuk menerapkan strategi mitigasi lain untuk mengatasi ancaman siber terkait.”

‘Membatasi makro’ juga “dilaporkan sulit karena pengguna terus sangat bergantung pada makro untuk melakukan aktivitas bisnis”.

“Entitas terus berbeda dalam kedewasaan mereka dalam menangani risiko terkait, dengan beberapa entitas melaporkan kesulitan dalam memantau penggunaan makro di lingkungan mereka,” kata audit.

“Peningkatan yang dilaporkan dalam penilaian tahun ini telah dikaitkan dengan beberapa entitas yang menyelesaikan implementasi keamanan siber mereka dari kontrol Makro.”

Untuk ‘otentikasi multi-faktor’, sebagian besar lembaga telah “berfokus pada pencapaian tingkat kematangan yang berkembang dan mengandalkan strategi mitigasi lainnya untuk mengatasi risiko terkait”.

Setelah serentetan hasil audit sub-par selama bertahun-tahun, ANAO juga kritis apakah lembaga mampu meningkatkan kepatuhan mereka dengan Delapan Esensial lebih lanjut.

“Ketidakmampuan entitas untuk memenuhi persyaratan sebelumnya menunjukkan kelemahan dalam menerapkan dan memelihara kontrol keamanan siber yang kuat dari waktu ke waktu,” kata audit.

“Audit ANAO sebelumnya tentang kepatuhan entitas dengan persyaratan keamanan cyber PSPF belum menemukan peningkatan yang signifikan dari waktu ke waktu.

“Pekerjaan yang dilakukan sebagai bagian dari tinjauan ini menunjukkan bahwa pola ini berlanjut, dengan peningkatan yang terbatas.”

ANAO mencatat bahwa penyelidikan parlemen tahun lalu telah merekomendasikan perlunya akuntabilitas yang lebih besar dari persyaratan keamanan siber, termasuk atas proses penilaian sendiri.

“Sementara kepatuhan entitas terhadap persyaratan keamanan cyber PSPF tetap rendah, tetap ada risiko kompromi terhadap informasi,” katanya.

Posted By : togel hari ini hongkong