Technology

Pengawas privasi Vic mengungkap risiko infosec pihak ketiga di empat agensi – Keamanan

Keempat lembaga pemerintah Victoria yang baru-baru ini diperiksa oleh komisaris privasi negara bagian ternyata hanya efektif sebagian untuk memastikan pihak ketiga yang mereka bagikan informasi sektor publik mengamankannya.

Kantor Komisi Informasi Victoria (OVIC) minggu ini merilis audit [pdf] ke dalam kepatuhan entitas dengan standar delapan standar keamanan data pelindung (VPDSS).

Itu tampak Departemen Lingkungan, Tanah, Air dan Perencanaan (DELWP), Departemen Pekerjaan, Precincts and Regions (DJPR), Transport Accident Commission (TAC) dan WorkSafe Victoria.

“Meskipun audit menganggap tidak ada organisasi yang sepenuhnya efektif di keempat kriteria audit, ada berbagai praktik dan prosedur yang telah diterapkan organisasi pada berbagai tingkat efektivitas,” kata komisaris Sven Bluemmel.

Salah satu bidang yang menjadi perhatian OVIC adalah bahwa semua lembaga hanya ‘sebagian efektif’ dalam mengidentifikasi dan menanggapi perubahan risiko keamanan informasi melalui masa kontrak dengan pihak ketiga.

Baik TAC maupun WorkSafe ditemukan memiliki “klausul kontraktual yang kuat yang mewajibkan pihak ketiga untuk melaporkan insiden keamanan informasi”, namun tidak demikian halnya dengan DJPR dan DELWP.

OVIC mengatakan “tidak dapat menentukan” apakah DJPR memiliki “kontrol kontraktual yang efektif yang mengharuskan pihak ketiga untuk melaporkan insiden.

Klausul kontrak juga sulit ditemukan di DELWP karena penggunaan perjanjian kepala Departemen Premier dan Kabinet untuk melibatkan kontraktor.

Manajemen dan respons insiden dunia maya secara lebih umum terbukti efektif di tiga dari empat lembaga, dengan hanya WorkSafe yang tidak dapat memberikan kebijakan insiden keamanan informasi.

Di tempat lain dalam audit, hanya dua dari empat lembaga yang “mampu menunjukkan kepada OVIC bahwa mereka secara efektif melindungi informasi sektor publik pada akhir keterlibatan pihak ketiga”.

“Dua organisasi yang tersisa membutuhkan perbaikan di bidang ini, karena ini merupakan bagian integral dari memastikan informasi sektor publik dilindungi,” kata laporan itu.

“Organisasi-organisasi itu menunjukkan ketergantungan yang besar pada pihak ketiga yang mengembalikan atau menghancurkan informasi sektor publik tanpa masukan atau pengawasan dari organisasi.”

Semua lembaga memiliki proses untuk menilai risiko sebelum memasuki pengaturan pihak ketiga, tetapi sekali lagi dengan “berbagai tingkat efektivitas”.

DELWP dan TAC – yang melakukan penilaian risiko infosec pada pihak ketiga sebelum pengadaan – dianggap efektif, sementara DJPR dan WorkSafe diberi label hanya efektif sebagian.

Tiga dari lembaga – TAC, DELWP dan WorkSafe – juga ditemukan sebagian efektif dalam memastikan pihak ketiga memenuhi kewajiban keamanan mereka.

Laporan tersebut membuat sejumlah rekomendasi, termasuk bahwa DELWP menerapkan “proses rancangan yang diusulkan untuk melindungi informasi pada akhir pengaturan pihak ketiga”.

DJPR, sementara itu, diminta untuk melibatkan “konsultan untuk meninjau praktik dan prosedurnya dalam mengelola risiko keamanan saat berbagi informasi dengan pihak ketiga” setelah awalnya gagal memberikan materi yang memadai kepada OVIC.

“Kegagalan untuk memberikan materi pada awalnya mungkin menunjukkan ada tingkat pemahaman yang lebih rendah tentang prosedur mereka di DJPR,” kata laporan itu.

Bluemmel mengatakan laporan itu “menunjukkan bahwa ada banyak peluang untuk memperkuat manajemen risiko keamanan informasi di seluruh sektor publik”.

Laporan tersebut muncul seminggu setelah Universitas Deakin, yang juga tunduk pada standar VPDSS, mengungkapkan pelanggaran data yang berdampak pada hampir 47.000 mahasiswa saat ini dan sebelumnya.

Serangan itu dapat mengakses informasi yang dipegang oleh penyedia pihak ketiga dengan mengakses satu set kredensial anggota staf.

Posted By : pengeluaran hk hari ini 2021