Cyberbezpieczeństwo w Sedena zostało zaprzeczone przez Audyt – El Financiero

Istnieją braki w infrastrukturze sprzętowej i programowej wykorzystywanej do cyberobrony MON (Nasz mistrz), zagrażając pracy agencji kierowanej przez Luisa Crescencio Sandovala.

To wynik kontroli przeprowadzonej przez Najwyższego Kontrolera Federacji (ASF), która ostrzega, że ​​wykryte braki mogą wpłynąć na integralność, dostępność i poufność informacji, z którymi masz do czynienia Nasz mistrz.

ten ASF Powiedział, że taki wniosek został wyciągnięty podczas analizy przeglądu informacji dostarczonych przez Nasz mistrzzwiązane z zarządzaniem i obsługą kontroli cyberbezpieczeństwa dla Sekretariatu Generalnego.

Wyjaśnił, że w tym zakresie przeanalizowano wytyczne, infrastrukturę i narzędzia komputerowe. dla tego dokumentu Program audytu/zapewnienia Centrum Bezpieczeństwa Internetowego (CIS).

We wspomnianym dokumencie ustanowiono 20 kontroli, na które składa się 171 czynności, w celu przeprowadzenia oceny i określenia strategii, polityk, procedur i kontroli dla cyberobrona przeprowadzone w Nasz mistrz.

ten ASF W analizie, powiedział, ustalono, że tylko dwie kontrole były akceptowalne, cztery potrzebowały wzmocnienia, a 14 brakowało kontroli.

Zwrócił uwagę, że w zakresie reagowania i zarządzania incydentami cyberbezpieczeństwa ujawniono, że Nasz mistrz Brakuje definicji procedur reagowania na incydenty cyberbezpieczeństwa.

Dodał, że nie przedstawiono na to żadnych dowodów Minister Obrony Narodowej Posiada kontakty z organizacjami, władzami, zespołem reagowania kryzysowego komputerowego lub jakąkolwiek inną grupą w celu powiadamiania o podatnościach lub incydentach o dużym znaczeniu.

Podobnie audyt wykazał, że nie przeprowadzono żadnych testów scenariuszy incydentów cyberbezpieczeństwa z użytkownikami Nasz mistrzw celu sprawdzenia, czy strategia reagowania określona przez zależność jest odpowiednia i adekwatna w przypadku sytuacji awaryjnej.

Wyjaśnił, że nie ma dowodów na przeprowadzanie testów penetracyjnych i ćwiczeń Czerwonej Drużyny w celu zidentyfikowania niechronionych informacji i urządzeń, ani na dokumentację i działania podjęte w związku z tym, o czym wspomniano we wspomnianych testach.