Gobernanza y gestión de riesgos, Gobierno, Sector específico GAO: el departamento carece de estrategias de ciberseguridad para los principales programas de TI empresariales Chris Riotta (@chrisriotta) • 15 de julio de 2024 Un sistema de apoyo de combate global para el Cuerpo de Marines de EE. UU. es uno de los sistemas con lagunas en materia de ciberseguridad, según un informe de la GAO. (Imagen: Shutterstock) El Departamento de Defensa de EE. UU. todavía no ha abordado una serie de lagunas críticas en materia de ciberseguridad en sus programas empresariales de tecnología de la información, dos años después de que una agencia de control gubernamental instara por primera vez al departamento a desarrollar estrategias de seguridad para cada programa. Véase también: Reducción de la complejidad en la TI sanitaria Los funcionarios del DOD le dijeron a la Oficina de Responsabilidad Gubernamental en junio de 2022 que estaban abordando programas de TI en todo el departamento que carecían de estrategias de ciberseguridad. Pero un nuevo informe de la GAO indica que el DOD todavía no ha adoptado una estrategia de ciberseguridad aprobada para 10 de los principales programas empresariales de TI del departamento. La evaluación anual de la GAO de los sistemas de TI del Pentágono publicada el jueves dice que existen brechas adicionales en materia de ciberseguridad y presentación de informes en todo el departamento, incluidas fallas en el seguimiento del progreso en el desarrollo de software y métricas inadecuadas para la satisfacción del cliente. Los funcionarios del programa dijeron a la GAO que enfrentan desafíos significativos para establecer procesos mejorados de desarrollo de software y ciberseguridad, desde la rotación de personal y liderazgo hasta requisitos poco claros y recursos insuficientes. «Los esfuerzos del Departamento de Defensa para desarrollar un plan de acción para abordar áreas de alto riesgo se habían estancado desde 2021», dice el informe, y agrega que los esfuerzos del departamento para modernizar sus sistemas comerciales han estado en la lista de alto riesgo de la GAO desde 1995 «en parte debido a los desafíos de larga data que enfrenta el departamento para cumplir con los compromisos de costos, cronograma y desempeño, incluso para sus principales programas de TI». El Departamento de Defensa detalló «un enfoque revisado» para los esfuerzos en curso para abordar sus áreas de alto riesgo para la modernización de los sistemas comerciales en septiembre de 2023, según el informe, pero el departamento no había implementado 22 recomendaciones de la GAO hasta marzo. Varios programas dentro del departamento no cumplen con las métricas mínimas de desempeño operativo requeridas en sus informes al Panel de TI Federal, una plataforma de acceso público que proporciona información sobre las principales inversiones federales en TI, dijo la GAO. Los programas en cuestión incluyen inversiones críticas en TI, como el Sistema de Viajes de Defensa del Departamento de Defensa, un sistema de adquisiciones electrónicas utilizado por la Marina de los EE. UU., un sistema de apoyo de combate global para el Cuerpo de Marines de los EE. UU. y una plataforma de Entorno de Logística de Aviación del Comando de Sistemas Aéreos Navales. El Departamento de Defensa también está invirtiendo en la modernización de las plataformas comerciales de TI, como el sistema de gestión de atención médica del departamento y la plataforma de información médica operativa conjunta. La GAO evalúa los sistemas de TI del Departamento de Defensa anualmente para ayudar al departamento a identificar debilidades de seguridad y garantizar el cumplimiento de los estándares federales de ciberseguridad. El Departamento de Defensa ha gastado, o planeado gastar, aproximadamente $ 9.1 mil millones en programas comerciales de TI desde el año fiscal 2022 al 2024, según los últimos datos disponibles. La Oficina del CIO del Departamento de Defensa reconoció los desafíos continuos identificados en el informe y dijo que el departamento tiene como objetivo garantizar la presentación de informes completos por parte de cada programa cuando presente los datos del año fiscal 2025. El Departamento de Defensa no respondió de inmediato a una solicitud de comentarios. Los legisladores instaron al departamento a seguir adelante con una estrategia tecnológica de múltiples proveedores en junio, justo cuando el departamento anunció planes para seguir invirtiendo en productos de Microsoft a pesar de una serie de incidentes de ciberseguridad de alto perfil que afectaron al gigante tecnológico (ver: Los legisladores instan al Pentágono a diversificar los proveedores de ciberseguridad). URL original de la publicación: https://www.databreachtoday.com/dod-failing-to-fix-critical-cybersecurity-gaps-report-says-a-25771