Un nuevo informe de la Oficina de Responsabilidad Gubernamental (GAO) de Estados Unidos destaca cómo el servicio exterior de Estados Unidos (todavía) no entiende lo que significan las “prácticas de ciberseguridad”. El Departamento de Estado afirma tener un plan adecuado de gestión de riesgos de ciberseguridad, pero sólo está en papel.
El informe de la GAO GAO-23-107012 examina el mal estado de los asuntos cibernéticos en el Departamento de Estado, la agencia gubernamental que lleva a cabo la diplomacia estadounidense y ayuda a dar forma a la política exterior estadounidense. Asegurar los sistemas de TI que apoyan la misión del Departamento de Estado debería ser un objetivo crítico, y hasta ahora el Departamento de Estado ha hecho un "trabajo excepcionalmente bueno" para lograr ese objetivo.
El informe de la GAO dijo que el Departamento de Estado ha documentado un plan de gestión de riesgos de ciberseguridad "que cumple con los requisitos federales". El plan identifica funciones y responsabilidades de gestión de riesgos y desarrolla estrategias apropiadas de gestión de riesgos. Sin embargo, el plan no se ha implementado "totalmente" y el Departamento de Estado ni siquiera puede identificar o monitorear los riesgos para sus activos de TI, ni sabe cuántos activos de TI posee realmente.
El informe completo afirma que el Departamento de Estado de Estados Unidos "probablemente no reconoce plenamente" las vulnerabilidades de seguridad de la información y las amenazas cibernéticas que afectan el funcionamiento de sus misiones. El Departamento de Estado de Estados Unidos cuenta con un "equipo de respuesta a incidentes cibernéticos" que monitorea e identifica problemas de seguridad las 24 horas del día, pero carece de un "proceso de implementación integral" para respaldar su plan de respuesta a incidentes.
El Departamento de Estado de EE.UU. "no protege adecuadamente" su infraestructura de TI, lo que probablemente sea la subestimación del año, ya que la agencia gubernamental probablemente todavía esté usando PC con Windows XP. La Oficina de Responsabilidad Gubernamental de EE. UU. confirmó que algunos sistemas operativos llegaron al final de su vida útil "hace ya 13 años", lo que coincide casi exactamente con el fin del soporte general de XP el 14 de abril de 2009. Microsoft ofrece soporte extendido para su legendario sistema operativo de PC hasta el 8 de abril de 2014.
Otros problemas con la infraestructura de TI incluyen 23.689 "sistemas de hardware" y 3.102 instalaciones de sistemas operativos de servidores y redes que han llegado al final de su vida útil y ya no cuentan con soporte. El informe de la Oficina de Responsabilidad Gubernamental de Estados Unidos señala que si el problema de la seguridad de la tecnología de la información no es suficiente para causar preocupación en la gente, entonces la burocracia y la estructura conjunta del Departamento de Estado de Estados Unidos tienen mucho éxito en el autosabotaje.
El Departamento de Estado dividió las responsabilidades de gestión de TI entre el director de información y las subagencias, y esta "cultura de silo" fomentó una falta de comunicación que en última instancia condujo a muchas de las deficiencias señaladas en el informe. Debido a este problema de comunicación, la base de datos de Gestión de Configuración Empresarial (ECM) del Departamento de Estado no proporciona una imagen completa de todo el hardware y software que todavía está en uso, dijo la GAO. La base de datos ECM parece estar completamente desprovista de datos sobre los activos de TI utilizados por los 20 puestos diplomáticos del país.
La Oficina de Responsabilidad Gubernamental de EE. UU. ha hecho 15 recomendaciones para abordar los numerosos problemas identificados en la infraestructura de TI del Departamento de Estado de EE. UU. Además, la oficina de supervisión publicará más adelante otro informe de "distribución limitada" que destacará 500 recomendaciones adicionales para remediar el mal estado de las agencias diplomáticas estadounidenses.