La Prensa de Colorado Las agencias de Denver no siguen las salvaguardas de compra de tecnología, lo que aumenta los riesgos de seguridad cibernética.
Las agencias de la ciudad de Denver no siempre siguen las reglas y salvaguardas para comprar tecnología, como computadoras y software, lo que potencialmente expone a la ciudad a mayores riesgos de seguridad, tales como demandas de rescate, señaló el auditor de Denver en un nuevo informe.
“La seguridad cibernética es una prioridad principal en toda la ciudad”, dijo el auditor de Denver, Timothy O’Brien, en un comunicado. “La protección de los datos de la ciudad y los residentes debe ser una prioridad para las personas, las agencias y los más altos líderes de la ciudad”.
Añadió: “Hay muchas posibilidades de que algo salga mal aquí. Nos conviene a todos tener un sistema tecnológico que funcione correctamente”.
Los auditores de Denver habían investigado cómo la unidad de Servicios de Tecnología de la ciudad, que tiene la tarea de revisar y aprobar “todas las adquisiciones de tecnología”, administra y comunica los requisitos a los líderes de la ciudad y al personal sobre la compra de servicios y equipos de tecnología.
Los auditores concluyeron que, si bien los Servicios de tecnología en realidad han tenido un mejor control sobre los dispositivos utilizados en la red de la ciudad desde 2021, se necesita hacer mucho más para reforzar los posibles puntos de acceso a la red de la ciudad.
Específicamente, los auditores dijeron que una orden ejecutiva prohíbe las compras de tecnología usando una “tarjeta de compra”, pero las agencias de la ciudad han violado esa regla.
De hecho, los auditores encontraron que casi todas las agencias y departamentos usan tarjetas de compra (tarjetas de crédito emitidas a ciertos empleados para compras menores a $2,000) o a través del proceso de reembolso de gastos para eludir las aprobaciones requeridas para tales transacciones.
Es crucial que la unidad de Servicios de Tecnología revise cualquier nueva tecnología conectada a la red para evitar vulnerabilidades de seguridad que luego podrían ser explotadas por “malos actores”, lo que podría conducir, entre otras cosas, a la pérdida de datos o servicios para el público, la dijo el auditor.
“No obtener la aprobación previa y eludir el proceso de aprobación expone a la ciudad a varios riesgos, que incluyen vulnerabilidades de seguridad y equipos o software incompatibles, problemas de privacidad y protección de datos, y oportunidades perdidas para ahorrar dólares de los contribuyentes utilizando precios de descuento por volumen”, dijo la oficina del auditor. en una oracion.
Los riesgos son reales y costosos.
Ciudades y estados de todo Estados Unidos han sido objeto de ataques cibernéticos, cada vez con mayor severidad y regularidad, en los últimos años.
Comparitech, una empresa que revisa herramientas de ciberseguridad, dijo que Estados Unidos enfrentó casi 2000 ataques de ransomware desde 2018, con una demanda de rescate promedio de casi $2 millones.
Estos ataques, dijo la compañía, hasta ahora le han costado a las organizaciones de atención médica $20.8 mil millones, a las escuelas y universidades $ 3.6 mil millones, a los gobiernos $ 18.9 mil millones y a las empresas $ 20.9 mil millones.
El año pasado, un “presunto actor extranjero anónimo” atacó la página de inicio del portal estatal Colorado.gov fuera de línea y apuntó a varios otros sitios web del gobierno estatal en los EE. UU.
En su informe, los auditores de Denver dijeron que la unidad de Servicios de Tecnología ha tomado medidas para protegerse contra estos riesgos, incluido el uso de una herramienta de seguridad que detecta cuándo se agrega tecnología a la red de la ciudad.
La agencia también puede cerrar hardware y software no autorizados y restringir el acceso a sitios web utilizados para servicios en la nube, dijeron los auditores.
Pero agregaron que, si el uso de tarjetas de compra es inevitable en algunos casos, la ciudad debe tener una política y un procedimiento claros para usarlas.
Los auditores también recomendaron que los Servicios de Tecnología creen definiciones claras de lo que constituye una “compra de tecnología” y eduquen a los empleados de la ciudad sobre qué compras necesitan su aprobación.
La unidad de Servicios de Tecnología estuvo de acuerdo con todas las recomendaciones de los auditores.
