马萨诸塞州审计柜故障状态IOT采用实践

最近的审计发现IOT缺乏指导和规划已成为使用技术和现代化国家业务的错过机会。

by / September 21, 2018

马萨诸塞州审计员办公室(OSA)发现,信息安全缺乏指导和规划正在减缓国家采用事物互联网(物联网)。

在它 审计事物互联网的管理,OSA. 调查的84个国家机构它认为已经使用了IoT设备“出于重大目的”并找到了28个受访者机构的大量百分比,有关该技术的预订。近四分之三的代理商(68%)表示,他们认为IOT已经使他们能够了解“更有效地管理特定活动,”但表明采用了这项技术缓慢。

近一半的响应机构,或43%,相信物联网仍处于起步阶段“采用IoT设备的风险大于优势,”虽然46%的人认为物联网风险“无法通过当前的控制有效或有效地管理。”风险与福利的发现“似乎是那些代理商的明确呼叫,他们需要一些指导和一些帮助,” said OSA’Communications Michael Wessler董事。

审计,审查了2016年7月1日,2017年3月31日,从审计员Suzanne Bump出来’Wessler说,政府现代化的优先级,并透露“there’显然是一种胃口”对于物联网领养,尽管是现有计划和法规的状态禁止的那个。“它采用放缓,”Wessler说,叫它“错过了机会。”

“They’在我们的工作场所越来越多,审计员碰撞想要确保我们在大规模上,我们在审查这些设备,为国家机构提供了一些指导和刺激了技术机构和英联邦政府的回应,” he added.

在一份声明中,颠簸表示,州政府面临着可选择的选择。它可以通过积极保护设备并开发综合机构保护方法,或者它可以反应。“由于英联邦继续采取措施,提高其IT运营和安全,物联网设备呈现的机遇和威胁必须是该战略的一部分,” the auditor said.

通过电子邮件回复,技术服务和安全执行办公室(EOTSS)表示,现在正在进行这些类型的动作。

在其三部分发现中,OSA写道,该州’S企业信息安全策略“does not offer”国家机构采用IOT技术的指导方针;和“lacks controls”为确保IOT的最低安全性,从而增加了安全漏洞的机会。在其建议中,OSA表示,EOTSS应在其当前的企业信息安全政策中制定IoT指南,并建议该机构参考国家标准和技术研究所’s(nist)关于国际物联网网络安全标准化状态的互动报告参考。

为了回应这一发现,Eotss指出了该机构已经创造了“综合企业IT政策和标准”这将每年进行审查,而IOT设备的疗程“代表需要仔细分析的新威胁载体,”许多需要的安全控制是“已经对网络安全的基础。”

在一封电子邮件中 政府技术,Eotss指出了Gov.Charlie Baker大约一年前抬起了办公室到办公室级位置;从那时起,原子能机构已经取得了“政府的基本和大量的安全增强’s IT infrastructure”包括对网络的可见性提高,设备触摸它;并有“采用企业标准”国家机构如何采购,实施,聘用和支持“开发IOT设备等技术。”

OSA发现该州也缺乏一个“正式记录的信息安全事件响应计划”建立具体的程序Eotss将遵循,以响应和解决IT硬件,软件和数据安全性的任何事件,并建议开发此类计划。

在对OSA的回应中,Eotss表示确实有一个联邦事件响应计划草案,这“统一不同事件响应计划”它预计2019财年第一季度会发布。

Eotss告诉 政府技术 它已经采取了其他措施,包括为超过20,000名执行部门雇员完成网络安全培训;做了七“friendly hacking”攻击关键系统识别和修复持续过程中的漏洞;并有“简化和加强 ”执行分支IT网络使它们更可靠并引入安全监控。

在其最后一个发现中,OSA在最近的一个项目将IoT设备连接到Massachusetts访问政府网络(磁铁)的项目中,资本资产管理和维护(DCAMM)的划分采购了合同,而不为国家CIO提供合同。这导致了“inadequate assurance”根据OSA的情况,该设备的连接良好,并且由于OSA的情况下,设备暴露于网络内人的风险,这推荐的Eotss实施了一项策略确保策略进行与磁铁相关的项目,并了解办公室是否应参与监督。

dcamm响应了这个OSA发现,表明它没有’T涉及CIO,因为它认为项目是能源团体的计划,而不是它—但是,在采购时期就咨询了内部IT人员。它进一步指出了Eotss和Dcamm工作人员一直在沟通“过去六个月”关于有问题的方案;和DCAM将实施包括发展的建议做法“清除角色和职责的沟通”更新企业安全策略。

Wessler说OSA通常有一个“大于90%”建议审计机构的采用率。至于办公室’下一个步骤,大约六个月的OSA将在每次审计后做它的作用。它将向审计机构发送调查—在这种情况下,EOTSS和DCAM的领导—询问他们所采取的步骤。通信主任表示,OSA是“heartened” by EOTSS’回复,似乎表明它认为这是一个“有用的工具来指导未来的努力。”Wessler表示,审计本身也可以为IOT提供一课 对其他国家的规划和监督。

“此审计显然具体地看着英联邦。但这科技到处都是,所以我怀疑这是一个问题,如果其他国家逃亡’目前面对,他们将在不久的将来,” Wessler said.


永远不会错过每日Govtech今天的故事时事通讯。

订阅


Theo Douglas. 贡献作家

Theo Douglas.是Techwire.net的助理管理编辑,之前是一名员工作家 政府技术。他的报告经验包括涵盖市政,县和州政府,业务和突发新闻。他拥有报纸新闻和历史硕士学位的学士学位,既来自加州州立大学,长滩。

E.Republic平台& Programs