Gli incidenti informatici che colpiscono le agenzie federali statunitensi continuano ad aumentare, con una crescita del 1.3000 per cento dall’anno fiscale 2006 al 2015. Ad occuparsi della sicurezza delle informazioni del governo federale sono stati investiti alcuni organismi di controllo federali tra cui l’Ufficio di Gestione e Bilancio, le agenzie ramo esecutivo e il dipartimento della Sicurezza nazionale (Dhs).
Ora un nuovo studio del GAO (Government Accountability Office, l’equivalente della Corte dei Conti italiana) ha messo in evidenza come le agenzie non abbiano svolto in maniera efficiente il loro ruolo di attuazione e di controllo degli Information Security Programs. Le agenzie devono innanzitutto migliorare le capacità di identificare le minacce informatiche, implementare processi sostenibili per la configurazione in modo sicuro del loro patrimonio di computer, correggere i sistemi vulnerabili e sostituire il software non supportato, assicurarsi test di controllo e valutazione della loro sicurezza su base regolare, ed, infine, rafforzare la supervisione degli appaltatori It.
Le agenzie devono anche migliorare le rispettive pratiche per rispondere agli incidenti informatici e alle violazioni dei dati. Il tutto all’interno di un quadro che mette in primo piano la competenza e la formazione della forza lavoro addetta alla sicurezza.
Il lavoro da fare è molto. Si pensi che solo nel corso degli ultimi anni il GAO ha presentato alle agenzie federali circa 2.500 raccomandazioni per migliorare i loro programmi di sicurezza delle informazioni e i controlli, anche se circa mille di queste non sono ancora state attuate.