WA审计员在50个地方政府系统中发现了328个弱点

周三西澳大利亚审计员将报告提交到50家地方政府实体的计算机系统，揭示了整个集团的控制弱点。

它是审计师普通卡罗琳斯宾塞＆＃39;打算列出实体的意图，但鉴于她的发现性质，所有案例研究都包含在地方政府通用计算机控制[PDF]省略实体和系统名称。

＆＃34;包括在案例研究中是现实生活的例子，即一般计算机控制如何导致系统违规，敏感和机密信息丧失和财务损失，＆＃34;斯宾塞说。 ＆＃34;他们担任重要提醒，需要保持警惕的持续网络威胁。＆＃34;

该报告说明审计师一般履行能力的11个实体都没有关于达到最低目标的能力成熟度评估。对于剩下的39，通用计算机控制审核。

审计探测信息安全，业务连续性，IT的管理风险，IT运营，变更控制和物理安全性。

328控制弱点，33个额定值和236分为中度。比如去年，近一半的问题都是关于信息安全。

同时，能力评估结果表明，11个审计实体均未达到六个控制类别的审计师，其中79％的审计结果低于最低基准。

＆＃34;这些领域的控制差留下了系统和信息易受滥用的，可能会影响到公众提供的关键服务，＆＃34;该报告添加了。

＆＃34;五个实体也被列入去年，并在深入的评估中包含，并且可以通过及时解决上一年来提高其能力，而且整体而言，也没有明显地解决。 ＆＃34;

在调查结果中，具有较差的网络威胁的实体，具有一个案例研究，揭示了用户＆＃39; S帐户细节被盗，因为没有检测到或防止安全控制。

＆＃34;攻击导致用户欺诈性信用卡交易＆＃39;公司信用卡，立即被取消，＆＃34;报告说。 ＆＃34;通过实体进一步调查显示攻击者以敏感电子邮件的形式下载了10GB的实体信息。＆＃34;

另一个常见的弱点是实体没有有能力管理技术漏洞的政策，程序和流程。在一个实体，公众面对和内部系统坐在同一网络中;同一实体也没有监视其网络上的设备。

发现一个实体没有改变自2002年以来的默认网络管理员账户的密码，即使是从左边知道密码的各种员工。

＆＃34;我们发现了在办公时间不在办公时间使用的情况，实体无法解释此使用，＆＃34;报告说。

探讨其风险的管理，发现的弱点包括没有拨料，评估，审查和报告风险的政策和程序;未记录重点风险，如果采用适当的控件来保护其信息，则意思是未知的实体。实体没有在合理的时间内审查他们的风险寄存器。

同时，IT运营也揭示了许多弱点，包括缺乏用户访问评论，无需记录用户访问和活动，缺乏事件管理程序，并且不需要IT人员刺激完成背景的某些敏感信息查看。

＆＃34;在一个实体上，工作人员可以通过更改在共享服务器上托管的文件，＆＃34中托管的文件将理事会，侵权，许可证和申请费用重定向到另一个银行账户。报告详情。 ＆＃34;没有适当控制服务器的访问，因为人员使用共享通用帐户访问和管理服务器。＆＃34;

物理安全性也被标记为弱，其中一个示例显示实体对其服务器室没有监视过程，这意味着任何人都可以访问它。

物理安全横幅下的进一步弱点包括无备份，也没有适当的环境控制来保护IT基础设施。