El Departamento de Seguridad Nacional, la agencia gubernamental encargada de la ciberseguridad, no obtuvo las mejores calificaciones en tres de las cinco áreas evaluadas en el informe anual de evaluación de seguridad de la información, según un informe publicado el lunes. El informe de la Ley Federal de Gestión de Seguridad de la Información de 2017 califica las diversas capacidades de ciberseguridad del departamento en una escala del 1 al 5, siendo la puntuación más baja, 1, que representa un uso “ad hoc” de la seguridad de la información y la más alta, una postura de ciberseguridad “optimizada”. “Según las instrucciones de informe del ejercicio fiscal 2017, el Nivel 4, ‘gestionado y medible’, representa una función de ciberseguridad efectiva”, escribió el inspector general del Departamento de Seguridad Nacional. “Cuando una agencia alcanza el Nivel 4 en la mayoría de las cinco funciones de ciberseguridad evaluadas, su programa de seguridad de la información puede considerarse efectivo en general”. El departamento se quedó un poco corto de ese objetivo. De las cinco categorías evaluadas: identificar, proteger, detectar, responder y recuperar, el Departamento de Seguridad Nacional alcanzó el Nivel 4 en dos y el Nivel 3 en las tres restantes. El departamento logró el Nivel 4 de manera limpia en la categoría de respuesta a incidentes sin recomendaciones adicionales del inspector general. Los auditores también otorgaron al departamento una designación de Nivel 4 por su capacidad para identificar áreas de riesgo, pero calificaron esa puntuación, ya que varios sistemas clasificados y no clasificados aún están en funcionamiento sin autorizaciones actualizadas para operar, o ATOs. Hasta junio de 2017, 64 sistemas estaban en funcionamiento sin autorizaciones de seguridad, incluidos 16 sistemas de seguridad nacional y 48 sistemas no clasificados. Aunque problemáticos, estos números han disminuido significativamente año tras año, de 79 sistemas no clasificados que operaban sin ATOs en 2016 y 203 en 2015. El departamento tiene como objetivo el cumplimiento del 100 por ciento para sus sistemas de alto valor y el 95 por ciento para los activos de menor valor dentro de cada una de sus agencias componentes. Para los sistemas de alto valor, la Agencia Federal para el Manejo de Emergencias, el Servicio de Inmigración y Control de Aduanas, la Dirección Nacional de Protección y Programas, que supervisa las iniciativas críticas de ciberseguridad en todo el gobierno, y la Guardia Costera no cumplieron con los requisitos. Para los activos de menor valor, la sede del Departamento de Seguridad Nacional, el Centro de Capacitación de la Policía Federal, ICE y NPPD no alcanzaron el objetivo. Leer más aquí. Crédito del artículo: Nextgov