IT security compliance of
Norway’s public agencies ‘above average’
Submitted by Gijs Hillenius on April 30, 2015
Bài được đưa lên Internet ngày: 30/04/2015
Sự tuân thủ của 'các cơ quan hành
chính nhà nước' Nauy với các qui định và chính sách an
toàn CNTT là trên trung bình, theo một nghiên cứu được
tiến hành nhân danh DIFI, Cơ quan Quản lý Nhà nước và
CPĐT của Nauy. Báo cáo dựa vào khảo sát tình trạng an
toàn phần mềm ở 20 tổ chức. Tuy nhiên, báo cáo cảnh
báo rằng ít cơ quan nhà nước có một chiến lược toàn
diện về an toàn CNTT.
Direktoratet for forvaltning og IKT
(DIFI) của Nauy đã xuất
bản một báo
cáo trên website của mình hôm 14/04. Nghiên cứu của
Sintef, một hãng nghiên cứu của Nauy, sử dụng việc Xây
dựng An toàn trong Mô hình Độ chín - BSIMM (Building
Security in Maturity Model), một bộ sưu tập các
phần mềm thực tiễn an toàn tốt nhất, để kiểm tra
cách mà các cơ quan hành chính nhà nước Nauy xử trí với
các mối đe dọa an toàn CNTT. Như từng được kỳ vọng,
các cơ quan hành chính nhà nước là tốt trong việc tuân
thủ các luật, qui định và chỉ dẫn, Sintef viết. Tuy
nhiên, các nhà nghiên cứu đã phát hiện sự khác nhau
rộng lớn giữa các cơ quan hành chính nhà nước, với
việc đã triển khai tốt nhất 87 trong số 112 thực tiễn
tốt nhất của BSIMM, và tệ nhất chỉ có 9.
Hơn nữa, về chiến lược cho an toàn CNTT, kiểm thử có
hệ thống các vấn đề và khả năng dò tìm các cuộc
tấn công, họ là “tệ hơn đáng kể” (so với trung
bình), Sintef viết. Hãng nghiên cứu cũng đã lưu ý rằng
có chỗ cho sự cải thiện trong huấn luyện. “Các cơ
quan hành chính nhà nước không chuẩn bị thường xuyên
các vấn đề an toàn của phần mềm, không thể đo đếm
tác động mà điều này có lên các dịch vụ và không
làm việc có hệ thống để nhận diện và hiểu được
rủi ro”.
Khi nói về an toàn phần mềm, các cơ quan hành chính nhà
nước phụ thuộc vào các lợi ích và sự tinh thông của
các lập trình viên của họ, Sintef lưu ý. “Có các chỉ
số mạnh rằng vẫn còn một sự phân biệt giữa 'các
lập trình viên' và 'các chuyên gia an toàn CNTT'; và quá
nhiều lập trình viên dường như nghĩ an toàn thông tin là
một nhiệm vụ của các nhà quản trị CNTT”.
Norway’s public administrations’
compliance with IT security rules and policies is above average,
according to a study conducted on behalf of DIFI, Norway’s Agency
for Public Management and eGovernment. The report is based on a
survey of the state of software security in 20 government
organisations. However, the report warns that few public
administrations have a comprehensive IT security strategy.
Norway’s Direktoratet
for forvaltning og IKT (DIFI) published
the report
on its website on 14 April.
The study by Sintef, a Norwegian
research firm, uses the Building
Security in Maturity Model (BSIMM), a collection of software
security best practices, to check how Norway’s public
administrations handle IT security threats. As was to be expected,
the public administrations are good at complying with laws, rules and
guidelines, Sintef writes. However, the researchers found wide
variation between public administrations, with the best having
implemented 87 of BSIMM’s 112 best practices, and the worst just 9.
Furthermore, with regards to their
strategy for IT security, systematic testing for problems and the
ability to deflect attacks, they are “considerably worse” (than
average), Sintef warned. The research firm also noted that there is
room for improvement in training. “Public administrations do not
routinely prepare for software security issues, cannot measure the
impact this will have on their services and do not work
systematically to identify and understand the risks.”
When it comes to software security,
the public administrations depend on the interests and expertise of
their developers, Sintef notes. “There are strong indications that
there is still a distinction between ‘developers’ and ‘IT
security specialists’; and too many developers seem to think IT
security is a task for the IT administrators.
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.