Office of Inspector General (OIG) -viraston tuoreen raportin mukaan tietoturva on edelleen yleinen huolenaihe ulkoministeriölle, koska se perustuu lukuisiin aikaisempiin suosituksiin tietotekniikkaan liittyvistä peruskysymyksistä, jotka vaativat edelleen tarkkaa huomiota.
Raportissa arvioidaan 107 luokittelematonta, avointa OIG:n suositusta 19:stä tietoresurssien hallinnan virastolle (IRM) osoitetusta raportista 30. heinäkuuta 2021. OIG havaitsi, että IRM oli käsitellyt kolmea 107 suosituksesta ja sulkenut yhden päällekkäisen suosituksen liittyen. riskienhallintaan, yksi liittyy tietosuojaan ja yksityisyyteen ja yksi liittyy yleisiin IT-käytäntöihin. Lisäksi OIG päätti 14 suositusta elokuussa 2021 osana normaalia noudattamisprosessiaan.
Muut 90 suositusta – joista 57 prosenttia on peräisin vuodelta 2019 tai sitä aikaisemmasta – ovat kuitenkin edelleen relevantteja ja vaativat "kiinteää huomiota niiden sulkemiseen", raportissa lukee.
Suurempi osa suosituksista koskee tuotteiden ja järjestelmien konfiguraatioiden hallintaa tietoturvan varmistamiseksi. Muut käsittelemättömät suositukset koskevat useita osa-alueita, kuten riskienhallintaa, IT-investointeja, valmiussuunnittelua ja yhteisiä palveluita.
Helpottaakseen muiden IRM:lle osoitettujen suositusten sulkemista OIG antoi kaksi suositusta Carol Perezille, viraston hallinnosta vastaavalle alisihteerille. OIG suositteli toimistoaan kehittämään menetelmän IRM:n ponnistelujen määräajoin arvioimiseksi – ja ilmoitti, että askel on sittemmin otettu.
OIG suositteli myös, että Perezin toimisto tarkistaa IRM:n toimintasuunnitelmat ja virstanpylväät (POA&M), jotka on dokumentoitu kaikkien 90 suosituksen osalta. Perez ei kuitenkaan hyväksynyt tätä suositusta ja selitti, että jos lopullisena tavoitteena on, että IRM ratkaisee avoimet suositukset, yksilöllisen toimintasuunnitelman kehittäminen kullekin suositukselle on "liian vaivalloista".
"IRM:n henkilökunta, aika ja resurssit käytetään paremmin vaatimustenmukaisuuteen liittyviin toimintoihin, päivittäisten toimintojen korkean tason ylläpitämiseen ja suoraan OIG:n kanssa kommunikointiin", Perez kirjoitti vastauksessaan OIG:lle.
OIG kuitenkin väitti, että virastojen on laadittava POA&M:n ohjeiden mukaisesti POA&M ja että Perezin on toimitettava suositusta varten POA.
