Eyaletin tüm devlet siber güvenlik ofisi Cyber Security NSW, henüz tek bir kurumun kendi kendine değerlendirdiği güvenlik olgunluğunu denetlemedi.
Her yıl NSW kurumları, NSW siber güvenlik politikasındaki “tüm zorunlu gerekliliklere” ve Avustralya Siber Güvenlik Merkezi’nin Temel Sekiz’ine göre olgunluklarını kendileri değerlendirmek ve raporlamak zorundadır. [pdf]
Raporlar daha sonra, yayınlanan bir genelgeye göre “2020-21’de başlayarak” kümelerin ve kurumların siber güvenlik öz değerlendirmelerini denetlemesi amaçlanan Cyber Security NSW’ye gönderiliyor.
Ancak NSW genel denetçisi bugün söyledi [pdf] Bugüne kadar hiçbir kurum öz değerlendirmesinin Cyber Security NSW tarafından denetlenmediği.
Genel denetçi, “Bu öz değerlendirmeler, NSW hükümetinin siber güvenlik olgunluğunun tek ölçüsünü sağlıyor” dedi.
“Cyber Security NSW, kurumun öz değerlendirmelerini destekleyen eserler üzerinde denetim gerçekleştirmedi.
“Cyber Security NSW, hedefli denetimler yürütmemekle, NSW hükümetinin güvenlik önlemlerini alırken zımnen beklediği düzeyde bir güvence sağlamıyor.” [cyber security] politikası, ajansların öz değerlendirmelerinin tutarlı ve sağlam olmasıdır.”
Genel denetçi, Cyber Security NSW’nin aldığı her öz değerlendirmeyi kontrol etmesini beklemediğini söyledi.
Ancak genel denetçi, “riske dayalı bir yaklaşımın hem kurumlar için eğitici bir faydası olabilir hem de ajansların değerlendirmelerinde dikkatli ve dikkatli olmalarını sağlayabilir” dedi.
Baş denetçi, “Kıdemli bir ajans paydaşının öne sürdüğü gibi, ajansların ‘…birisi omzunun üzerinden bakıyorsa’ politikaya uyma olasılığı daha yüksektir,” dedi genel denetçi.
“Başka bir paydaş, ajansların kendi öz değerlendirmelerini tekdüze bir şekilde yürütme kapasiteleri hakkındaki endişelerini dile getirerek, bunun Cyber Security NSW tarafından ‘temel güvence ve anlık kontrol’ ihtiyacını açık bıraktığını ileri sürdü.”
Genel denetçi daha önce, kurumların “siber güvenlik olgunluklarını gereğinden fazla değerlendirme” eğiliminde olduklarını ve bazılarının “tüm öz değerlendirmelerini kanıtlarla destekleyemediklerini” tespit etmişti.
Cyber Security NSW tarafından görevlendirilen bir dış denetimin de “kurumların kendi olgunluk öz değerlendirmelerini nasıl gerçekleştirdikleri konusunda farklı yaklaşımlar bulduğu” söyleniyor, ancak güvence çalışmasının tamamlanmasına yol açmadı.
Genel denetçi, “Cyber Security NSW’nin kurumların öz değerlendirmelerini denetleme yetkisi var, ancak bu denetimleri gerçekleştirmedi ve bu öz değerlendirmelerin sonuçları konusunda kendi güvencesini aramıyor” dedi.
“Öz değerlendirmelerin nasıl gerçekleştirildiği ve raporlandığı konusunda daha önce tanımlanmış tutarsızlıkları ve yanlışlıkları yeterince ele almıyor.”