Parte de la investigación implicó el uso de hackers éticos. Estos son profesionales de TI que intentan ingresar a los sistemas SWO. Se descubrieron varias vulnerabilidades. La SWO ha sido informada de ello y ahora ha tomado medidas para solucionar los problemas.
También se han enviado correos electrónicos de phishing (de prueba) a los empleados. Con este tipo de correos electrónicos, los delincuentes intentan robar datos o dinero.
La prueba con los correos electrónicos se realizó en junio. Alrededor del trece por ciento de los empleados hicieron clic en el mensaje falso y casi la mitad de ellos introdujeron datos personales. Según los Tribunales de Cuentas, De Wolden y Hoogeveen obtienen puntuaciones más bajas en comparación con otros municipios, pero el resultado es halagador, según los investigadores.
Dos semanas antes, SWO recibió un correo electrónico de phishing real. La organización ha prestado atención a esto, lo que debería haber aumentado la alerta de los empleados ante el peligro. «Estos mecanismos de defensa funcionan, pero desde este punto de vista, el 12,9 por ciento de los que hicieron clic en la prueba con el correo electrónico de phishing todavía puede interpretarse como bastante», se lee en el informe.
«También podemos concluir que la conciencia sobre el riesgo entre los empleados ha aumentado debido al correo electrónico de phishing ‘real’ de principios de junio». La misma prueba se realizó a los concejales. «El diecinueve por ciento (De Wolden) y el dieciocho (Hoogeveen) hicieron clic en el enlace, respectivamente».
La investigación también analizó el uso de contraseñas en la organización. De las 1.446 cuentas de usuario, se encontraron 209 con contraseñas de un año o más, 108 cuentas cuyas contraseñas nunca caducan y 194 contraseñas que se utilizan con más frecuencia. El Tribunal de Cuentas cree que se trata de una política de contraseñas incoherente.
También comprobamos si los empleados estaban familiarizados con las normas relativas a la seguridad de la información. A menudo existen protocolos que deben cumplir. El Tribunal de Cuentas examinó hasta qué punto el personal es consciente de ello y si los procedimientos se ponen en práctica. Puedes puntuar en una escala del uno al cinco.
Con un cinco, la situación se maneja bien, con un tres la situación está razonablemente bajo control y con un uno hay mucho trabajo por hacer. La SWO obtiene una puntuación de 1,5. «Esto significa que hay procedimientos, pero incompletos. Y que se llevan a cabo de manera inconsistente y ad hoc», afirma el informe.
El Tribunal de Cuentas afirma que SWO ya ha tomado medidas en el pasado para mejorar la seguridad de la información. Aún se necesita más. Por ejemplo, se necesita más dinero para combatir los problemas y se necesita personal adicional. Los investigadores afirman que no hay suficientes empleados que se ocupen de la seguridad de la información en la organización.
Se podría mejorar la concienciación del personal sobre la seguridad. «Y asegúrese de que la dirección comprenda la necesidad de esto y lo comunique». Además, la política de manejo de la información debe ser más completa, afirman los investigadores. Esto debe complementarse con los protocolos y directrices correctos.
La junta directiva de SWO dice que está trabajando en un programa de concientización para el personal con respecto a la seguridad de la información.
«Aquí el desafío son las personas como factor de riesgo y de éxito: no es fácil influir en la actitud y el comportamiento, pero son las personas las que realmente pueden implementar mejoras y deben estar atentas, con lo que hacemos que las circunstancias sean más manejables». Según la junta, esto es difícil debido a la alta rotación de personal.
Se sustenta el informe de los comités de auditoría. La SWO primero quiere poner en orden lo básico en un futuro próximo. «La madurez de la organización es todavía baja, pero se están tomando varias medidas para llevarla al nivel deseado». Por ejemplo, concejales y alcaldes quieren convertirse en embajadores para aumentar la concienciación.
Los ayuntamientos de De Wolden y Hoogeveen considerarán las recomendaciones del Tribunal de Cuentas el 21 de diciembre.