La sécurité de l'information reste une préoccupation prédominante pour le Département d'État sur la base de nombreuses recommandations antérieures concernant des problèmes fondamentaux liés aux technologies de l'information qui nécessitent encore une attention particulière, selon un récent rapport du Bureau de l'inspecteur général (OIG).
Le rapport évalue 107 recommandations non classifiées et ouvertes du BIG issues de 19 rapports adressés au Bureau de la gestion des ressources d'information (IRM) au 30 juillet 2021. Le BIG a constaté que l'IRM avait traité trois des 107 recommandations et fermé une recommandation faisant double emploi liée à la gestion des risques, un lié à la protection des données et à la vie privée, et un lié aux politiques informatiques générales. De plus, le BIG a clôturé 14 recommandations en août 2021 dans le cadre de son processus de conformité normal.
Cependant, les 90 recommandations restantes - dont 57 % remontaient à l'exercice 2019 ou à une période antérieure - restent pertinentes et nécessitent "une attention particulière pour les clôturer", indique le rapport.
Un plus grand nombre de recommandations impliquent la gestion de la configuration des produits et des systèmes pour garantir la sécurité des informations. Les autres recommandations non traitées concernent plusieurs domaines, notamment la gestion des risques, les investissements informatiques, la planification d'urgence et les services partagés.
Pour faciliter la clôture des recommandations restantes adressées à l'IRM, l'OIG a fait deux recommandations à Carol Perez, sous-secrétaire à la gestion de l'agence. L'OIG a recommandé à son bureau de développer une méthode pour examiner périodiquement les efforts du MII - et a indiqué que cette mesure avait été prise depuis.
OIG a également recommandé que le bureau de Perez vérifie les plans d'action et les jalons du MII (POA&M) documentés pour les 90 recommandations. Cependant, Perez n'était pas d'accord avec cette recommandation, expliquant que si l'objectif final est que l'IRM résolve les recommandations ouvertes, l'élaboration d'un plan d'action individuel pour chaque recommandation est « trop lourde ».
"Le personnel, le temps et les ressources d'IRM sont mieux investis dans les activités liées à la conformité, en maintenant un niveau élevé d'opérations quotidiennes et en communiquant directement avec l'OIG", a écrit Perez dans sa réponse à l'OIG.
Cependant, l'OIG a fait valoir que sous la direction des National Institutes of Standards and Technology, les agences sont tenues de développer un POA&M, et que Perez doit soumettre un POA pour la recommandation.