“El incumplimiento se debe a la falta de un plan de gestión de proyecto que ayudara a realizar la transición a tarjetas que cumplen con la directiva HSPD-12. Por ejemplo, la NASA no estableció una oficina de implementación para planificar y coordinar adecuadamente la integración del proyecto hasta julio de 2006 – dos años después de que la HSPD-12 fue firmada y tres meses antes de terminar el plazo en que todas las agencias debían comenzar a emitir las tarjetas de identificación bajo la directiva HSPD-12”, explica el informe.

La NASA tampoco cumplió con su política de incorporar nuevos requisitos a los proyectos en curso, ni realizó un análisis de deficiencias para garantizar que los proyectos de control de acceso y acreditación incorporaran los requisitos de la HSPD-12. “En un esfuerzo por terminar dentro de los plazos establecidos, la NASA implementó procesos y sistemas que no fueron planificados adecuadamente y, como resultado, desarrolló el sistema para producir las tarjetas PIV pero no completó el proceso de acreditación para garantizar que los subcomponentes del sistema cumplieran con las exigencias federales para la directiva HSPD-12”.

Hubo además problemas con los controles en el proceso de emisión. Un solo individuo daba la autorización para que los empleados obtuvieran las credenciales PIV, lo cual va en contra de los requisitos federales, alega el reporte. Esta cuestión fue resuelta y dos personas realizan ahora esta tarea.

Además, no se estableció ninguna pista de auditoría para el proceso de emisión. “Si las deficiencias identificadas no son corregidas, se aumenta el riesgo de que la NASA le emita credenciales PIV a individuos que no tienen una necesidad legítima de acceder a sus instalaciones o sistemas.”

Puede descargar el informe completo aquí, en inglés.