Proyecto de credenciales PIV de la NASA no cumple las regulaciones federales
11 June, 2009
category:
La Oficina del Inspector General de la NASA lanzó un reporte afirmando que la agencia no cumplió totalmente con las regulaciones federales para la emisión de las credenciales PIV (Verificación de Identidad Personal).
En enero, la NASA ya había emitido más de 70,000 credenciales a sus empleados y contratistas, cifra que representa más del 98% de las tarjetas PIV que la agencia pensaba emitir. El problema radica en que la entidad emisora de la credencial no ha sido acreditada porque la NASA no cumplió totalmente con las instrucciones federales.
Si el emisor revela que los problemas aún existen, la agencia puede verse obligada a detener la emisión de las credenciales y volver a emitir otras tarjetas con un costo de – como mínimo – un millón de dólares.
“El incumplimiento se debe a la falta de un plan de gestión de proyecto que ayudara a realizar la transición a tarjetas que cumplen con la directiva HSPD-12. Por ejemplo, la NASA no estableció una oficina de implementación para planificar y coordinar adecuadamente la integración del proyecto hasta julio de 2006 – dos años después de que la HSPD-12 fue firmada y tres meses antes de terminar el plazo en que todas las agencias debían comenzar a emitir las tarjetas de identificación bajo la directiva HSPD-12”, explica el informe.
La NASA tampoco cumplió con su política de incorporar nuevos requisitos a los proyectos en curso, ni realizó un análisis de deficiencias para garantizar que los proyectos de control de acceso y acreditación incorporaran los requisitos de la HSPD-12. “En un esfuerzo por terminar dentro de los plazos establecidos, la NASA implementó procesos y sistemas que no fueron planificados adecuadamente y, como resultado, desarrolló el sistema para producir las tarjetas PIV pero no completó el proceso de acreditación para garantizar que los subcomponentes del sistema cumplieran con las exigencias federales para la directiva HSPD-12”.
Hubo además problemas con los controles en el proceso de emisión. Un solo individuo daba la autorización para que los empleados obtuvieran las credenciales PIV, lo cual va en contra de los requisitos federales, alega el reporte. Esta cuestión fue resuelta y dos personas realizan ahora esta tarea.
Además, no se estableció ninguna pista de auditoría para el proceso de emisión. “Si las deficiencias identificadas no son corregidas, se aumenta el riesgo de que la NASA le emita credenciales PIV a individuos que no tienen una necesidad legítima de acceder a sus instalaciones o sistemas.”
Puede descargar el informe completo aquí, en inglés.