Tecnología

¿Hacienda cumplió las instrucciones que le dio la Contraloría en 2019 sobre seguridad informática?

Hace tres años la Contraloría realizó una auditoría y encontró diversas situaciones en los centros de datos y los sistemas informáticos del Ministerior de Hacienda que debían corregirse

La Contraloría General de la República (CGR) advirtió en un informe de 2019 sobre la necesidad de que el Ministerio de Hacienda adoptara medidas y acciones correctivas de carácter preventivo para garantizar “la confidencialidad, integridad y disponibilidad de la información” que se resguardan en sus sistemas.

De acuerdo con la Contraloría se emitieron siete disposiciones relacionadas con la seguridad de la información de los centros de datos del Ministerio de Hacienda, de las cuales seis se encuentran atendidas. Únicamente quedaba pendiente una referente a los planes de contingencia, los acuerdos de nivel operativo y los acuerdos de nivel de servicio.

Para dicha disposición pendiente, Hacienda remitió a principios de este mes de abril la certificación de cumplimiento. “Nos encontramos en el proceso de revisión en el área de seguimiento de disposiciones de la CGR por lo que no podemos emitir criterio adicional por el momento”, respondió la Contraloría a una consulta de EF.

Según la documentación, la directora de tecnologías de información y comunicación del Ministerio de Hacienda, envió la certificación para hacer constar que esta cartera cuenta con los planes de contingencia tecnológica y los acuerdos de nivel operativos solicitados en el informe de auditoría de la Contraloría desde diciembre de 2020.

Asimismo, el 4 de abril pasado envió la certificación del cumplimiento de las disposiciones sobre la revisión y validación de acuerdos de nivel de servicios. Esta certificación es la que está en revisión por parte de la Contraloría.

El Ministerio de Hacienda debió suspender este 18 de abril pasado los servicios de Administración Tributaria Virtual (ATV) y TICA (Tecnología de Información para el Control Aduanero), así como el sitio web, ante el anunció de un hackeo de Conti. Es el ransomware que atacó el sitio del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) ese mismo día.

El informe de la Contraloría de 2019 dispuso que el Ministro de Hacienda debía elaborar y aprobar un plan de continuidad para esa entidad y certificar su elaboración a más tardar el 30 de setiembre de 2020.

La auditoría de la Contraloría también incluía una disposición dirigida a Avendaño de elaborar, aprobar e implementar planes de contingencia, acuerdos de nivel operativo y acuerdos de nivel de servicio, el cual también debía estar en noviembre de 2020. Asimismo, se debía migrar la totalidad de los sistemas y equipos ubicados en Oficinas Centrales y en el Edificio Efitec.

Otras acciones incluían elaborar, aprobar e implementar procedimientos para la asignación, modificación y revocación de permisos de acceso, parametrización de contraseñas y bloqueo de usuarios, realizar respaldos y recuperación de información.

Se debía también adoptar medidas respecto al manejo y almacenamiento de la información, la eliminación segura de medios de respaldo, la documentación de los estudios de vulnerabilidades y su seguimiento, la actualización de la base de datos de configuraciones y el software de los servidores, y actualizar un inventario de software que contemple los términos contractuales de uso y un repositorio que contenga todo el detalle de licenciamiento.

La Contraloría también pidió a Hacienda actualizar la información de la base de datos de configuración, las cuentas de usuario que contiene la aplicación que almacena los usuarios de red y los gestores de cuentas de usuarios de los sistemas del Ministerio, y el software de servidores, en cuanto a, parches de seguridad críticas y renovación de las versiones de los sistemas operativos sin soporte del proveedor.

El informe de la Contraloría emitido el 18 de noviembre de 2019 indicó que el Ministerio de Hacienda no contaba con un plan de continuidad de negocio, planes de contingencia tecnológica y acuerdos de nivel de servicio que faciliten la reanudación de las operaciones en caso de una desastre o interrupción no deseada.

A esa fecha, tras dos años de definir un proceso de continuidad de negocios, se había avanzado apenas en un 42% pese a que la fecha de finalización era el 15 de enero de 2019, con lo que el proyecto tenía 10 meses de atraso.

La Contraloría también encontró en ese momento que solo tenían borradores de planes de contingencias para seis de los 18 servicios. Los borradores elaborados contemplaban infraestructura de comunicaciones, administración de base de datos, gestión de respaldos, servidores, Tributación Digital, Tecnologías de Información para el Control Aduanero (TICA). Si bien esos seis borradores se tenían desde abril de 2018 y fueron enviados para su revisión, no había constancia de que esto último se hubiese efectuado.

El informe fue contundente: “La ausencia de un plan de continuidad, planes de contingencia tecnológica y acuerdos de nivel de servicio, que le permitan al Ministerio, garantizar de manera razonable, responder, recuperar, reanudar y restaurar a un nivel predefinido la operación; impide que la administración minimize pérdidas económicas, afectaciones legales, regulatorias o de imagen, sí se presenta un evento o falla inesperada que interrumpa las actividades normales”.

La auditoría de la Contraloría también encontró problemas de seguridad física en las instalaciones de procesamiento de datos ubicadas en el Edificio Efitec, Edificio Noga (subsanado con la migración al CPD Guatuso) y Oficinas Centrales. Incluso, llamó la atención sobre la falta de dispositivos adecuados para el control de acceso, que garanticen que solo usuarios autorizados pueden acceder.

El informe advirtió sobre riesgos por incendios, inundación, de aires acondicionados y sistema eléctrico. Hacienda respondió, a los auditores de la Contraloría, que las condiciones en los edificios Central y Efitec se debían a la antigüedad de las instalaciones, al tiempo que habría facilitado un calendario —con fecha final al 7 de febrero de 2020— para solventar las debilidades y trasladar sistemas y equipos al centro de protección de datos de Guatuso, en Cartago.

Respecto a la “seguridad lógica” se detectaron problemas con contraseñas, para bloqueo de usuarios en caso de inactividad o intentos de ingreso fallidos, usuarios activos que dejaron de laborar en la institución y tampoco se tenía registros y matriz de autorizaciones completas y actualizadas sobre nivel de roles y los accesos permitidos a cada funcionario.

En la auditoría se encontraron deficiencias relacionadas con la seguridad tales como falta de procedimientos para la gestión de respaldos, debilidades en el proceso de documentación de los estudios de vulnerabilidades y en el seguimiento de los mismo; así como, en la gestión de licencias, y desactualización de la base de datos de configuraciones y del software de los servidores.

En cuanto a la gestión de respaldos, no se han definido procedimientos para realizar respaldos y restauraciones, el manejo y almacenamiento de la información y la eliminación segura de los medios de información.

La Contraloría indicó que la Unidad de Gestión de Operaciones de tecnologías de información y comunicaciones ejecutaba los respaldos de los sistemas sin una estrategia documentada. “La estrategia que se sigue fue heredada de años anteriores”, indicó el informe.

En la inspección física de dos de las localidades en las que se tenían medios de respaldo, se encontraban en cajas sin rotulación adecuada y otros que datan del 2002 para los cuales no se tenía tecnología para accederlos.

“La ausencia de procedimientos formalmente documentados e implementados para realizar el respaldo, la recuperación y el almacenamiento, impiden poder minimizar los efectos de fallas (provocadas o accidentales), en medios físicos o lógicos en operación, que contienen información crítica del Ministerio”, subrayó el informe de la Contraloría.

Carlos Cordero Pérez

Carlos Cordero Pérez

Carlos Cordero es periodista especializado en temas tecnológicos. Escribe para El Financiero y es autor del blog "La Ley de Murphy".

LE RECOMENDAMOS

En beneficio de la transparencia y para evitar distorsiones del debate público por medios informáticos o aprovechando el anonimato, la sección de comentarios está reservada para nuestros suscriptores para comentar sobre el contenido de los artículos, no sobre los autores. El nombre completo y número de cédula del suscriptor aparecerá automáticamente con el comentario.