La Contraloría General de la República publicó un informe sobre la seguridad de los centros de datos que utiliza el Ministerio de Hacienda para dar servicios a la ciudadanía y a otras instituciones, y encontró deficiencias significativas de control interno, así como inobservancias de la normativa técnica que regula el tema.
En resumen, la Contraloría encontró que de 18 normas y políticas que cuenta la institución en el tema de seguridad de la información, al momento de la auditoría 12 no se cumplían del todo y 6 se cumplían parcialmente.
Uno de los principales hallazgos fue que, al momento de realizar la auditoría, se encontraron más de 5.000 cuentas de usuarios activas que no corresponden a funcionarios del Ministerio de Hacienda, por lo que, según señala el informe, esto “pone en riesgo la confidencialidad e integridad de la información, que es procesada y almacenada, en sistemas críticos”.
Por otro lado, la auditoría encontró que a pesar de que la Unidad de Seguridad de las Tecnología de la Información y la Comunicación (TIC) realiza evaluaciones de las vulnerabilidades de los servidores, durante el periodo de la auditoría se encontraron 20 informes a los que no se les dio seguimiento, lo que según la Contraloría representa más de 4.200 vulnerabilidades que permanecen activas y exponen la información.
La situación se agrava, ya que la auditoría determinó que desde el año 2013, no se ejecutaban actualizaciones de seguridad en los servidores del Ministerio.
La Contraloría realizó pruebas a una muestra de los servidores del Ministerio y encontró 2.672 vulnerabilidades, de las cuales 2.160 se consideraron críticas, y señaló que estas “pueden ser aprovechadas por personas mal intencionadas, para obtener acceso a información sensible y crítica, y a los sistemas y procesos subyacentes”.
Además, se encontraron falencias en el nivel de complejidad de las contraseñas y la regla de cambio de estas, así como reglas de bloqueo de usuarios y en el proceso para modificar y revocar el acceso de los usuarios a los sistemas. El informe encontró que las debilidades se extienden a la seguridad física de las bases de datos, es decir, los espacios donde se encuentran los servidores con la información no garantizan que solo usuarios autorizados puedan acceder a estos.
Adicionalmente, se señaló que estos espacios deben ajustarse para cumplir con requisitos de seguridad que mitiguen los riesgos de incendio o daños por inundación, presentan además daños en su infraestructura física y equipos de mantenimiento (sistema eléctrico y de aires acondicionados) en mal estado.
La auditoría evaluó los controles definidos por el Ministerio de Hacienda para garantizar la confidencialidad y disponibilidad de la información en los cuatro centros de datos que maneja el Ministerio de Hacienda, ubicados en el Edificio Central, Edificio Efitec, Edificio Noga y Edificio SIGM en el periodo 2018.
Acciones en Hacienda
Antes de la publicación del informe y durante el proceso mismo de la auditoría, el Ministerio de Hacienda tomó medidas reparativas acerca de las deficiencias encontradas por la Contraloría, que incluyen:
- En dos de los centros de datos se trasladaron los sistemas en operación.
- Uno de los cuatro centros de datos fue cerrado por completo.
- Se cerraron 3.798 cuentas de usuarios que no correspondían a funcionarios del Ministerio.
- Se aprobó una política para garantizar la continuidad de los servicios.
- A finales de julio de este año la Dirección de TIC del Ministerio autorizó un procedimiento para ejecutar estudios de vulnerabilidades con el fin de detectar comportamientos irregulares en los sistemas informáticos.