Contraloría advierte vulnerabilidades en seguridad de la información de los sistemas de Hacienda

Hallazgos incluyen más de 600 cuentas de usuario activas que no corresponden a funcionarios con privilegios  o son de personal cesado.

La Contraloría General de la República publicó el día de hoy los resultados de una auditoría realizada en el Ministerio de Hacienda sobre la seguridad de la información de los sistemas. La auditoria se realizó con el objetivo de "determinar si la gestión de seguridad de la información de los sistemas del Ministerio de Hacienda, que intervienen en el procesamiento de la información para los procesos de ingresos y egresos, cumple razonablemente con el marco regulatorio aplicable".

Dato D+: La auditoría cubre el período comprendido entre el 1 de enero de 2022 al 24 de marzo de 2023.

Desde la Contraloría señalaron que los principales hallazgos incluyen:

• No se cuenta con un sistema de gestión de continuidad de negocio implementado que garantice una continuidad de los servicios planificada, probada y gestionada de manera constante.
• 58 de 430 servidores totales son monitoreados en una aplicación de monitoreo de servidores posterior al ciberataque, lo cual puede dificultar la identificación de problemas en el estado y rendimiento de esos servidores.
• Los sistemas Integra y TICA tienen más de 600 cuentas activas que no corresponden a personas funcionarias con privilegios en el aplicativo o personal cesado, lo que pone en riesgo la confidencialidad e integridad de la información.
• No se ha realizado una revisión y documentación de la completitud y actualización de la información de los sistemas críticos evaluados que permita brindar una garantía razonable de su integridad posterior al ciberataque.
• Además de las alertas generadas por herramientas implementadas por el Ministerio para detectar, analizar y mitigar los riesgos de seguridad, se encontraron 1.660 alertas activas, de las cuales 1.057 son altas y medias, correspondientes al año 2022 y 2023.
• Se identificaron 144 vulnerabilidades en la fortaleza del software de los servidores ante amenazas conocidas, de las cuales 80 son críticas y medias. Estas vulnerabilidades podrían ser explotadas por atacantes para comprometer la seguridad de los sistemas.

Sobre estos resultados de la auditoria, la gerente de Fiscalización para el Desarrollo de las Finanzas, Julissa Saénz Leiva,  señaló:

Durante el proceso de fiscalización se emitió un reporte a partir del cual el Ministerio realizó acciones de mejora, sin embargo, persisten situaciones que se abordan en los resultados y disposiciones del informe final, tales como que no se ha concretado un sistema de gestión de continuidad de negocio y que existen debilidades en la gestión de activos, control de accesos, gestión de respaldos y recuperación de datos.

Sáenz puntualizó estas debilidades señalando que todavía "existen cuentas de usuario activas que no corresponden a personas funcionarias"y "no se ha realizado la revisión de la completitud de la información de los sistemas para dar garantía razonable de su integridad posterior al ciberataque".

Adicionalmente Sáenz añadió que el Ministerio de Hacienda todavía requiere definir controles en la ejecución de respaldos, así como mejoras en la verificación periódica para que los sistemas de información cumplan con los requerimientos de seguridad, e incluso se identificaron vulnerabilidades en la fortaleza del software de los servidores.

Por último, Sáenz reconoció que “si bien se reporta un avance en la recuperación de expedientes de la División de Adeudos Estatales, la información aún no ha sido revisada para validar si está completa”.