Pese a hallazgos de informe de auditoría, Hacienda afirma que seguridad de la información "no está en riesgo"

Hacienda afirmó que la seguridad de su información no está en riesgo, y que su situación actual dista mucho de la que enfrentó con el ciberataque del 2022.

El Ministerio de Hacienda afirmó la tarde de este lunes que la seguridad de la información almacenada en servidores de la institución "no está en riesgo", en respuesta a la publicación horas antes de un informe de auditoría de la Contraloría General de la República (CGR) que dio cuenta de vulnerabilidades en los sistemas informáticos.

A través de un comunicado de prensa Hacienda afirmó que, a la fecha, la institución está "mejor preparada" para enfrentar "cualquier evento que intente afectar sus bases de datos y la continuidad de los servicios", y que "la seguridad de la información institucional no se encuentra comprometida".

Según Hacienda, los hallazgos de la auditoría debieron ser considerados en virtud del plazo del estudio, hecho del 1 de enero del 2022 al 24 de marzo de 2023, un periodo de tiempo que abarca fechas en las cuales el Gobierno estaba bajo ciberataque por grupos criminales extranjeros.

Asimismo, Hacienda afirmó que a la fecha cuenta con 304 servidores de producción, "todos son monitoreados desde el punto de vista de seguridad", mientras que la Contraloría reportó que de 430 servidores, solo 58 eran monitoreados con una aplicación de servidores posterior al ciberataque, lo cual podría dificultar la identificación de problemas en el estado y rendimiento de esos servidores.

En contraparte, Hacienda afirmó que de los 304 servidores de producción, 185 (61%) son monitoreados en su operación (rendimiento y disponibilidad, entre otros) y para los restantes, ya existe un plan de trabajo que terminará de ejecutarse en tres semanas.

La Contraloría dijo haber encontrado 1660 alertas de seguridad activas, pero el ministerio afirmó que de esas el 80% ya fueron atendidas mientras que el 20% restante "está en proceso de cierre"; y que de las 144 vulnerabilidades en la fortaleza de los programas de los servidores ante amenazas conocidas detectadas en la auditoría, ya se subsanaron 110. 

Hacienda no se refirió, sin embargo, a la afirmación de la Contraloría de que existen más de 600 cuentas de usuario activas que no corresponde a funcionarios actuales en los sistemas Integra (con el cual se paga la planilla del Estado) y el sistema TICA (usado en procesos aduaneros). Solamente se limitó a afirmar que "para garantizar el acceso a la información únicamente al personal que corresponda, realiza un plan de revisión y seguimiento de las autorizaciones".

El Ministerio de Hacienda es consciente de su responsabilidad con el resguardo de la información que le confían los usuarios de sus servicios, por eso sigue trabajando en las políticas de seguridad que garanticen la confidencialidad e integridad de sus bases de datos. A la fecha, se cuenta con una Política Corporativa de Seguridad de la Información y una Específica, conformada, a su vez, por diez lineamientos para prevenir y mitigar riesgos, proteger la información institucional y mejorar controles internos, entre otros, todos de acatamiento obligatorio por parte de su personal.

Finalmente Hacienda afirmó que la seguridad de su información no está en riesgo, y que su situación actual dista mucho de la que enfrentó con el ciberataque del 2022.