Contraloría: cuentas genéricas y contraseñas débiles ponen en riesgo información del AyA

Auditoría señaló identificó “escaso direccionamiento y monitoreo del jerarca” como parte de los problemas.

La Contraloría General de la República (CGR) publicó un informe de la auditoría realizada al Instituto Costarricense de Acueductos y Alcantarillados (AyA) sobre la seguridad de la información de los sistemas sustantivos, encontrando múltiples deficiencias en la implementación de la seguridad informática.

El objetivo de la auditoria fue “determinar si la seguridad de la información de los sistemas críticos del AyA responden al marco normativo y buenas prácticas aplicables, de forma que respalden la gestión sustantiva institucional”, para lo cual se analizó “la gobernanza de la seguridad, los controles de ciberseguridad y continuidad del negocio; la operación, gestión y mantenimiento de sistemas, así como los controles para detener, atenuar y responder a posibles incidentes de ciberseguridad, durante el período 2022 y primer semestre 2023”.

Sobre los principales hallazgos de la auditoria la gerente del Área de Fiscalización para el Desarrollo Sostenible, Carolina Retana Valverde, indicó:

Se encontraron múltiples cuentas genéricas, débiles contraseñas y sin cambiar por más de 90 días, inclusive algunas más de mil días, todo esto expone al AyA a un riesgo de pérdida de confidencialidad, disponibilidad e integridad de la información, así como a una posible interrupción de los servicios, tiempo excesivo de recuperación y exposición a ataques externos”.

Además, desde la Contraloría puntualizaron que las carencias más relevantes encontradas incluyen:

• Cláusulas de confidencialidad de información y garantía de continuidad del servicio en documentos contractuales para servicios de Tecnología de la Información (TI).
• Gestión de cuentas de usuario pese a que el acceso a sistemas está restringido y existe una política de contraseñas.
• Estrategia de gestión de continuidad del negocio que asegure la provisión de servicios ante eventos que afecten la disponibilidad.
• Análisis de Impacto del Negocio, ni plan para la Contingencia Tecnológica, sumado a que la programación de respaldos no contempla las pruebas que garanticen su efectividad.
• Doble autenticación o superior configuración, en controles de autenticación de usuarios y de entrada de datos para los sistemas críticos.

Adicionalmente, el informe señala que la situación de seguridad informática se ve agravada por el “escaso direccionamiento y monitoreo del jerarca y titulares subordinados para conciliar la seguridad de la información como parte esencial del giro de negocio y la falta de seguimiento en la implementación de las políticas y controles de seguridad de la información”.

El informe concluye:

La protección de sus sistemas críticos no cumple razonablemente con lo establecido en la normativa y las buenas prácticas relativas a gobierno y gestión de seguridad de información. Asimismo, los procesos de gobierno y gestión que se vinculan a sistemas críticos no cumplen razonablemente con los principios de confidencialidad, disponibilidad e integridad de información. Además, existen vulnerabilidades conocidas en componentes externos y configuraciones de direcciones web de la institución que ponen en riesgo la infraestructura de Tecnología y por ende la disponibilidad de los servicios soportados por TI”.

Como acciones de seguimiento la Contraloría ordenó a la Presidencia Ejecutiva del AyA y a la Gerencia General de AyA una serie de medidas de carácter obligatorio para solventar las deficiencias identificadas poro la auditoria.