EscucharLa Contraloría General de la República realizó una auditoría en el Ministerio de Hacienda sobre la seguridad de la información de los sistemas, los cuales sufrieron un hackeo por el grupo Conti hace más de un año.
El informe destacó que esta auditoría toma relevancia debido a la rectoría del Sistema de Administración Financiera, a cargo de Hacienda, y sus tareas de coordinación de actividades de procesamiento de datos para procesos como presupuesto, tesorería, crédito público, contabilidad, contratación pública, recaudación tributaria, gestión aduanera, entre otros.
LEA MÁS: Un año del hackeo a Hacienda: crónica del ataque que sometió a Costa Rica
La auditoría se realizó de conformidad con las Normas Generales de Auditoría para el sector público, utilizando el manual general de fiscalización integral de la Contraloría, el procedimiento de auditoría vigente, basados en los principios fundamentales de auditoría del sector público y los principios de la auditoría de cumplimiento de las Normas Internacionales de las entidades fiscalizadoras superiores.
Para el desarrollo de esta auditoría se utilizó las respuestas a las consultas planteadas por escrito, tanto al personal del Ministerio como instituciones del sector público, y la documentación de respaldo vigente al 18 de abril de 2023.
También, se ejecutaron pruebas de campo y sesiones virtuales de trabajo con ese personal, mediante las cuales se obtuvieron insumos acerca de la gestión de seguridad de la información de los sistemas del Ministerio, los motivos que generaron las situaciones y posibles acciones para mejorar dicha gestión.
La Contraloría realizó varias recomendaciones al Ministerio, entre las cuales incluyó elaborar un sistema de gestión de continuidad de negocio que incluya cada uno de sus componentes y que permitan a la organización planificar, implementar, mantener y mejorar su capacidad para hacer frente a situaciones de interrupción del negocio.
“Para acreditar el cumplimiento de la disposición se deberá emitir a la Contraloría General, a más tardar el 25 de agosto de 2023 y 15 de diciembre de 2023, un informe de avance en que conste la elaboración del sistema de gestión de continuidad de negocio, en el que se incluyan las acciones específicas para su elaboración”, indicó el informe.
En 2024, además, Hacienda deberá contar con una certificación que haga constar que se elaboró el sistema de continuidad de negocio, otra certificación en que conste la oficialización y capacitación sobre el sistema elaborado y uniforme de avance en que conste la implementación del sistema.
Hallazgos
Contraloría señaló en el informe que Hacienda:
—No cuenta con un sistema de gestión de continuidad de negocio implementado que garantice una continuidad de los servicios planificada, probada y gestionada de manera constante.
—58 de 430 servidores totales son vigilados con una aplicación de monitoreo de servidores posterior al ciberataque, lo cual puede dificultar la identificación de problemas en el estado y rendimiento de esos servidores.
—Los sistemas Integra y TICA tienen más de 600 cuentas de usuario activas que no corresponden a funcionarios con privilegios en el aplicativo o es personal cesado. Lo que pone en riesgo la confidencialidad e integridad de la información.
—No se ha realizado revisión y documentación de la “completitud” y actualización de la información de los sistemas críticos evaluados que permita brindar una garantía razonable de su integridad posterior al ciberataque.
—Además de las alertas generadas por herramientas implementadas por el Ministerio para detectar, analizar y mitigar los riesgos de seguridad, se encontraron 1.660 alertas activas, de las cuales 1.057 son altas y medias, correspondientes al año 2022 y 2023.
—Se identificaron 144 vulnerabilidades en la fortaleza del software de los servidores ante amenazas conocidas, de las cuales 80 son críticas y medias. Estas vulnerabilidades podrían ser explotadas por atacantes para comprometer la seguridad de los sistemas.
