EscucharLa Contraloría General de la República (CGR) señaló, por medio de un reporte de auditoría, que persiste la vulnerabilidad en la seguridad de la información de los sistemas que intervienen en el procesamiento de datos de ingresos y egresos del Ministerio de Hacienda.
En dicho documento, la Contraloría analizó si la gestión de seguridad de la información de los sistemas de la cartera cumple razonablemente con el marco regulatorio. El periodo auditado comprendió del 1.º de enero del 2022 al 24 de marzo del 2023.
Según el órgano contralor, la gestión de seguridad de la información de los sistemas de Hacienda cumple parcialmente los criterios de confidencialidad, integridad y disponibilidad de la información, aunque señaló algunas vulnerabilidades que se mantienen.
LEA MÁS: Contraloría señala deficiencias de Hacienda en recuperación de sistemas luego del ciberataque
“Durante el proceso de fiscalización, se emitió un reporte a partir del cual el Ministerio realizó acciones de mejora; sin embargo, persisten situaciones que se abordan en los resultados del informe final”, afirmó Julissa Sáenz Leiva, gerente de Fiscalización para el Desarrollo de Finanzas Públicas de la Contraloría.
El ente contralor señaló que Hacienda no cuenta con un sistema de gestión de continuidad de negocio implementado que garantice estabilidad de los servicios, lo que limita su capacidad para responder, recuperar, reanudar y restaurar las operaciones.
“Un ejemplo de la necesidad de articular este sistema es que el restablecimiento de los sistemas críticos, producto del ciberataque que sufrió el Ministerio de Hacienda, tomó entre 56 días y 204 días pese a que el parámetro definido internamente era entre 2 y 8 días”, explicó la CGR.
Sobre la seguridad de las operaciones, la Contraloría identificó debilidades en cuanto a la gestión de activos, el control de accesos, la gestión de respaldos y recuperación de datos y la seguridad de los sistemas de información, que requieren de acciones correctivas.
Según la Contraloría, previo al ciberataque del grupo Conti, en abril del 2022, el Ministerio contaba con dos aplicaciones que le permitían listar los servidores y monitorear su disponibilidad, y rendimiento; sin embargo, luego del incidente solo se habilitó una de ellas, que apenas tiene 58 de 430 servidores configurados.
En total, la Contraloría identificó 144 vulnerabilidades en la fortaleza del software de los servidores de Hacienda ante las amenazas conocidas, de las cuales 80 son críticas y medias. “Estas deficiencias podrían ser explotadas por atacantes para comprometer la seguridad de los sistemas”, explicó la CGR.
También existen deficiencias en el control de los accesos, pues los sistemas Integra y TICA tienen más de 600 cuentas de usuario activas que no corresponden a funcionarios con acceso a esas plataformas, o de personal cesado, situación que pone en riesgo la confidencialidad e integridad de la información, de acuerdo con el informe.
En cuanto a la gestión de respaldo, la Contraloría señaló que Hacienda no tiene acuerdos de custodia de datos, los cuales son relevantes para definir cómo debe ser almacenada, respaldada, procesada y custodiada la información de los sistemas críticos.
Por otro lado, Hacienda no ha realizado una revisión y documentación completa y una actualización de la información de los sistemas críticos evaluados, que permita brindar una garantía razonable de su integridad posterior al ciberataque de Conti, según el ente contralor.
En febrero anterior, la Contraloría señaló deficiencias del Ministerio de Hacienda en la recuperación de sus sistemas luego del ciberataque de Conti, orientada principalmente a la gestión de la recuperación de la infraestructura afectada.
En ese entonces, la CGR indicó que el ataque afectó la información del sistema de gestión documental que la División de Adeudos Estatales de Hacienda utiliza para almacenar, administrar y controlar el flujo de documentos dentro de la División y el Departamento de Cobro Judicial.
En el informe publicado este lunes, el ente contralor afirmó que el Ministerio reportó un avance en la recuperación de la información de esos documentos, por medio de imágenes digitalizadas que tiene la empresa que provee el servicio de depuración y digitalización de expedientes a la institución, aunque no han podido validar si ya está completa.
‘Seguridad de la información no está en riesgo’
Ante el informe de auditoría publicado por la Contraloría, el Ministerio de Hacienda aseguró, en un comunicado enviado la noche de este lunes, que la seguridad de la información de la cartera no está en riesgo y que sus servidores cuentan con las herramientas tecnológicas que permiten determinar y monitorear su estado las 24 horas, todos los días del año.
“Esta institución se encuentra mejor preparada para enfrentar cualquier evento que intente afectar sus bases de datos y la continuidad de los servicios; asimismo, la seguridad de la información institucional no se encuentra comprometida”, indicó la cartera.
En el comunicado, Hacienda indicó que la situación existente durante el periodo del estudio (1.º de enero del 2022 al 24 de marzo del 2023) difiere de la que se tiene a la fecha, pues en el camino han logrado una optimización y fortalecimiento de las plataformas.
“El Ministerio de Hacienda es consciente de su responsabilidad con el resguardo de la información que le confían los usuarios de sus servicios, por eso sigue trabajando en las políticas de seguridad que garanticen la confidencialidad e integridad de sus bases de datos”, puntualizó la cartera.
