Luego de que la Contraloría General de la República (CGR) encontrara debilidades en los centros de datos del Ministerio de Hacienda, la cartera anunció la movilización de estos al Instituto Costarricense de Electricidad (ICE).
El órgano adscrito a la Asamblea Legislativa examinó en 2018, la seguridad de la información almacenada en la institución, para verificar el cumplimiento de los principios de confidencialidad y disponibilidad de los datos.
Lo anterior por cuanto Hacienda brinda servicios a los ciudadanos e instituciones públicas del país, apoyados en las tecnologías de información y comunicación, por lo que revisten un carácter estratégico para el Ministerio. Estos servicios deben garantizar la seguridad de la información para la toma de decisiones y la salvaguarda de los activos.
Asimismo, la Contraloría resaltó que una tarea fundamental que se encomienda a la cartera como, rector del Sistema de Administración Financiera, es la coordinación de las actividades de procesamiento de datos, relacionados con los temas de Presupuesto, Tesorería, Crédito Público, Contabilidad, Administración de Bienes y Contratación Administrativa, declaración y recaudación tributaria, y gestión aduanera, entre otros.
En su auditoría, el ente contralor encontró que Hacienda:
- Carece de un proyecto de continuidad del negocio, planes de contingencia tecnológica y de acuerdos de nivel de servicio, lo que la expone a pérdidas económicas, afectaciones legales, regulatorias o de imagen, que tendría que enfrentar en caso de que se presente una falla para la cual no esté preparado
- Tiene debilidades significativas en la seguridad física y ambiental en los centros de procesamiento de datos administrados por el Ministerio relacionadas con el acceso físico que garantice que sólo los usuarios autorizados puedan acceder; el cumplimiento de normas que mitiguen los riesgos de incendio o daños por inundación; el deterioro de la infraestructura física y debilidades en el mantenimiento de equipos
- Dispone de 5.000 cuentas de usuarios activas que no corresponden a funcionarios de la cartera, arriesgando la confidencialidad e integridad de la información, que es procesada y almacenada, en sistemas críticos
- Sufre falencias en el nivel de complejidad de las contraseñas y la regla de cambio de las mismas, así como, reglas de bloqueo de usuarios y en el proceso para modificar y revocar el acceso de los usuarios a los sistemas
- No realizó el seguimiento de 20 informes emitidos por la Unidad de Seguridad de la Dirección de Tecnologías de la Información y Comunicación (TIC), por lo que, más de 4.200 vulnerabilidades permanecen activas, exponiendo la información
- Omite la aplicación de actualizaciones de seguridad en los servidores de los sistemas del Ministerio, desde el año 2013
- Usa licencias del software base, que no cuentan con versiones actualizadas y parches de seguridad. También, tiene en uso software de prueba para “emulador de terminales”
- No tiene diseñados e implementados procedimientos por medio de los cuales se regule lo atinente a la documentación de información en estudios de vulnerabilidades y su seguimiento; inventario de software; repositorio de acuerdos de licencias; realización de respaldos y restauraciones; manejo y almacenamiento de la información; eliminación segura de medios de respaldo, y la actualización de la Base de Datos de Configuración CMDB y software de los servidores
Por lo anterior, la Contraloría General ordenó al ministro de Hacienda, Rodrigo Chaves, implementar un plan de continuidad de negocio.
A la Dirección de Tecnología de Información y Comunicaciones, le dispuso implementar una serie de controles, en la forma de procedimientos, y actividades que permitirán subsanar las debilidades encontradas a nivel operacional.
Medidas tomadas
Como respuesta, el Ministerio de Hacienda informó que trasladó todos los sistemas y equipos de soporte a la información institucional, a un robusto centro de datos categoría TIER III, arrendado al Instituto de Electricidad.
Además, estableció una alianza con dicha entidad para la implementación conjunta de una estrategia de seguridad de información, que incluye el servicio de protección Clean Pipes, contra uno de los ataques más recurrentes a empresas con presencia en internet.
También anunció una actualización del sistema operativo y mejoras en infraestructura, la eliminación de los usuarios inactivos, la actualización de las políticas de acceso a los sistemas y el monitoreo en tiempo real de 3.500 terminales internas para verificar si atienden las medidas de la seguridad respectivas.
Las medidas las especificó la directora de Tecnología de Información y Comunicación de Hacienda, Alicia Avendaño.
“El Ministerio mantiene todos sus sistemas e información en un centro de datos con equipo de alto nivel, lo que permite la continuidad de operaciones, no interrumpir el servicio al momento de realizar mantenimiento básico y una disponibilidad promedio del 99.5%, durante los 365 días del año”, manifestó la funcionaria.
Avendaño explicó que los sistemas operativos que están en el nuevo centro de datos cuentan con las versiones más recientes, lo que mitiga las vulnerabilidades asociadas a los equipos.
La Dirección de Tecnologías de Información y Comunicación, adicionalmente, atiende las recomendaciones emitidas por la Contraloría General de la República.
En cuanto a los planes de continuidad del negocio y contingencia tecnológica, la institución indicó que cuenta con planes para minimizar pérdidas económicas y afectaciones legales y regulatorias, adicionalmente, desde el 2017 se trabaja en un proyecto más amplio que entrará a operar en junio de 2020.