Sistema público de ayuda a pobres descuida la confidencialidad de datos
› Sinirube carece de controles suficientes para detectar piratería, entre otras debilidades
“SUS PERFILES DE PRIVILEGIOS DE ACCESO (DE LOS ADMINISTRADORES DEL SISTEMA) SON EXCESIVOS Y NO OBEDECEN A LOS PRINCIPIOS MENCIONADOS DE MÍNIMO PRIVILEGIO”. Contraloría General de la República informe de auditoría dFoe-Bis-iF-00002-2021
Irene Vizcaíno,
ivizcaino@nacion.com
En momentos en que el tema del manejo de datos personales es de enorme relevancia, la Contraloría General de la República hizo un llamado de atención por el uso y la custodia de información sobre las familias de más bajos recursos del país que está en manos del Instituto Mixto de Ayuda Social (IMAS).
Se trata del Sistema Nacional de Información y Registro Único de Beneficiarios del Estado (Sinirube), que, según el órgano contralor, desatiende principios de confidencialidad, disponibilidad e integridad de datos.
De acuerdo con una auditoría de la CGR, dada a conocer este jueves, Sinirube no tiene gestión de seguridad informática para las bases de datos que maneja, donde se guardan direcciones de las familias, personas sin trabajo o sin vivienda, condiciones de vida y de salud, y antecedentes de estos hogares.
Tan delicada es la información en la plataforma que unas 78 instituciones públicas la usan en el marco de 42 programas de ayuda social. Sinirube les sirve como referencia para distribuir ayudas.
Sinirube no cuida los datos, afirma el análisis de la CGR. En consecuencia, agrega, no hay controles para prevenir o detectar acciones de piratería informática o análisis del nivel de riesgo de seguridad de la información en su poder.
El informe de auditoría DFOE-BIS-IF-00002-2021 asegura que un mal uso y un control deficiente para una rutina como elaborar contraseñas de acceso a computadoras, puede exponer a la institución a un manejo equivocado y a la violación de la confidencialidad de datos altamente sensibles, “con repercusiones muy negativas para la institución y la privacidad de los beneficiarios”.
Otro riesgo relevante es la falta de controles críticos, como pautas para crear contraseñas de acceso a bases de datos o la gestión de identidades y supervisión de usuarios con altos privilegios.
Es más, como tampoco están previstas actividades correctivas a corto plazo, se vuelve “apremiante” atender la situación, “especialmente por la sensibilidad de la información contenida en el sistema y la privacidad que debe garantizarse a los beneficiarios”.
Juan Luis Bermúdez, presidente ejecutivo del IMAS, informó de que conocerá los informes de la Contraloría en una sesión programada para este mes, en la que se evaluarán las disposiciones y se revisará con la administración la ruta y requerimientos para su implementación en el plazo previsto.
Inseguridad. Según la CGR, tanto es el riesgo que el personal de Tecnologías de Información del Sistema, que opera equipos y actualiza la información de las 78 instituciones que alimentan la plataforma, tampoco tiene una adecuada separación de funciones críticas.
Esto quiere decir que algunas de sus actividades podrían resultar incompatibles con el tratamiento de la información; por ejemplo, el poder de recibir, autorizar y aplicar los datos que se cargan al Sistema.
Estos administradores incluso disponen de privilegios para modificar parámetros en las bases de datos, sin que aparentemente alguien esté al tanto.
“Además, sus perfiles de privilegios de acceso son excesivos y no obedecen a los principios mencionados de mínimo privilegio”, reitera el órgano contralor.
Esta debilidad en la separación de funciones, añade el análisis de la CGR, también expone a la institución a perder la confidencialidad e integridad de datos sensibles tanto del propio Sistema como de todas las demás entidades, “así como la exposición de la privacidad de los beneficiarios, con el agravante de la imposibilidad de establecer responsabilidades”.
Esos no son los únicos señalamientos.
Otra auditoría de la CGR, la DFOE-BIS-IF-00001-2021, también apunta a que, en relación con operaciones de Tecnologías de Información, al menos un 95% de las instituciones usuarias del Sistema (75 de 79) incumplen con su obligación de remitir de manera periódica datos para alimentarlo, como fue estipulado en los convenios entre partes.
Según este segundo informe, Sinirube también carece de controles para garantizar la actualización de la información en tiempo y forma.
Al respecto, un 32,1% de los usuarios del Sistema perciben que la información allí contenida está desactualizada.
Acciones en curso. Juan Luis Bermúdez, también ministro de Desarrollo Humano, afirmó que las disposiciones de la CGR “complementan y fortalecen acciones que están en curso a partir del Plan Estratégico 2020-2024 del Sinirube, y que parte de un análisis integral de tecnologías de información y de la estructura organizacional, en aras de fortalecer las capacidades de gestión, calidad y seguridad del sistema”.
Los estudios de la Contraloría, dijo, permitieron compartir esos avances en materia de gestión de actualización y seguridad de la información.
“Desde la Dirección Ejecutiva de Sinirube se considera que las disposiciones buscan fortalecer la ruta de mejora continua que se ha delineado desde los inicios de la institución, seis años atrás”, indicó Bermúdez.