Indica que hay riesgo de fuga o manipulación de información: Contraloría alerta sobre las debilidades de seguridad en el sistema informático interno de la Dirección de Presupuestos

Mar 5, 2021 | Actualidad

Créditos Imagen : Facebook.com/contraloriacl

Andrés López Vergara, En Estrado.

Una serie de debilidades en el sistema de comunicación interno SIGFE, versión I, que ha utilizado la Dirección de Presupuestos fueron confirmadas por la Contraloría. Las conclusiones fueron incluidas en un informe de seguimiento realizado a la repartición dependiente del Ministerio de Hacienda, a raíz de una fiscalización efectuada en 2020, manteniendo una serie de observaciones.

“Ausencia de implementación de un protocolo de comunicación seguro en el SIGFE, versión I: Se advirtió que no se había implementado el protocolo de comunicación HTTPS, que permite las transferencias de información seguras. el que proporciona un canal cifrado que impide que terceras partes puedan ser capaces de interceptar y capturar los datos sin autorización, con el concerniente riesgo de fuga de información y/o manipulación de la misma”, señala una de las conclusiones.

Agregan además que hay una “falta de seguridad en la información contenida en et archivo generado, por el SIGFE, versión I, para realizar transferencias electrónicas de fondos: Se comprobó en el módulo de tesorería, que la información que genera SIGFE I, con la finalidad de realizar las transferencias electrónicas de fondos por parte del banco correspondiente, se encuentra contenida en un archive de texto, el que carece de mecanismos de protección que aseguren su confidencialidad e integridad”.

A raíz de esto, la Dirección de Presupuestos deberá informar en 60 días que “para la segunda versión del SIGFE incorporó un mecanismo de protección que asegure la confidencialidad e integridad de las transferencias electrónicas de fondos”.

Cuentas de acceso

También se detectaron que se crearon cuentas de acceso que “incumplen el principio de segregación de funciones y no se restringen los roles que administran la generación y aprobación de los documentos contables y egresos de tesorería.

“Posibilidad de abrir más de una sesión con la misma cuenta de usuario: Se comprobó que para el SIGFE en sus versiones I y II, se permitió la apertura de más de una conexión mediante el uso de la misma cuenta de usuario, lo que implica la posibilidad de que un tercero no autorizado acceda y/o modifique información sensible, sin que el usuario titular lo advierta”, es otro de los hallazgos.

Finalmente, detectaron también que hay “ausencia del cierre de las sesiones sin actividad: Se constató que el SIGFE I y ll no bloquea o cierra las sesiones sin actividad después de un período determinado, lo que implica la posibilidad de accesos no autorizados o el mal uso de la información sensible almacenada en las bases de datos institucionales”.

INFORME DE SEGUIMIENTO 435-2019 DIRECCION DE PRESUPUESTOS - FEBRERO 2021

| LO MAS LEIDO