Arriesga gobierno su ciberseguridad

2018-11-08 23:28:22

SE DESCONOCE. En la Sepaf no respondieron si las observaciones hechas fueron solventadas. (Foto: Grisel Pajarito)

El posicionamiento de Jalisco como capital de la innovación tecnológica ha sido una de las principales apuestas de la administración que está por concluir; pero, paradójicamente, los sistemas de información del gobierno estatal cuentan con deficiencias en sus procesos de seguridad que pueden suponer riesgos de índole financiera o, incluso, afectaciones a las infraestructuras críticas de la entidad.

Como parte de la fiscalización de la Cuenta Pública 2017, la Auditoría Superior de la Federación (ASF) aplicó al gobierno de Jalisco una auditoría a las tecnologías de la información y comunicaciones (TIC). Además de verificar la correcta ejecución de una parte del gasto destinado a este rubro, el ejercicio incluyó una revisión de las acciones emprendidas en ámbitos como “gobierno y administración de las TIC, gestión de la seguridad de la información y continuidad de las operaciones”. 

A pesar de que, entre 2013 y 2017, el gobierno estatal invirtió más de 2 mil 99 millones de pesos en el ámbito de las TIC, los resultados del análisis fueron negativos.

El ejercicio se realizó, específicamente, a la Secretaría de Planeación, Administración y Finanzas (Sepaf), a la que se encuentra adscrita la Dirección General de Innovación y Gobierno Digital (DGIGD), unidad que tiene entre sus funciones el planear y coordinar políticas y disposiciones en materia de gobierno digital, realizar la dictaminación técnica para los contratos relacionados con las tecnologías de la información de las dependencias estatales, o generar los manuales administrativos sobre el tema.

En el informe de la ASF se recoge, entre muchas otras deficiencias, que el gobierno estatal no cuenta con un registro de incidentes de seguridad de la información ocurridos en sus sistemas ni se tiene una relación de las pruebas de hackeo ético realizadas por la propia administración; que se carece de una bitácora de las actividades ejecutadas sobre las bases de datos que permita monitorear movimientos o extracciones no autorizados; que en el procesamiento de transacciones financieras y en la elaboración de los reportes respectivos no se aplica una segregación de funciones que posibilite, a través de las TIC, la detección de eventuales fraudes, errores e irregularidades; que no se cuenta con una metodología para la administración de riesgos de TIC, y que no se pudo acreditar la existencia de mecanismos que garanticen la protección de las infraestructuras críticas.

PAGAN SERVICIOS SIN RECIBIRLOS

Para verificar la correcta gestión financiera en la materia y a manera de muestra, la ASF auditó el gasto de más de 31 millones 440 mil pesos derivado de dos contratos de prestación de servicios celebrados entre la Sepaf y empresas proveedoras.

Uno de ellos, el 503/17, relativo a la adquisición de una póliza de mantenimiento a equipo de cómputo de la dependencia, y el segundo (417/17) por la contratación de “servicios profesionales para la adecuación del motor contable”.

Sobre este último, la ASF expuso que “se carece de la documentación que acredite que las mejoras al motor contable del Sistema Integral de Información Financiera (SIIF) hayan sido implementadas por el prestador de servicios (…) No se comprobó por parte de la DGIGD que hayan validado que el personal del proveedor contara con el perfil requerido para el desempeño de sus funciones y no fue posible verificar que éstos hayan estado físicamente en las instalaciones de la Dirección de Tecnología Financiera (DTF)”.

A pesar de ello, la dependencia realizó pagos a la empresa proveedora (MF de Occidente SA de CV) por un monto de 18 millones 990 mil pesos, mismo que la ASF calificó como “recuperaciones probables”, toda vez que, si las observaciones emitidas no se solventan de forma adecuada, el recurso tendrá que ser reintegrado al erario.

En el contrato en cuestión se especifica que la elección del proveedor se dio a través de la licitación pública local 74/2017 resuelta por el Comité de Adquisiciones de la Administración Pública Centralizada del Poder Ejecutivo del Estado y que el pago correspondiente sería solventado con recursos estatales.

Como resultado general de la auditoría, la ASF dictaminó la emisión de cinco observaciones, 14 recomendaciones y una promoción de responsabilidad administrativa sancionatoria.

Este medio solicitó a la oficina de comunicación de la Sepaf información respecto a si los señalamientos hechos por el ente auditor fueron o no solventados; sin embargo, al cierre de esta edición no se había recibido una respuesta.

FALLA. El Poder Ejecutivo no cuenta con datos de incidentes de seguridad ocurridos en sus sistemas.

______________

OBJETIVOS LEJANOS

Los hallazgos de la ASF sobre las vulnerabilidades existentes en los sistemas de información de la administración estatal denotan que Jalisco se encuentra lejos de alcanzar algunos de los objetivos planteados en la Estrategia Nacional de Ciberseguridad (Ensg), una especie de ruta crítica mediante la que se aspira a fortalecer las acciones en la materia aplicables a los ámbitos social, económico y político.

La efectiva protección de las infraestructuras críticas de la información (definidas por la Ensg como las redes, servicios, equipos e instalaciones considerados estratégicos por estar relacionadas con la provisión de bienes y la prestación de servicios públicos esenciales, y cuya afectación pudiera comprometer ​la ​seguridad ​nacional), punto en el que la ASF encontró deficiencias en Jalisco, es uno de los ejes primarios del proyecto.

Si bien su implementación no se concretó durante la administración federal saliente y probablemente quedará reducida a una serie de recomendaciones que se entregarán al próximo gobierno, en el documento se estipula la necesidad de que las instituciones públicas federales y estatales mejoren sus esquemas de seguridad ante el incremento sostenido de ataques informáticos sofisticados.

Prueba de ello es que, según se desprende del reporte Tendencias de seguridad en América Latina y el Caribe, publicado por la Organización de los Estados Americanos (OEA), los ciberdelitos ocurridos en México durante 2013 supusieron un impacto económico de alrededor de 3 mil millones de dólares, posicionándose como la segunda nación más afectada de la región, únicamente por detrás de Brasil.

 

¿Qué observó la ASF?

  • El pago de casi 19 millones de pesos por concepto de prestación de “servicios profesionales para la adecuación del motor contable” sin que se haya podido verificar que el proveedor realizó dicha acción
  • Deficiencias en la supervisión de contratos y falta de documentación
  • Inexistencia de una metodología para la administración de riesgos de TIC
  • Falta de evidencia sobre la implementación del Sistema de Gestión de Seguridad de la Información (SGSI) y de mecanismos que garanticen la protección de las infraestructuras críticas
  • Carencia de definición del Plan de Continuidad de Negocio (BCP), el Análisis de Impacto al Negocio (BIA) y el Plan de Recuperación en caso de Desastres (DRP)

NÚMERO

2 mil 99 millones de pesos invirtió el gobierno estatal, de 2013 a 2017, en el ámbito de las TIC

JJ/I

 
Derechos reservados ® ntrguadalajara.com