Pese a la experiencia sufrida por el país en el terremoto del 27/F, el área informática de Presidencia “no cuenta con un plan de contingencia ante situaciones de emergencia», faltan protocolos de seguridad respecto a quienes tienen acceso a servidores y computadores de la red presidencial, hay inconsistencias en el sistema de subvenciones, faltan procedimientos de protección física de los datos. Suma y sigue. Un informe de Contraloría publicado el 14 de abril pasado pone en tela de juicio cómo se organiza y protege información sensible de la primera magistratura. El gobierno se comprometió a subsanar los problemas antes de fin de año.
El sistema de tecnología y comunicaciones de la Presidencia de la República no pasó la prueba. Así lo determinó un informe de Contraloría publicado el 14 de abril y que había pasado desapercibido hasta ahora.
El documento, firmado por la abogada jefe de la división de Auditoría Administrativa de Contraloría, María Isabel Carrill, se originó a raíz de una auditoría aleatoria efectuada a los sistemas informáticos de Presidencia.
Sin tomar en cuenta que los datos sensibles de seguridad informática publicados podrían ser utilizados por organismos de inteligencia extranjeros o crackers de cualquier tipo, Contraloría además puso en tela de juicio cómo se organiza y protege la información que maneja la Presidencia.
En respuesta, el gobierno se comprometió a subsanar los problemas antes de fin de año, algo refrendado a El Mostrador por el asesor web de Presidencia, Pablo Matamoros, quien aseguró que se definió junto a Contraloría un cronograma de trabajo y cumplimiento de las recomendaciones del organismo fiscalizador de aquí a fines de 2011.
Las conclusiones del Informe son elocuentes. Se detectaron falencias tales como que, pese a la experiencia sufrida por el país en el terremoto del 27/F, el área informática de Presidencia “no cuenta con un plan de contingencia formal para asegurar la continuidad de operaciones críticas”. Tampoco existe nadie designado como encargado de seguridad, ni hay un “procedimiento formal o política de seguridad pública” para respaldar información en caso de un accidente o problema en el sistema.
[cita]Contraloría además descubrió que cualquier funcionario puede acceder a documentos que pueden ser de carácter reservado. “No se promueven buenas prácticas para reducir el riesgo de acceso no autorizado a documentos electrónicos o sistemas informáticos”; y no hay “procedimientos formales de autorización para determinar quién tiene permitido acceder a qué redes y servicios de red”.[/cita]
En materia de prioridades y niveles de seguridad, Contraloría también detectó que “no se clasifican ni etiquetan los documentos electrónicos y sistemas informáticos para indicar la necesidad, prioridad y grado de protección”.
Por otra parte no existe “un sitio externo de respaldo (de información) por lo que no existe política de acceso a éste”.
Si bien se formatean los equipos computacionales antes de ser dados de baja, esta medida se aplica “solo para el ‘personal relevante’, no para todos los equipos”.
Por otro lado “los dispositivos en desuso que contienen información sensible, no son eliminados por incineración o trituración, o vaciado de los datos mediante otra aplicación dentro del Servicio. Tampoco cuentan con un procedimiento formal que notifique la transmisión, despacho y recepción de información y software, y que defina normas para empaquetar y transmitir información”.
Cuando hay sospechas de posibles problemas de seguridad, los funcionarios no tienen un protocolo o instrucciones que les indiquen la obligatoriedad de “cambiar contraseñas”. En este mismo punto, el documento asegura que “sólo se dispone que las claves tengan ocho caracteres y no que incluya mayúsculas, minúsculas, dígitos y caracteres especiales, ni tampoco que contemplen datos obvios como la fecha de nacimiento, el RUT, entre otros”.
Contraloría además descubrió que cualquier funcionario puede acceder a documentos que pueden ser de carácter reservado. “No se promueven buenas prácticas para reducir el riesgo de acceso no autorizado a documentos electrónicos o sistemas informáticos”; y no hay “procedimientos formales de autorización para determinar quién tiene permitido acceder a qué redes y servicios de red”.
Por si eso fuera poco, cuando llegan visitas “a las instalaciones sensibles y de procesamiento de información”, estas “no firman un compromiso de no divulgación, ni se les informa de las restricciones y requisitos de seguridad y de los procedimientos de emergencia del área. El personal de las instalaciones sensibles y de procesamiento de información no usa identificación visible” y “no existe un registro formal de los cambios significativos realizados a las instalaciones y sistemas de procesamiento de información del Servicio”.
