Una auditoría revela vulnerabilidades graves en los sistemas informáticos de la SCJN además de inversiones con irregularidades y sobrecostos.
Los expedientes de la Suprema Corte de Justicia de la Nación (SCJN) de México están en riesgo. La Auditoría Superior de la Federación (ASF) reveló que los sistemas informáticos de la SCJN presentan al menos ocho fallas o carencias que ponen en peligro la confidencialidad e integridad de sus datos y el funcionamiento de la misma.
Los resultados de una auditoría de la ASF a las llamadas Tecnologías de Información y Comunicaciones de la SCJN evidencian problemas que van desde falta de protocolos tan sencillos como bloqueo de contraseñas que no se usan, hasta una nula supervisión a personal externo que tiene acceso a los archivos, y ausencia de un programa de control de riesgos.
Las resoluciones que se encuentran en los miles de expedientes de la SCJN son de suma importancia para la vida democrática del país, pues con éstas se ayuda a mantener un equilibrio entre los distintos Poderes y ámbitos de gobierno; además de solucionar asuntos que son de gran importancia para la sociedad. Preservar la información tendría que significar una de las prioridades del Poder Judicial.
La realidad según lo dicho por la ASF es otra: “Por las deficiencias detectadas en… los Controles de Acceso y Administración de Usuarios, Políticas de Seguridad de la Información, Seguridad en la Adquisición, Desarrollo y Soporte a los Sistemas de Información, Administración de Incidentes y Continuidad del Negocio/Recuperación de Desastres, se pone en riesgo la confidencialidad, integridad, disponibilidad y continuidad de los activos de información de la SCJN” determinó la Auditoría.
No sólo eso. Se encontraron irregularidades en procesos de contratación de servicios informáticos como, por ejemplo, falta de análisis de mercado para obtener las mejores condiciones de calidad en las adjudicaciones. En algunos casos no hay evidencia de que lo pagado se haya realizado, e incluso se ha tenido que gastar más dinero.
Esto, subraya la Auditoría, representa un doble riesgo para la Corte ya que ante alguna contingencia mayor no existen garantías de que los sistemas informáticos del máximo tribunal o por lo menos sus aplicaciones críticas se mantengan funcionando.
Los ocho riesgos
1. Nulo control de usuarios
Los auditores identificaron que el máximo tribunal del país carece de un control estricto de las cuentas que se habilitan para que los usuarios entren al sistema, y no existe un sistema que valide las cuentas de forma continua y las anule en caso de algún riesgo.
“Se corre el riesgo de que los usuarios puedan contar con permisos para acceder a información que no le corresponde de acuerdo a sus funciones y responsabilidades, en consecuencia, se podría perder la confidencialidad en la información y existe la posibilidad de ejecutar transacciones no autorizadas que ponen en riesgo los activos de la SCJN” indica la auditoría.
2. Cuentas privilegiadas… para externos
De forma inexplicable no hay funcionarios en la Corte que cuenten con contraseñas privilegiadas para ingresar a todos los sistemas y por el contrario, estas se encuentran en manos de proveedores externos lo que pone en riesgo la integridad de la información judicial.
“Los accesos y cuentas privilegiadas son administrados por proveedores externos, los cuales podrían realizar cambios no autorizados a la configuración de los equipos.
3. Contraseñas infinitas
Los sistemas informáticos de la Suprema Corte de Justicia de la Nación carecen de una herramienta que anule las contraseñas de ingreso a la red que ya no estén en uso o hayan expirado.
“Se detectó que las contraseñas de acceso a la red no expiran, lo cual pone en riesgo la confidencialidad de la información almacenada en los equipos de la SCJN” indicó el máximo tribunal.
4. Nula monitoreo de la estructura informática
La Corte no cuenta con procedimientos o protocolos relacionados con la revisión periódica del funcionamiento del sistema informático, lo que abre paso a que no se detecten oportunamente comportamientos extraños o la presencia de un software malicioso que pudiera provocar fuga de información o alteración de los datos.
“Las pistas de auditoría y las bitácoras no son revisadas de manera periódica a fin de detectar oportunamente movimientos irregulares o cambios no autorizados, en consecuencia, usuarios maliciosos pueden ejecutar transacciones no autorizadas que comprometan la integridad de los activos sin ser detectados indica el análisis.
5. Blindaje cero
La Suprema Corte no cuenta con un sistema integral de seguridad de la información por lo que se carece de escudos que, de ser el caso, impidan la infiltración o la extracción de datos de los tribunales.
“Tiene el riesgo de robo o pérdida de información confidencial debido a que se carece de un sistema de gestión de seguridad de la información que permita salvaguardar los activos de información e implementar políticas para la protección de información sensible” señala el documento.
6. ¿Requisitos mínimos de seguridad? Que va…
La Corte no cuenta con una normativa o por lo menos alguna guía en donde se establezcan los estándares mínimos de seguridad con los que deben contar las aplicaciones en las que se sostiene la operación de los sistemas.
Esto puede ocasionar que los sistemas que se pongan en marcha tengan vulnerabilidades que no se detectan hasta que ya están en funcionamiento, con el riesgo que ello conlleva.
7. No hay plan de control de riesgos o daños
En su revisión la Auditoria Superior de la Federación descubrió que el máximo tribunal del país no tiene un procedimiento o protocolo a nivel institucional para reaccionar en casos donde se vea comprometida la integridad de los sistemas informáticos o bases de datos,.
“No se cuenta con un procedimiento de atención de incidentes de seguridad a nivel institucional, que contemple su prevención, detección, manejo, respuesta, restablecimiento y comunicación, con el riesgo de comprometer la integridad y confidencialidad de los activos de información de la SCJN” indica el análisis.
8. Imposible recuperar información
Los auditores también establecieron que la Corte no cuenta con alguna herramienta o un Plan de Recuperación en caso de que se presente alguna contingencia grave. Esto significa, por ejemplo, que en caso de un ataque informático la mayoría de los servidores del tribunal no tienen respaldos adecuados que les permita seguir en funcionamiento ni recuperar datos que pudieran ser borrados.
El colmo: adquisiciones dudosas
De forma paralela al desempeño los auditores también encontraron algunas anomalías financieras en las inversiones realizadas en la SCJN que tienen que ver con tecnologías de la información y comunicaciones.
Por ejemplo, la Corte asignó un contrato de casi nueve millones de pesos a la Universidad Autónoma del estado de México relacionado con soportes técnicos especializados en redes y datos sin que haya evidencia del procedimiento que se realizó para determinar los precios. Dicho contrato ha sido otorgado tres veces a la misma institución sin que existe estudio alguno de mercado.
“No existe evidencia documental de las alternativas y escenarios de solución para la prestación de los servicios, así como los procedimientos de contratación idóneos y la justificación de las funciones” estableció la auditoria. Además, los contratos tienen varios errores de tipo normativo.
Por otro lado, un contrato plurianual relacionado con los servicios de hospedaje de los servidores que mantienen en funcionamiento la página de internet de la Corte, y firmado desde 2011, se encontró que los precios se han llegado a incrementar año con año hasta 7 por ciento, promedio muy superior al de la inflación.
La Auditoría también encontró que la Corte dio a la Comisión Federal de Electricidad (CFE) un contrato plurianual por servicios de telefonía e internet que, en 2015, representó un pago de casi 12 millones de pesos.
Dicho procedimiento se realizó en mayo de 2015 sin que se respetaran varias disposiciones de las leyes de adquisiciones y el contrato presenta múltiples huecos y errores pero además, se detectó que fallas del proveedor provocó que la SCJN se quedara 80 horas sin ningún servicio de telefonía e internet, lo que obligó a la institución a contratar a otro proveedor en el lapso afectado. Todo en deterioro del erario.
FUENTE: ANIMAL POLÍTICO.
AUTOR: ARTURO ANGEL.
LINK: http://www.animalpolitico.com/2017/02/corte-auditoria-scjn-informacion/