lunes, 9 de febrero de 2009

Auditoría detectó fallas en el resguardo de la información personal de los chilenos

Contraloría alerta sobre la seguridad de los datos del Registro Civil

Nueva auditoría detectó fallas en el resguardo de la información personal de los chilenos: ex funcionarios que mantienen claves de acceso a los datos; riesgo de fuga de información; e ingresos sin registrar en los servidores .

El recién nombrado director del Registro Civil e Identificación, Christian Behm, tendrá una dura tarea cuando asuma el próximo 1 de marzo. Liderará un servicio sacudido por el escándalo de irregularidades en la anulada licitación de plataforma tecnológica que había ganado la empresa TATA, la que deberá relanzar, además de culminar la licitación del sistema de identificación (cédulas y pasaportes). Como si fuera poco, tendrá que corregir una serie de deficiencias en la seguridad de la información que maneja el Registro Civil, detectadas por la Contraloría en una auditoría que culminó el 28 de enero.
Pudo encontrarse con un panorama aún más oscuro. El informe inicial de la Contraloría detallaba graves falencias en las políticas y procedimientos de control relacionados con las tecnologías de la información y comunicaciones, vinculadas a los contratos que actualmente manejan las empresas Sonda y Adexus. Sin embargo, las autoridades del Registro Civil pudieron replicar y aclararon muchas de las observaciones (que seguirán siendo monitoreadas por la Contraloría), aunque sí mantuvieron preocupantes cuestionamientos a la forma en que se manejan los datos personales y privados de todos los chilenos.
Quizás la falla más grave esté en la forma caótica en que el servicio administra las cuentas de quienes tienen acceso a la información almacenada digitalmente. Al momento de realizarse la auditoría, se registraban 24.725 cuentas de usuarios, de las cuales 5.000 no tenían ninguna restricción de horario. En su respuesta, el Registro Civil disminuyó el número a 4.382 usuarios que pueden acceder al sistema durante las 24 horas, además de limitar a 15.591 el total de las cuentas activas. Lo anterior revela que hasta 2008 había cerca de 9.000 usuarios que debían ser cancelados.

El problema puede deberse a otro de los cuestionamientos de la Contraloría, que al intentar conciliar a los usuarios registrados con el personal listado por Recursos Humanos, obtuvo una concordancia de sólo 24%. “Por lo tanto, no es posible descartar la existencia de cuentas de usuarios pertenecientes a personal externo al servicio”, concluye el informe.

En otro acápite, se agrega que la expiración de las cuentas de los funcionarios desvinculados del servicio se realiza de forma extemporánea, detectándose que sólo el 10% de estos usuarios se encuentran en estado “cerrado”. En su réplica, el Registro Civil precisa que de 30.087 cuentas, 14.496 están cerradas y que 2.167 fueron caducadas durante 2008.
Además, el ente contralor cuestiona que haya usuarios externos al Registro Civil con privilegios de administrador, pese a que sólo deberían poder hacer consultas. En este caso están el Ministerio de Relaciones Exteriores y Gendarmería, entre otros. Dentro del mismo servicio, también hay personas con acceso completo al sistema aunque sus labores están restringidas a ámbitos específicos.

En su respuesta, el Registro Civil asume el problema y culpa a la antigüedad de plataforma informática, que no ha podido ser modernizada. Aunque no lo dice, dicha plataforma es la que Adexus administra desde 1993 y cuya licitación ha fracasado ya tres veces, la última de las cuales fue en marzo de 2008, luego de que CIPER denunciara que el asesor Andrés Contardo, trabajaba paralelamente en la empresa ganadora, TATA Consultancy Services y en el Registro Civil. Una nueva licitación fue anunciada en diciembre pasado.
El servicio reconoce que ha tenido dificultades en mantener actualizado el número de cuentas debido a la alta rotación de personal entre oficinas y funciones. Si bien se han adoptado medidas al respecto, se explica que los resultados han sido lentos. Para solucionarlo, anuncia un informe mensual de usuarios activos que deberá ser chequeado por cada jefe, lo que funcionará a partir del segundo semestre de 2009. Durante el año pasado se avanzó en la regularización de cuentas, que actualmente se distribuyen en 13.298 asignadas a funcionarios del Registro Civil y 2.293 a entidades con las que se tiene convenios de colaboración.

Respecto al acceso externo un sistema llamado “monito web”, que permite que 136 instituciones como el Sename o las municipalidades consulten información como defunciones o fecha de nacimiento, entre otros datos personales, se detectó que hay un registro parcial de los accesos mediante correos electrónicos y sin antecedentes de cierre de los mismos. Ante esto, el servicio se comprometió a normar la asignación de cuentas durante el segundo semestre.
La falta de seguridad en el manejo de los usuarios que tienen acceso a la información del Registro Civil se suma a la ya detectada en una auditoría especial de la Contraloría revelada hace un mes, donde se alertó de falencias similares en los usuarios que acceden al registro de condenas.

Fuga de información
Otro de los riesgos que preocupan a la Contraloría es que los controles asociados a las teconologías de la información no tienen mecanismos que impidan la fuga de información por parte de funcionarios. Éstos pueden emitir documentos con información sensible, tales como posesión efectiva, certificado de antecedentes, de dominio o informes de direcciones, a personas no autorizadas.
El Registro Civil asume que efectivamente no se puede garantizar que la información sea entregada al dueño de ésta. Como solución, en la nueva licitación de integración de plataforma tecnológica, se exigirá que la identidad de las personas se certifique a través de reconocimiento dactilar. El servicio aprobó además una solución (no especifica cual) para disminuir el riesgo de fuga, que no se ha aplicado por problemas presupuestarios.
Como al final es un funcionario el encargado de entregar la información, el servicio aclara que siempre quedará ahí una brecha que depende exclusivamente de esa persona.
Pero para la Contraloría el riesgo de fuga no está sólo en el Registro Civil, sino también en Carabineros e Investigaciones, que tienen acceso a una aplicación web que “entrega información sensible de todos los ciudadanos” para el apoyo de la Reforma Procesal Penal.
El servicio concuerda con el riesgo, pero aclara que en su momento “realizó los reparos pertinentes por la cantidad de información que se entregaría a través de esta aplicación, sin embargo, los fines que pretendía cumplir ameritó su puesta en producción”. Como resguardo, hay información detallada de las acciones de cada usuario, las que de hecho han sido solicitadas por la Policía de Investigaciones. Ésta tiene cuentas de usuarios, las que sólo a futuro se habilitarán para Carabineros.

La fábrica de SONDA
Uno de los contratos auditados es el que la empresa tecnológica SONDA se adjudicó en 2001 para la fabricación de cédulas de identidad y pasaportes y que actualmente está siendo licitado nuevamente. El 23 de abril pasado, la Contraloría fue hasta la fábrica de los documentos, en calle Catedral, detectando que los empleados de la empresa encargados de la confección de cédulas y pasaportes están en el mismo espacio físico que el servidor de la base de datos que almacena la información.
Aunque los separa un cristal, para la Contraloría se trata de una división insuficiente, pues puede quebrarse y afectar el funcionamiento. Por eso dice que el servicio deberá buscar la forma de separar al personal de la fábrica “por constituir un riesgo de accesos indebidos al servidor de bases de datos”.
La seguridad física de la sala de servidores del Registro Civil también es motivo de preocupación para la Contraloría, entre otras cosas porque los funcionarios entran con una clave pero su acceso no queda registrado.

Noticia completa ...

No hay comentarios: