Por Jason Bramwell, Escritor del personal
En su informe , el Inspector General del Tesoro para la Administración Tributaria (TIGTA) llegó a la conclusión de que el Servicio de Impuestos Internos (IRS) debe intensificar sus esfuerzos de seguimiento para eliminar los puntos débiles en la seguridad de los sistemas relacionados con los datos de los contribuyentes.
El Departamento del Tesoro de los EE.UU. implementó el Sistema Empresarial de Gestión de Auditorías Conjuntas (JAMES) para su uso por todas las oficinas, incluyendo el IRS, para rastrear, monitorear e informar el estado de los resultados de las auditorías de control interno. El JAMES hace un seguimiento de la información específica sobre cuestiones, conclusiones, recomendaciones y acciones correctivas planificadas (PCA) a partir de los informes de auditoría emitidos por la Oficina de Responsabilidad Gubernamental (GAO), el TIGTA y la Oficina del Inspector General del Tesoro.
Además, el Departamento del Tesoro utiliza esta información para evaluar la eficacia y los progresos de las oficinas en la corrección de sus deficiencias de control interno y la aplicación de las recomendaciones de auditoría.
En su informe, el TIGTA examinó si las medidas correctivas cerradas a las deficiencias de seguridad y las conclusiones que había recomendado previamente al Servicio de Impuestos Internos se habían aplicado plenamente, validado y documentado como aplicadas.
Lo que el TIGTA encontró fue que ocho (42 por ciento) de diecinueve PCA que fueron aprobados y cerrados como totalmente implementados para abordar las debilidades de seguridad reportadas en anteriores auditorías del TIGTA, sólo fueron implementados parcialmente. Estos PCA involucraban sistemas con datos de los contribuyentes, según el TIGTA.
"Entre los ejemplos de medidas correctivas que no se aplicaron plenamente figuran los servidores que no se examinaron en busca de vulnerabilidades críticas e importantes, como las contraseñas predeterminadas y en blanco, las bases de datos sin las últimas actualizaciones de software y las cuentas de usuario con largos períodos de inactividad que no se bloquearon", señaló el TIGTA en el informe. "Las causas de estas condiciones incluyen el cambio de la herramienta de escaneo de sus sistemas por parte del IRS, que requirió tiempo adicional para la aprobación de la organización y la necesidad de asegurar que la información utilizable fuera generada por esas herramientas, las limitaciones de desarrollo de los sistemas y la necesidad de que el IRS minimice el impacto de los cambios de los sistemas en sus usuarios."
El TIGTA señaló que, como resultado, el IRS está aumentando su exposición al riesgo de que usuarios malintencionados exploten cuentas con contraseñas predeterminadas o en blanco para robar identidades de contribuyentes y llevar a cabo planes de fraude.
"El IRS también está aumentando su susceptibilidad a las deficiencias de rendimiento y seguridad inherentes a las versiones más antiguas de los programas informáticos, su exposición de los datos de los contribuyentes a la divulgación no autorizada y su exposición a las perturbaciones del funcionamiento del sistema", según el informe.
Además, los documentos no apoyaban el cierre de los PCA, y los documentos de apoyo no siempre se cargaban en los JAMES y no estaban fácilmente disponibles. Según el TIGTA, la Oficina de Control Interno (OCI) del IRS, que administra el programa de control de gestión de la agencia, tiene la responsabilidad de auditar los PCA del IRS para asegurar que se implementen; sin embargo, no realizó las auditorías.
"Cuando no se aplica el grado adecuado de diligencia en materia de seguridad a los sistemas, personas internas descontentas o personas externas malintencionadas pueden explotar las deficiencias de seguridad para obtener un acceso no autorizado", el Inspector General del Tesoro para la Administración Tributaria J. Russell George dijo en una declaración escrita.
El TIGTA hizo seis recomendaciones al IRS, incluyendo las siguientes cuatro:
- Aconsejando al IRS que refuerce sus controles de gestión para cumplir con los requisitos de control interno
- Proporcionar formación de actualización a los empleados que participan en la carga de datos en el JAMES
- Auditoría de las acciones correctivas para los PCAs cerrados
- Cambiar el estado de los PCA cerrados a abiertos para aquellos que fueron implementados parcialmente.
La dirección del IRS estuvo de acuerdo con cinco de las seis recomendaciones del TIGTA y planea emitir una guía sobre los requisitos de control interno, proporcionar capacitación a los empleados y revisar los procedimientos para mejorar los controles de la dirección del IRS sobre los PCA.
Sin embargo, el Servicio de Impuestos Internos estuvo parcialmente de acuerdo con la sexta recomendación de cargar la documentación de los acuerdos de colaboración y cooperación previamente cerrados, a la espera de que se complete un análisis de costos y beneficios y un enfoque basado en los riesgos. El TIGTA cree que el IRS debería completar la sexta recomendación tal como se ha indicado para asegurar la aplicación de todos los acuerdos de colaboración y cooperación en caso de deficiencias de seguridad.
«Seguiremos trabajando con las unidades de negocios del IRS para asegurar que los cierres de las acciones correctivas estén debidamente documentados», escribió la directora financiera del IRS, Pamela LaRue, en respuesta al informe. «Además, la OIC desarrollará un programa para auditar las acciones completadas para asegurar que las recomendaciones de las agencias de auditoría han sido totalmente atendidas».
Artículos relacionados:
- Informe del TIGTA: El IRS necesita hacer que los servidores virtuales sean más seguros
- El TIGTA quiere que el IRS mejore las evaluaciones de los riesgos de seguridad