Por Frank Byrt
Aunque el Servicio de Rentas Internas ha seguido avanzando en el tratamiento de las deficiencias en el control de la seguridad de la información, la Oficina de Rendición de Cuentas del Gobierno (GAO) dijo, en un informe de marzo de 2013, que «siguen existiendo graves deficiencias que podrían afectar a la confidencialidad, la integridad y la disponibilidad de los datos financieros y sensibles de los contribuyentes».
El informe de la GAO, Seguridad de la Información: El IRS ha mejorado los controles pero necesita resolver las debilidades , se basa en su auditoría de los años fiscales 2011 y 2012 del IRS y evalúa la eficacia de los sistemas clave financieros y de procesamiento de impuestos del IRS para garantizar la confidencialidad, integridad y disponibilidad de la información financiera y sensible de los contribuyentes. El informe también revisa el progreso que el IRS ha hecho para remediar los problemas de seguridad identificados en una auditoría previa de la GAO.
Si bien el informe reconoce que el IRS ha dedicado importantes activos a resolver las debilidades de los controles de seguridad de la información, hay deficiencias persistentes en esa área junto con otras nuevas identificadas durante la última auditoría. «Aunque no se considera colectivamente una debilidad material [las deficiencias] son lo suficientemente importantes como para merecer la atención de los encargados del gobierno del IRS».
Una razón subyacente para estas debilidades es que el IRS no ha implementado efectivamente partes de su propio programa de seguridad de la información, según el informe.
Entre las cuestiones a las que la GAO señala que hay que prestar atención se encuentran la identificación y autentificación de las deficiencias de control que dan acceso a los sistemas y datos. La GAO encontró:
- Los controles de autenticación de algunas bases de datos no se establecieron para prevenir ciertos tipos de vulnerabilidades.
- Las contraseñas se almacenaron sin los controles adecuados para evitar que fueran reveladas.
- Los controles sobre la complejidad y la antigüedad de las contraseñas de algunas bases de datos no eran adecuados; a veces había contraseñas que podían adivinarse fácilmente o que no se habían cambiado en casi dos años.
La GAO dijo que la vulnerabilidad del sistema se veía agravada por el hecho de que el acceso no autorizado sería prácticamente indetectable, ya que no habría ninguna actividad inusual en el sistema si el acceso no autorizado se realizara mediante un nombre de usuario y una contraseña válidos. «Como resultado de estas debilidades, el IRS había reducido la capacidad de controlar quién accedía a sus sistemas y datos».
El informe de la GAO concluyó que «hasta que el IRS controle adecuadamente el acceso de los usuarios a sus sistemas y aplique eficazmente sus procedimientos de autorización, el organismo tiene una garantía limitada de que sus recursos de información están protegidos contra el acceso, la alteración y la divulgación no autorizados».
En una carta de respuesta del 11 de marzo de 2013, enmendada al informe de la GAO, el comisionado interino del IRS Steven T. Miller escribió»,El IRS continuó haciendo de la mejora de la seguridad una prioridad principal durante el año fiscal 2012. Nos complace que la Oficina de Responsabilidad Gubernamental haya reconocido nuestros progresos en el fortalecimiento de los controles sobre la seguridad de la información, lo que ha dado lugar a una disminución de las debilidades del material de seguridad de la información».
Añadió: «Revisaremos todas las recomendaciones de la GAO para asegurarnos de que nuestras acciones incluyen soluciones sostenibles que implementen controles de seguridad apropiados».
Artículos relacionados:
- Un nuevo informe muestra el cambio en el entorno del fraude
- El IRS advierte a los preparadores de impuestos que revisen sus salvaguardias para los datos de los clientes
- El IRS intensifica la campaña nacional contra el robo de identidad