Un informe reciente de la Oficina de Contabilidad del Gobierno de los Estados Unidos (GAO) indica que el Servicio de Impuestos Internos (IRS) sigue sin ofrecer una protección adecuada de los datos financieros y personales de los contribuyentes.
Aunque el IRS ha hecho progresos en la aplicación de los controles de seguridad, las debilidades limitan su eficacia, Nancy Kingsbury, directora general de investigación aplicada y métodos de la GAO, y Gregory Wilshusen, director de la agencia de asuntos de seguridad de la información, escribieron en una carta del 28 de marzo al comisionado del IRS John Koskinen.
«Una razón subyacente para estas debilidades es que el IRS no ha implementado efectivamente elementos de su programa de seguridad de la información», dice la carta. «La agencia tenía un marco integral para su programa, como la evaluación del riesgo de sus sistemas, el desarrollo de planes de seguridad y la provisión a los empleados de conciencia de seguridad y entrenamiento especializado. Sin embargo, algunos aspectos de su programa aún no se habían implementado efectivamente».
Específicamente, la carta señala que el IRS no actualizó las políticas y procedimientos clave de la computadora central para manejar la auditoría integral y el acceso de monitoreo, no proporcionó suficientes detalles en sus procedimientos de autorización para asegurar el acceso apropiado a sus sistemas y no se aseguró de que las correcciones de problemas anteriores realmente estuvieran funcionando. (Nueve de las 28 recomendaciones previas que el IRS dijo que había implementado en realidad no habían hecho las correcciones necesarias).
«Hasta que el Servicio de Impuestos Internos tome medidas adicionales para (1) abordar las deficiencias de control no resueltas y recientemente identificadas, y (2) aplicar eficazmente los elementos de su programa de seguridad de la información, incluyendo, entre otras cosas, la actualización de las políticas, los procedimientos de prueba y evaluación, y los procedimientos de medidas correctivas, sus datos financieros y de los contribuyentes seguirán siendo innecesariamente vulnerables al uso, la modificación o la divulgación inapropiada y no detectada», afirma la carta.
Aquí hay una instantánea de los principales hallazgos:
- Los controles de identificación y autenticación del IRS han mejorado; sin embargo, no son lo suficientemente fuertes como para controlar adecuadamente el acceso a los sistemas y datos del organismo. Las contraseñas de varios sistemas podían ser adivinadas, no todos los vencimientos de las contraseñas se verificaban por duplicado y las configuraciones de las contraseñas eran inconsistentes. En resumen, la agencia tiene dificultades para controlar quién accede a los sistemas y datos.
- Mientras que el manual del IRS requiere que el acceso al sistema se base en el principio del menor privilegio, hay más acceso a ciertos sistemas que lo que los empleados necesitan tener. Por ejemplo, los usuarios del sistema pueden acceder o modificar los datos de pago de impuestos, lo que supone más acceso del que necesitan para realizar su trabajo.
- El IRS expandió su uso de la encriptación, pero los controles de la criptografía eran débiles. Por ejemplo, algunos sistemas no encriptaban los datos de autenticación de los usuarios. Eso, a su vez, aumentaba la probabilidad de que un usuario no autorizado pudiera utilizar los datos de autenticación para acceder a un sistema.
- Continúan las debilidades en la seguridad física de los centros de computación del IRS contra robos u otras acciones, que habían sido identificadas en auditorías anteriores.
- Es necesario establecer políticas, procedimientos y técnicas para garantizar las actualizaciones de los programas informáticos y el acceso a la información.
- El IRS no se aseguró de que se hubieran hecho las correcciones, por sus procesos correctivos.
- El IRS no siempre se aseguró de que los contratistas tuvieran entrenamiento de seguridad.
- No todos los planes de seguridad han sido actualizados.
La carta recomienda que Koskinen se mantenga al corriente de las políticas y directrices para actualizar los planes de auditoría de sistemas y aplicaciones, y actualizar la seguridad de la infraestructura de la red a medida que se produzcan cambios.
La carta de la GAO también señala crípticamente que se hicieron 43 recomendaciones técnicas «en un informe separado de distribución limitada». En ellas se abordan las deficiencias de control de la seguridad en materia de identificación y autenticación, autorización, criptografía, auditoría y supervisión, y gestión de la configuración.
En una carta a Wilshusen de la GAO, fechada unas dos semanas antes de que se publicara el informe final, Koskinen escribió: «Aunque estamos de acuerdo con las recomendaciones de la GAO, las revisaremos para asegurarnos de que nuestras acciones incluyan arreglos sostenibles que implementen controles de seguridad adecuados y equilibrados con las limitaciones de la tecnología de la información y los recursos de capital humano».
Koskinen indicó que la agencia proporcionará un plan de correcciones detallado en su carta de respuesta de 60 días al Congreso. También agradeció a la GAO por su especificidad en la formulación de recomendaciones, señalando que las auditorías anteriores eran «bastante generales». El aumento de los detalles probablemente produjo más recomendaciones, escribió, pero eso permitirá al IRS abordar mejor el riesgo de la ciberseguridad.