Ciberataques: auditaron el sistema del Ente Único Regulador de los Servicios Públicos porteño
La Auditoría General de la Ciudad de Buenos Aires analizó la infraestructura informática del organismo. Encontró que es insuficiente la capacitación para el uso de los recursos y que es necesario reforzar el control interno y la autonomía.
En plena expansión digital, las bases de datos personales son el combustible que impulsa las operaciones de la administración pública. Sin embargo, detrás del proceso de modernización, acecha una preocupación: cómo evitar que la información sea vulnerada. Y el objetivo es casi imposible de cumplir sin una regulación y supervisión adecuada.
Argentina tiene en su haber varios ejemplos de hackeos o ataques cibernéticos a organismos públicos. La filtración de esos datos puede destinarse a la venta clandestina de información confidencial, el intercambio ilegal entre entidades gubernamentales y empresas privadas o muchos otros fines ilícitos.
Teniendo en cuenta todos estos peligros, la Auditoría General de la Ciudad de Buenos Aires (AGCBA) analizó los sistemas y la infraestructura informática del Ente Regulador de los Servicios Públicos de la Ciudad y observó, entre otras cuestiones, una mayor seguridad en las instalaciones, mejor estructura organizativa, tecnologías de la información más modernas, y un mayor desarrollo en el análisis de datos y las estadísticas. El periodo auditado fue 2021.
Sin embargo, también observó que es insuficiente la capacitación para el uso de los recursos, no sólo en el caso de los agentes afectados sino también de los usuarios. Y recomendó la creación de un área de seguridad informática que dependa de las máximas autoridades del organismo para garantizar el control interno y la independencia de sus acciones.
Los riesgos de la digitalización
El 29 de abril de 1999, la Legislatura porteña sancionó la Ley 210 mediante la cual se creó el Ente Único Regulador de Servicios Públicos. El fin fue que el organismo controle, realice un seguimiento y resguarde la calidad de los servicios públicos prestados por la administración central, descentralizada o por terceros. El organismo realiza la fiscalización de los servicios por dos vías: denuncias que son ingresadas telefónicamente o por correo electrónico y redes sociales.
En octubre de 2018, el Ente comenzó un proceso de transformación digital a través del proyecto Cero Papel. En una primera etapa, el servicio tuvo un crecimiento exponencial lo que triplicó la actividad y resintió los procesos. Entonces solamente se ejecutaban tareas de mantenimiento sin incorporar mejoras a partir de las necesidades de cada área. Como solución se propuso realizar las automatizaciones con un mismo sistema, reconfigurar la plataforma digital utilizada para que pueda soportar todos los servicios, además de unificar las distintas tecnologías utilizadas en ese tiempo.
Al momento de realizarse la auditoría, se observó que el área de Sistemas se encontraba desarrollando un análisis de riesgo tecnológico. Sin embargo, con respecto a planes de contingencia o de recupero, la AGCBA no encontró “documentación respaldatoria que dé cuenta de su ejecución”, aunque desde el organismo indicaron que cuentan con un sistema de backups automatizados.
Si bien en el informe se destacó que el organismo cuenta con diversas herramientas para la seguridad, no se presentó un manual de Políticas de Seguridad considerado necesario para garantizar que el impacto y la ocurrencia de los incidentes de seguridad se encuentren dentro de los niveles de riesgo aceptado.
En el informe se subrayó la ausencia de un responsable y el proceso de inscripción de las bases de datos utilizadas.“No consta la identificación del propietario del dato, usuario y custodio de la información administrada”, se indicó.
Tampoco se expusieron procedimientos de evaluación y clasificación de la información gestionada. No contar con estos procesos, para la Auditoría, aumenta el nivel de riesgos tecnológicos y la filtración de los datos sensibles.