SIGADE: fallas en la confidencialidad e integridad de la información sobre la deuda
La Auditoría de la Nación examinó la herramienta que ayuda a gestionar la deuda pública externa e interna. Encontraron debilidades, entre ellas permisos para que los empleados puedan ingresar en áreas fuera de su competencia.
La Auditoría General de la Nación (AGN) analizó el Sistema de Gestión y Análisis de la Deuda (SIGADE) del Ministerio de Economía. El organismo requirió que se actualicen y mejoren aspectos funcionales y tecnológicos que garanticen la "confidencialidad, integridad y disponibilidad" de la información del sistema.
El SIGADE comenzó a funcionar en 1993 en el ámbito de la Dirección y Administración de la Deuda Pública (DADP). La herramienta fue concebida para ayudar a los países a gestionar su deuda pública externa e interna, sobre todo las obligaciones de deuda, las contraídas, las garantizadas por el Estado o las reasignadas, así como las donaciones y las reestructuraciones.
No se encontró un relevamiento de los activos de Tecnología de la Información, los procesos, las necesidades y el nivel de satisfacción de los usuarios.
La AGN halló que la Dirección General de Tecnología de la Información y las Comunicaciones (DGTIC) no realizó un relevamiento integral de los activos de TI, los procesos, las necesidades y el nivel de satisfacción de los usuarios en el ámbito de la DADP. Según la auditoría, esto impidió que se conozca la opinión de los usuarios respecto a los problemas, debilidades y requerimientos funcionales y técnicos del SIGADE, como así tampoco se pudo saber el nivel de satisfacción con el sistema y la calidad de los servicios brindados.
Falta de controles internos
Por otro lado, se constató que no se realizaron auditorías internas de TI sobre el SIGADE. Se evidenció que no hubo controles internos sobre los procesos y procedimientos llevados a cabo por la DGTIC para la prestación de los servicios de TI brindados por los proveedores internos y externos.
Más allá de no llevar adelante trabajos de control, el organismo tampoco cuenta con un Comité de Seguridad de la Información y tampoco con una estructura organizacional para atender y gestionar las políticas y procedimientos de seguridad de la información aplicables transversalmente a toda la organización. La Auditoría entiende que esta situación impacta “sobre el adecuado cumplimiento de los principios de confidencialidad, integridad y disponibilidad de la información organizacional”.
Usuarios para todos los perfiles
Los auditores también encontraron que a los usuarios se les dieron niveles de acceso que no se corresponden con las funciones según el perfil que poseen. Un usuario perteneciente a una coordinación podía acceder sin autorización a información de otra coordinación.
Además los procedimientos aplicados por la DGTIC para la administración, evaluación y monitoreo continuo sobre las tablas de auditoría, generadas por las transacciones del SIGADE, ponen en riesgo la prevención y la detección temprana de anomalías en la ejecución de transacciones y de actividades no autorizadas. Esto puede provocar que los datos sean alterados.
La DGTIC tampoco incorporó procesos de control que garanticen la identificación y el resguardo de los documentos que son considerados clave para los procesos de seguimiento y control de los instrumentos de deuda registrados en el SIGADE.
Por último, la AGN halló que hubo procedimientos de rectificaciones de datos de instrumentos de deuda pública que se realizaron por fuera del SIGADE, lo que "no brinda garantías" sobre la integridad de la información y conlleva el riesgo inherente de modificaciones no autorizadas, malintencionadas o erróneas sobre la base de datos.