Hay “funcionarios” con permisos a sistema de patentes que no laboran para Muni de San José

(CRHoy.com).— La Contraloría General de la República (CGR) detectó que existen "funcionarios" con permisos en el sistema de patentes y en la sección de servicios urbanos de la Municipalidad de San José que ya no laboran para dicho ayuntamiento e incluso el ente contralor explicó en un porcentaje de estos casos, que el municipio no establece su vinculación o desvinculación laboral.

Así se desprende del informe de auditoría sobre "La Seguridad de la Información de los Sistemas Críticos de la Municipalidad de San José", del 23 de febrero del 2023 pasado, pero que se hizo público hasta este 28 de febrero del 2023 por parte de la CGR.

"Se logró evidenciar que se asignan permisos que incumplen el principio del mínimo privilegio en funcionalidades de riesgo alto dentro del proceso de bienes inmuebles, como lo es el control de aprobación de propiedades. Asimismo, se identificó que el 53% (8) de los funcionarios con permisos en el módulo de patentes y el 22% (29) de los funcionarios con permisos en la sección servicios urbanos y bienes inmuebles ya no deberían contar con dicho acceso, por cuanto no laboran para la Municipalidad y que en el caso de un 5% (7) funcionarios, la Municipalidad no logró establecer su vinculación o desvinculación laboral", indicó el ente contralor.

CRHoy.com intentó obtener una posición de la municipalidad, pero al cierre de esta publicación no habíamos obtenido respuesta.

"En cuanto a la existencia de usuarios que ya no pertenecen a la Municipalidad, las jefaturas tienen la responsabilidad de informar a la DTIC, sobre cualquier movimiento de su personal (cambio de funciones, dependencia, o renuncia) para proceder a eliminar los derechos o accesos a los sistemas, sin embargo, la DTIC también puede ser proactiva y ejecutar ciertas depuraciones periódicas", indicó la CGR.

Integridad de datos de propiedades

La Contraloría encontró que el municipio capitalino no ha uniformado, para las diferentes unidades, controles que permitan salvaguardar la integridad de los datos de las propiedades de los contribuyentes y sus tributos.

"Se identificó que existe personal en diferentes unidades que no se adhiere ni cumplen con las mismas directrices y controles establecidos para salvaguardar la integridad y veracidad de esta información", indicaron.

Gráfico de la CGR sobre vulnerabilidades del sistema:

Según la CGR, en el ámbito operativo, las unidades de negocio de la Municipalidad de San José no hacen procesos de monitoreo sobre las funciones a su cargo porque no tienen acceso para ver las bitácoras del sistema.

Además, el sistema automatrizado donde se hacen todos los trámites de patentes, servicios urbanos y bienes inmuebles "no cumplen con aspectos necesarios para garantizar de forma razonable la disponibilidad, integridad y confidencialidad".

¿Por qué no se puede garantizar la disponibilidad, integridad y confidencialidad?

1. La carencia de documentación de sistemas.
2. La ausencia de gestión de identidades basada en el principio del mínimo privilegio y segregación de funciones.
3. El mantenimiento de usuarios conforme al tipo de permisos asignados para las funciones migradas, así como aspectos que afectan la razonabilidad de la confidencialidad de los datos.

"En el plan de recuperación ante desastres de la Dirección de Tecnología de la municipalidad, no se cumplen la totalidad de las premisas establecidas necesarias para la recuperación correspondiente, también carece de los procedimientos necesarios para establecer la declaración de un desastre, así como de los criterios de activación del plan. Adicionalmente, no se han realizado simulacros o pruebas de manejo de incidentes ni se ha actualizado la definición de los tiempos de recuperación (RTO y RPO)", explicó la CGR.

La CGR hizo este informe evaluando el periodo del 1 de enero del 2021 al 31 de julio del 2022.

Estableció la importancia del mismo porque el ayuntamiento josefino cumple un papel relevante en la gestión y administración de los intereses y servicios públicos locales y es la encargada de promover el desarrollo del cantón mediante la recaudación de ingresos y ejecución de inversiones.

Otras debilidades detectadas por la CGR en la Sección de Servicios Urbanos y Bienes Inmuebles y Patentes:

1. La DTIC no cuenta con ninguna documentación del sistema y su base de datos.
2. Tampoco se documentan las mejoras o ajustes efectuados sobre este sistema y su base de datos.
3. Se identificó que el módulo mediante el cual se asignan los permisos para el sistema, no cuenta con el "enmascaramiento" de las claves de los funcionarios.
4. Para el segundo nivel de acceso al sistema se debe ingresar la combinación del usuario, la clave y la estación, sin embargo, para todos los funcionarios la clave de acceso es el mismo nombre de su usuario.
5. Se determinó que no se realiza mantenimiento de la tabla de los usuarios, ni de los catálogos de claves.

"Asimismo, se pudo constatar que el Departamento de Gestión Tributaria tiene como función modificar y depurar las bases de datos para las actualizaciones de los saldos de las cuentas de los tributos municipales, no obstante, la asignación de permisos en el sistema para ejecutar dicha función incumple el principio del mínimo privilegio, al respecto, la jefatura de ese departamento, indicó en repetidas ocasiones que solamente 2 funcionarios son los autorizados para ejecutar los movimientos al pendiente de patentes, no obstante, se identificaron 84575 (82%) modificaciones al pendiente que fueron ejecutadas por 15 funcionarios que no figuran en la autorización definida por la jefatura consultada", comentó la CGR en su informe-.