Nº: AI-INF-CI-003-2021 - Informe sobre Administración de Cuentas de Usuario del Active Directory - Ministerio de Hacienda
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
Nº: AI-INF-CI-003-2021
Informe sobre
Administración de Cuentas
de Usuario del Active
Directory
Auditoría Interna
2021AI-INF-CI-003-021
INFORME SOBRE LA ADMINISTRACIÓN DE CUENTAS DE
USUARIO DEL ACTIVE DIRECTORY
CONTENIDO
1 INTRODUCCIÓN ........................................................................................................ 2
1.1. Origen ................................................................................................................. 2
1.2. Objetivo del estudio .......................................................................................... 2
1.3. Alcance ............................................................................................................... 2
1.4. Criterios de evaluación ..................................................................................... 2
1.5. Metodología aplicada ........................................................................................ 3
1.6. Comunicación de resultados ............................................................................ 3
1.7. Normativa relacionada con el control interno ................................................. 3
1.8. Generalidades .................................................................................................... 3
2 RESULTADOS ........................................................................................................... 4
2.1. Sobre la necesidad de establecer un plazo para mantener las cuentas de
usuario en la OUde deshabilitados. ............................................................................... 4
2.2. Sobre suficiencia de controles para protección de información. ...................... 4
2.3. Sobre el cumplimiento de lo establecido en el procedimiento MH-DTIC-PRO02-
PCD-001 ............................................................................................................................ 5
2.4. Sobre la ausencia de remisión de listado de usuarios que la contraseña no
expire a la Unidad de Seguridad. .................................................................................... 6
3 CONCLUSIÓN............................................................................................................ 6
4 RECOMENDACIONES............................................................................................... 7
Av. 2da, Calles 1 y 3, diagonal al Teatro Nacional, San José, Costa Rica
Tel:(506)2539-6684 - www.hacienda.go.crAI-INF-CI-003-2021
RESUMEN EJECUTIVO
¿QUÉ EXAMINAMOS?
La presente Auditoría tuvo como propósito determinar si los controles establecidos por la
Dirección de Tecnologías de Información y Comunicación a través de sus políticas y
procedimientos son válidos, suficientes y se cumplen, con el fin de mantener actualizado
las cuentas de usuarios de los funcionarios del Ministerio de Hacienda en la herramienta
Active Directory, según las Normas de TI.
¿POR QUÉ ES IMPORTANTE?
El Active Directory (en adelante AD) o Directorio Activo conforma la base de toda la
plataforma y servicios tecnológicos del Ministerio de Hacienda, es la tecnología empleada
para centralizar la administración y almacenamiento de las políticas de permisos sobre
usuarios, equipos, grupos, entre otros, sobre la red corporativa. Esta tecnología requiere
que todos los usuarios que necesiten utilizar esta red estén registrados en la base de datos
del dominio, a la vez que permite un control de los recursos que dichos usuarios pueden
utilizar mediante la concesión de permisos sobre dichos recursos.
Resulta trascendental el fortalecimiento de los procedimientos y controles relacionados a
dicho componente, por lo que es necesario que la Administración ejecute las actividades
que permitan de forma oportuna la gestión del Active Directory (AD) Corporativo, con el fin
de mantener la integridad de los objetos contenidos.
¿QUÉ ENCONTRAMOS?
Se determinó una serie de debilidades en relación con las cuentas de usuario del AD, pues
no se puede identificar si todas las cuentas en el AD de funcionarios corresponden a
funcionarios activos del Ministerio de Hacienda. Se encontró cuentas de usuario de
exfuncionarios que estaban activas, asi como cuentas que estan desactivadas en el AD,
cuyos accesos a otros sistemas no han sido eliminados. Asimismo, no se establece el plazo
por el cual las cuentas de usuario (objetos) deban permanecer en la unidad organizacional
(OU) denominada Usuarios deshabilitados / Equipos por depurar, además no se evidencia
que de forma oportuna se revise el listado de los usuarios que cuentan con la característica
de que la contraseña no expire.
¿QUÉ SIGUE?
Se emiten recomendaciones a la Directora de la Dirección de Tecnologías de Información
y Comunicación para la implementación de medidas de control con el objeto de brindar una
seguridad razonable de la protección de la información, a la vez que establezca
procedimientos con el fin de mantener la integridad de los objetos contenidos en el Active
Directory y coordinar con los Administradores de los Sistemas de Hacienda, que no
administra la DTIC, para que verifiquen que solo los funcionarios actuales y debidamente
autorizados sean los que tienen acceso a dichos sistemas.
Av. 2da, Calles 1 y 3, diagonal al Teatro Nacional, San José, Costa Rica.
Tel: (506)2539-6684 - www.hacienda.go.cr 1AI-INF-CI-003-2021
1 INTRODUCCIÓN
1.1. Origen
El presente estudio se realizó de conformidad con el Plan de Trabajo Anual 2021 de la
Auditoría Interna del Ministerio de Hacienda.
1.2. Objetivo del estudio
Verificar si los controles establecidos por la Dirección de Tecnologías de Información y
Comunicación a través de las políticas y procedimientos son válidos, suficientes y se
cumplen, con el fin de mantener actualizadas las cuentas de usuarios de funcionarios de
Hacienda en la herramienta Active Directory, según las Normas de TI.
1.3. Alcance
Comprendió la revisión de las listas de funcionarios de las bases de datos de correo
electrónico, Integra y el Active Directory, para verificar que los funcionarios que dejaron de
laborar para el Ministerio de Hacienda no cuenten con acceso al dominio de Hacienda,
además se revisó los procedimientos relacionados con el AD, y su cumplimiento por parte
de los responsables.
El período de evaluación corresponde del 01 de enero al 31 de diciembre 2020,
ampliándose cuando se consideró necesario.
1.4. Criterios de evaluación
Los criterios de evaluación fueron comunicados el 15 de febrero de 2021, a la Directora de
Tecnologías de Información y Comunicación Licda. Alicia Avendaño Rivera, la Licda
Rosibel Jiménez Sandí, Jefatura del Departamento de Infraestructura, el Lic. Jeffrey Taylor
Bermúdez, Jefe del Dpto de Control y Aseguramiento TIC, el Lic. Jorge Jiménez Villegas –
Jefe Unidad Mesa de Servicios TIC, el Lic. Harold Salazar Acuña – Jefe Unidad de
Servidores.
Los criterios de evaluación son los siguientes:
• Las Normas de Control Interno para el Sector Público.
• Normas de Tecnologías de Información.
• El Procedimiento MH-DTIC-PRO02-PCD-001 para el Ingreso, Traslado o
Finalización de Relaciones. Laborales en el Ministerio de Hacienda.
• Procedimiento MH-DTIC-PRO03-PCD-010 Gestión de Active Directory.
Av. 2da, Calles 1 y 3, diagonal al Teatro Nacional, San José, Costa Rica.
Tel: (506)2539-6684 - www.hacienda.go.cr 2AI-INF-CI-003-2021
1.5. Metodología aplicada
La auditoría se realizó de conformidad con las Normas Generales de Auditoría para el
Sector Público y demás normativa aplicable.
1.6. Comunicación de resultados
La comunicación preliminar de los resultados, conclusiones y recomendaciones producto
de la auditoría se efectuó el 14 de mayo de 2021 a la Licda. Alicia Avendaño Rivera,
Directora, Licda. Rosibel Jiménez Sandí, Jefe del Departamento de Infraestructura y el Lic.
Harold Salazar Acuña, Jefe de la Unidad de Servidores. Las observaciones realizadas por
los participantes fueron consignadas en el informe en lo que resultaron procedentes. (Ver
Anexo 1)
Mediante el oficio AI-215-2021 del 05 de mayo del 2021 se convocó a la Administración
Activa a la exposición verbal de resultados y se remitió el borrador del informe para su
conocimiento y envío de observaciones en caso de considerarlo pertinente.
1.7. Normativa relacionada con el control interno
El presente informe debe tramitarse de acuerdo con los alcances establecidos en la Ley
General de Control Interno (Ley N°8292) en sus artículos N°10, N°12, N°36 y N°39.
1.8. Generalidades
El Active Directory es un servicio establecido en varios servidores en donde se crean
objetos tales como usuarios, equipos o grupos, con el objetivo de administrar los inicios de
sesión en los equipos conectados a la red, así como también la administración de políticas
en toda la red; permite a los administradores crear una base de datos con los usuarios y
contraseñas, configurar el inicio de sesión único para equipo, aplicaciones y servicios,
establecen un control de permisos y accesos, para instaurar restricciones a recursos de la
red en función de usuarios, grupo, roles.
El Active Directory se encuentra ubicado en el ICE Data Center Guatuso (IDC Guatuso) y
está a cargo de la Unidad de Servidores del Departamento de Infraestructura; además,
interactuan con el AD, Mesa de Servicios y Unidad de Micros.
Av. 2da, Calles 1 y 3, diagonal al Teatro Nacional, San José, Costa Rica.
Tel: (506)2539-6684 - www.hacienda.go.cr 3AI-INF-CI-003-2021
2 RESULTADOS
2.1. Sobre la necesidad de establecer un plazo para mantener las cuentas
de usuario en la OU1 de deshabilitados.
Las Normas de Control Interno para el Sector Público en su capitulo V (Normas para
Sistemas de Información), señala lo siguiente:
5.5 Archivo institucional. “El jerarca y los titulares subordinados, según sus
competencias, deben implantar, comunicar, vigilar la aplicación y perfeccionar
políticas y procedimientos de archivo apropiados para la preservación de los
documentos e información que la institución deba conservar en virtud de su utilidad
o por requerimiento técnico o jurídico”.
La Dirección de Tecnologías de Información y Comunicación (en adelante DTIC) no tiene
establecido el plazo para mantener las cuentas de usuario en la OU de deshabilitados, a
pesar de que se dispone de un procedimiento MH-DTIC-PRO03-PCD-010 Gestión de
Active Directory, el cual regula las actividades relacionadas con el manejo de las cuentas
de usuario.
Lo anterior obedece a que la Guía para la administración de Cuentas de Dominio para el
desarrollo y mantenimiento de sistemas suministrada, considera que las cuentas de usuario
pueden ser objeto de auditoría y además, porque posteriormente se pueden volver a
habilitar.
Lo antes expuesto limita la depuración de la base de datos de cuentas del AD, ocupando
un espacio en la base de datos del Active Directory que podría recuperarse y utilizarse;
además, incrementa el riesgo de ataque de ciberdelincuentes que podrían apropiarse de
una de esas cuentas.
2.2. Sobre suficiencia de controles para protección de información.
Las Normas de TI en su numeral 1.4 Gestión de la seguridad de la información indica:
“La organización debe garantizar, de manera razonable, la confidencialidad,
integridad y disponibilidad de la información, lo que implica protegerla contra uso,
divulgación o modificación no autorizados, daño o pérdida u otros factores
disfuncionales”.
1 Unidad Organización por sus siglas en inglés organizational unit
Av. 2da, Calles 1 y 3, diagonal al Teatro Nacional, San José, Costa Rica.
Tel: (506)2539-6684 - www.hacienda.go.cr 4AI-INF-CI-003-2021
Al respecto, la DTIC no ha establecido controles suficientes que permitan garantizar
razonablemente la protección de la información, en razón de que existen cuentas de
usuarios registrados en el Active Directory que no corresponden a funcionarios activos del
Ministerio de Hacienda, así como cuentas que no se puede determinar que correspondan
a funcionarios de la Institución.
En relación con lo anterior se procedió a comparar las tres bases de datos, Integra, AD y
Buzones de usuarios del Ministerio de Hacienda, suministradas por la DTIC, dicha
comparación se realizó por nombre, por ser el único dato en común, asimismo, se identificó
que de esos registros, 454 pertenecen a grupos o listas de distribución, 54 a usuarios
administradores y 3 a pasantes, dichos registros fueron excluídos de los resultados que se
muestran a continuación:
✓ En la comparación de la base de Integra (2881 registros) con la base de datos de AD
(3353 registros de usuarios habilitados) no coincidieron 1038.
✓ En la comparación de Integra (2881 registros) con Buzón de correo (2882 registros), no
coincidieron 1041.
✓ En la comparación de Buzon con AD, no se encontraron 78 registros en el AD, se
contactó al administrador del AD y se determinó que dichos registros corresponden a
usuarios de la OU de Sistemas de Información, pero no se determinó la razón de que
no se encontraran en la base de datos suministrada.
✓ En la comparación AD, con buzón, no coincideron 38 registros.
De igual forma, en la revisión de la lista de funcionarios que dejaron de laborar para el
Ministerio de Hacienda en el 2020, se encontró que de los 97 colaboradores que dejaron
de ejercer funciones para el Ministerio de Hacienda, 16 registross no se encontraron en las
listas proporcionadas del AD.
Lo anterior se debe a que no existe un estándar definido en la inclusión del usuario en los
sistemas, por lo que puede existir diferencias de escritura, y al ser comparadas las bases
de datos, estas no coincidan, asimismo, por la ausencia de protocolos de coordinación y
comunicación de los Jefes de las distintas dependencias o del Departamento de Gestión
de Potencial Humano para solicitar la deshabilitación de los usuarios una vez terminada la
relación laboral.
Lo antes citado, puede generar que usuarios sin autorización pueden acceder a cualquier
recurso de la red, acceso a sistemas, por ejemplo, que contenga información tributaria que
esté cubierta por el carácter confidencial que establece el Código de Normas y
Procedimientos Tributarios; así como aduanera, entre otras.
2.3. Sobre el cumplimiento de lo establecido en el procedimiento MH-DTIC-
PRO02-PCD-001
El Procedimiento TIC para el Ingreso, Traslado o Finalización de Relaciones, señala en el
punto 5.1 apartado 3 lo siguiente:
“Es una finalización de labores se debe completar el Formulario Solicitud TIC para
Finalizar Relaciones Laborales con el Ministerio de Hacienda”, MH-DTIC-PRO02-
Av. 2da, Calles 1 y 3, diagonal al Teatro Nacional, San José, Costa Rica.
Tel: (506)2539-6684 - www.hacienda.go.cr 5AI-INF-CI-003-2021
FOR-007.Una vez que se ha completado el formulario respectivo, se registra la
solicitud en la herramienta de Gestión de Casos”. Corresponde a la Jefatura del
funcionario”. (sic)
Al respecto, el control establecido en el procedimiento mencionado anteriormente no
permite dar seguimiento a las exclusiones de accesos de funcionarios a los sistemas una
vez que dejan de laborar para el Ministerio.
Lo anterior se presenta porque las jefaturas inmediatas de las diferentes dependencias
omiten solicitar a la DTIC la eliminación de los accesos a los funcionarios que requieren ser
desactivadas, por esta razón se encuentran cuentas de usuario de funcionarios, que no
laboran actualmente para el Ministerio, activas en el AD y en algunos casos cuentas de
usuario que no se les ha eliminado los accesos en otros sistemas.
2.4. Sobre la ausencia de remisión de listado de usuarios que la contraseña
no expire a la Unidad de Seguridad.
El Procedimiento MH-DTIC-PRO03-PCD-010 Gestión de Active Directory señala en su
numeral 5.8 :
“Ejecutar cada quincena una revisión de los usuarios que cuenten con la característica
de que la contraseña no expire. ·Remitir el listado a la Unidad de Seguridad de TIC
para su valoración.”
Al respecto, la DTIC no aportó evidencia de la revisión y remisión que realiza la Unidad de
Servidores a la Unidad de Seguridad sobre la información de aquellos usuarios que cuenten
con la contraseña de usuarios que no expire.
Lo anterior se debe a que la DTIC no tiene definido, en el Procedimiento MH-DTIC-PRO03-
PCD-010 Gestión de Active Directory, las acciones que debe seguir en dichos casos la
Unidad de Seguridad.
Esta situación genera que no se realice una oportuna gestión del Active Directory (AD)
Corporativo, lo que incrementa el riesgo de la falta de integridad de los objetos contenidos
en el Active Directory, ya que los ciberdelincuentes podrían adueñarse de uno de esos
objetos2 y lograr acceder a sistemas con información confidencial.
3 CONCLUSIÓN
Los controles establecidos por la Dirección de Tecnologías de Información y Comunicación
en las políticas y procedimientos no son suficientes para mantener actualizadas las cuentas
de usuarios de funcionarios del Ministerio de Hacienda en la herramienta de Active
Directory, pues en su diseño carecen de instrucciones sobre el plazo que debe permanecer
2 Corresponde a cuentas de usuarios o equipos.
Av. 2da, Calles 1 y 3, diagonal al Teatro Nacional, San José, Costa Rica.
Tel: (506)2539-6684 - www.hacienda.go.cr 6AI-INF-CI-003-2021
las cuentas de usuarios deshabilitado en la base de datos, y son insuficientes para
garantizar razonablemente la protección de la información contenida en los diferentes
sistemas del Ministerio de Hacienda.
Adicionalmente, la DTIC no depura oportunamente las cuentas de usuario que finalizan la
relación laboral con el Ministerio de Hacienda, asimismo, no cumple con la remisión del
listado a la Unidad de Seguridad sobre la usuarios que la contraseña no expire, establecida
en el Procedimiento MH-DTIC-PRO03-PCD-010 Gestión de Active Directory.
Por otra parte, no existen protocolos de coordinación y comunicación efectivos de los Jefes
de las distintas dependencias o del Departamento de Gestión de Potencial Humano para
deshabilitar los usuarios que terminan la relación laboral con el Ministerio de Hacienda.
4 RECOMENDACIONES
4.1 Valorar el riesgo de tener cuentas deshabilitadas versus su eliminación a fin de
establecer en el procedimiento MH-DTIC-PRO03-PCD-010 Gestión de Active
Directory, y aquellos que estén relacionados, el plazo que debe permanecer la cuenta
de un usuario deshabilitado en la base de datos. Ver apartado 2.1 de este informe.
Para el cumplimiento de esta recomendación se debe aportar a la Auditoria Interna a
más tardar el 30 de agosto del 2021 el análisis de riesgo realizado, así como el
procedimiento y aquellos relacionados, donde se incluye el plazo que debe
permanecer la cuenta de un usuario deshabilitado en la base de datos.
4.2 Analizar y documentar la viabilidad de que el identificador de los usuarios entre el
Proyecto denominado Hacienda Digital para el Bicentenario y el Active Directory sea
el mismo, con el fin de que la información de los distintos sistemas permita la
comparación y análisis de datos.
Para el cumplimiento de esta recomendación se debe aportar a la Auditoría Interna a
más tardar el 30 de julio 2021, un informe técnico, que justifique la decisión. Ver
apartado 2.2 de este informe.
4.3 Depurar la base de datos del Active Directory de los funcionarios del Ministerio de
Hacienda, con el fin de que únicamente los funcionarios activos tengan cuentas
habilitadas.
Para el cumplimiento de esta recomendación se debe aportar a más tardar el 28 de
febrero del 2022 una certificación a la Auditoría Interna en la cual se indique que sólo
los funcionarios activos tienen cuentas habilitadas. Ver apartado 2.2 de este informe.
4.4 En relación con el cumplimiento de lo establecido en el procedimiento MH-DTIC-
PRO02-PCD-001 ver punto 2.3 de este informe, se recomienda realizar las siguientes
acciones:
a) Solicitar a los Directores de las Dependencias del Ministerio de Hacienda el listado
detallado de los funcionarios que deben tener acceso a los sistemas que administra
Av. 2da, Calles 1 y 3, diagonal al Teatro Nacional, San José, Costa Rica.
Tel: (506)2539-6684 - www.hacienda.go.cr 7AI-INF-CI-003-2021
la DTIC, con el fin de que se proceda con la depuración de accesos a los sistemas,
y asegurar la salvaguarda de la información del Ministerio de Hacienda.
Para el cumplimiento de esta recomendación se debe aportar a la Auditoría Interna,
a más tardar el 30 de julio del 2021, una certificación de que todas las Direcciones
del Ministerio de Hacienda suministraron el listado detallado de los funcionarios que
deben tener acceso a los sistemas que administra la DTIC.
b) Establecer un control complementario para que las Direcciones informen
periódicamente, sobre los cambios ocurridos en el acceso a los sistemas que
administra la DTIC.
Para el cumplimiento de esta recomendación se debe aportar a la Auditoría Interna
a más tardar el 30 de julio del 2021, una certificación del establecimiento de dicho
control.
c) Emitir un recordatorio a los responsables de administrar los accesos de los sistemas
del Ministerio de Hacienda que no son administrados por la DTIC, de su obligación
de mantener actualizada dichos accesos con los funcionarios activos de la
dependencia que tiene bajo su responsabilidad.
Para el cumplimiento de esta recomendación se debe aportar a la Auditoría Interna
a más tardar el 30 de julio del 2021, el documento mediante el cual se realiza el
recordatorio a los responsables de administrar los acceso de los sistemas del
Ministerio de Hacienda que no son administrados por la DTIC.
4.5 Actualizar el procedimiento MH-DTIC-PRO03-PCD-010 Gestión de Active Directory,
con el fin de establecer el proceso que debe seguir la Unidad de Seguridad en
relación a aquellos usuarios que cuenten con la contraseña de usuarios que no expire.
Para verificar el cumplimiento de esta recomendación la Dirección de Tecnologías de
Información y Comunicación debe aportar a la Auditoría Interna a más tardar el 30 de
noviembre del 2021 la actualización del procedimiento MH-DTIC-PRO03-PCD-010
Gestión de Active Directory debidamente aprobado, oficalizado y divulgado. Ver punto
2.4 de este informe.
Las recomendaciones contenidas en este informe están sujetas a las disposiciones del
artículo 36 de la Ley General de Control Interno Nº 8292, que establece un plazo
improrrogable de 10 días hábiles, contados a partir de la fecha de recibo del informe, para
ordenar la implantación de las recomendaciones o si discrepa de ellas, dentro del plazo de
ley se deben proponer las soluciones alternas para la respectiva valoración de esta
Auditoría Interna. Además, considerar para estos efectos, lo que dispone el Manual de
Atención de Informes de la Contraloría General y de la Auditoría Interna, establecido en el
Ministerio de Hacienda.
Av. 2da, Calles 1 y 3, diagonal al Teatro Nacional, San José, Costa Rica.
Tel: (506)2539-6684 - www.hacienda.go.cr 8AI-INF-CI-003-2021
Por lo anterior, le agradecemos que se nos informe dentro del plazo señalado, la decisión
que se tome con respecto a las recomendaciones que se proponen, con un Plan de Acción
que disponga mediante cronograma el plazo en que se ejecutaran las recomendaciones.
RONALD Firmado digitalmente
por RONALD
FERNANDEZ FERNANDEZ ROMERO
ROMERO (FIRMA)
Fecha: 2021.05.31
(FIRMA) 13:16:40 -06'00'
Ronald Fernández Romero
Director de Auditoria Interna
Ministerio de Hacienda
SHIRLEY Firmado digitalmente por SHIRLEY
XINIA REBECA Firmado digitalmente por XINIA
FERNANDEZ FERNANDEZ MURILLO (FIRMA) LOPEZ CORELLA REBECA LOPEZ CORELLA (FIRMA)
Fecha: 2021.05.31 12:55:55
Fecha: 2021.05.31 13:07:50 -06'00'
MURILLO (FIRMA) (FIRMA) -06'00'
Shirley Fernández Murillo Xinia R. Lòpez Corella
Profesional Informatico 2 Coordinadora Unidad de Auditoría
Área de Servicios Corporativos
Estudio Nº 032-2020
Criterio N° 81 -. Gestión del Active Directory
Av. 2da, Calles 1 y 3, diagonal al Teatro Nacional, San José, Costa Rica.
Tel: (506)2539-6684 - www.hacienda.go.cr 9AI-INF-CI-003-2021
ANEXO N°1
COMENTARIOS RECIBIDOS DURANTE LA COMUNICACIÓN DE RESULTADOS
Comentarios Valoración
Resumen Ejecutivo En este sentido no corresponde hacer ningún
ajuste al informe ya que en cada resultado
Qué examinamos obtenido se específica el criterio
correspondiente.
[… Según las normas de TI]
Observaciones de la Administración:
Sobre este particular no se indica de forma
explícita cuál norma de TI ha sido tomada de
referencia para evaluar los controles
establecidos por la Dirección de Tecnologías de
Información y Comunicación (DTIC) para
mantener actualizadas las cuentas de usuarios
de funcionarios del MH en el AD
Por qué es importante?
[… a la vez que permite un control de los Se considera lo indicado y se tomará en cuenta
recursos que dichos usuarios pueden utilizar.] en la recomendación correspondiente.
Observaciones de la Administración:
Es importante acotar que hay recursos que no
son administrados desde el AD, tal como
sistemas que no están integrados con el AD, es
decir, cuya autenticación es gestionada por el
mismo sistema con usuarios internos del
mismo, asimismo la asignación de perfiles
sobre los sistemas recae en el mismo.
[…con el fin de mantener la integridad de los Se valora la observación sin embargo el mismo
objetos contenidos.] Observaciones de la se basa en el párrafo que indica la importancia
Administración: de la auditoría a este componente por lo que se
considera que lo expuesto corresponde al
Sobre este particular se hace conveniente objetivo establecido en el Procedimiento MH-
aclarar que como Administradores del Active DTIC-PRO03-PCD-010 Gestión de Active
Directory se mantiene la integridad de los Directory que indica:
objetos caso contrario representaría que la Definir las actividades que permitan una
base de datos del AD se encuentre corrupta. oportuna gestión del Active Directory (AD)
Hay que hacer separación entre la integridad Corporativo a fin de mantener la integridad de
del objeto y que la información contenida en los los objetos contenidos en el mismo.
atributos del mismo, en el caso de objeto de
estudio los usuarios, refleje la realidad en un Por lo que el fortalecimiento de los
momento de tiempo. Por ejemplo, ubicación y procedimientos y controles relacionados
estado de un usuario.
Av. 2da, Calles 1 y 3, diagonal al Teatro Nacional, San José, Costa Rica.
Tel: (506)2539-6684 - www.hacienda.go.cr 10AI-INF-CI-003-2021
Comentarios Valoración
Considerar este comentario en todo el informe ayudarían al cumplimiento del objetivo
donde se hace mención a la integridad de establecido.
objetos.
En cuanto a corrupción de la base de datos esta
AI no hace ninguna afirmación al respecto, sin
embargo dentro de los riesgos en materia de
integridad de datos, podemos encontrar el error
humano, cuando las personas incluyen
información incorrecta, cuando duplican o
borran datos se compromete la integridad de
los datos. Situación que se aborda en el
resultado 2.2
Qué sigue? Se valoró y se toma en cuenta para la
recomendación respectiva.
[… instruir a los Directores para que remitan a
la DTIC un listado de los funcionarios actuales,
así como los sistemas y accesos que deban
tener acceso...]
Observaciones de la Administración:
La gestión de seguridad de los sistemas, es
decir, el acceso a los módulos es administrado
desde cada sistema o comparten algún agente
de seguridad. Hay sistemas que se integran con
el AD para la autenticación específicamente,
dejando la asignación de perfiles y permisos al
sistema destinado para tal fin.
El otorgar permisos a un sistema recae tanto en
las áreas negocio para algunos de los servicios
como en la DTIC para sistemas legados.
La necesidad de mantener actualizados los
atributos del usuario es de gran importancia
para la administración del AD, sin embargo,
esta recomendación podría orientarse para ser
atendida por segmentos de negocio/sistemas,
ya que la actualización de todo el universo de
sistemas, permisos, AD y otros, de forma
masiva, podría suponer tiempo extenso
culminando con nuevas desactualizaciones.
Incluso existe el riesgo inherente de omisión de
algún permiso a la hora de remitir el listado, y
que al ser retirado y afecte la ejecución de
labores de los funcionarios.
Av. 2da, Calles 1 y 3, diagonal al Teatro Nacional, San José, Costa Rica.
Tel: (506)2539-6684 - www.hacienda.go.cr 11AI-INF-CI-003-2021
Comentarios Valoración
1.4 Criterios de Evaluación Se valora el comentario y se considera que no
requiere modificación ya que en cada resultado
[…•Las Normas de Control Interno para el se indica el criterio de evaluación utilizado.
Sector Público.
• Normas de Tecnologías de Información.
• El Procedimiento MH-DTIC-PRO02-PCD-001
para el Ingreso, Traslado o Finalización de
Relaciones. Laborales en el Ministerio de
Hacienda.
• Procedimiento MH-DTIC-PRO03-PCD-010
Gestión de Active Directory]
Observaciones de la Administración:
Se considera que los indicados son marcos de
referencia. Para mayor entendimiento del
informe acotar los criterios de evaluación
específicos utilizados
1.8 Generalidades Al respecto, considera esta AI, que lo indicado
corresponde a una descripción de las
[…configurar el inicio de sesión único para funcionalidades principales que tiene el Active
equipo, aplicaciones y servicios, establecen un Directory por lo que no corresponde realizar
control de permisos y accesos…] ningún ajuste al informe.
Observaciones de la Administración:
El inicio de sesión mediante AD es el estándar
para acceso a equipos, servicios dentro de la
plataforma tecnológica (a excepción de
plataforma legada como SIIAT) y para algunos
sistemas.
4. Resultados Se valora la observación y se considera tomar
en cuenta para la recomendación que se
2.1 Sobre la necesidad de establecer un plazo elabore el escenario de riesgo y su tratamiento
para mantener las cuentas de usuario en la relacionado la eliminación de cuentas de
OU1 de deshabilitados usuario.
[…Lo antes expuesto limita la depuración de la
base de datos de cuentas del AD, ocupando un
espacio en la base de datos del Active Directory
que podría recuperarse y utilizarse; además,
incrementa el riesgo de ataque de
ciberdelincuentes que podrían apropiarse de
una de esas cuentas.]
Av. 2da, Calles 1 y 3, diagonal al Teatro Nacional, San José, Costa Rica.
Tel: (506)2539-6684 - www.hacienda.go.cr 12AI-INF-CI-003-2021
Comentarios Valoración
Observaciones de la Administración:
Tal y como se indica en el mismo informe que
las cuentas pueden ser objeto de auditoria, y en
consideración de que hay sistemas que utilizan
la autenticación basada en AD, es importante
elaborar el escenario de riesgo y su tratamiento
relacionado con el mantener las cuentas
antiguas versus su eliminación, ya que
eliminarlas habilita la posibilidad de que a futuro
se puedan crear cuentas con el mismo login
pero asociado a otro funcionario, generando
una inconsistencia entre el AD y las bitácoras
de algunos sistemas.
En concordancia con los sistemas, en éstos los
usuarios inactivos no se eliminan, sino que se
dan de baja.
2.2 Sobre suficiencia de controles para Se aclara que en el informe se advierte de
protección de información. algunas situaciones encontradas durante la
revisión, sin que se haya profundizado en la
[ …En la revisión realizada se evidenció lo determinación de las causas de dichos
siguiente: resultados.
• En la comparación de Integra con AD, no se Lo pretendido es que la DTIC realice la
encontraron 1549 registros. investigación pertinente para lo que se les
indicará el criterio de comparación utilizado y
determine con base en los resultados de las
• En la comparación de Integra con Buzón de comparaciones de las bases de datos, las
correo, no se encontraron 1552 registros. posibles causas para dichas inconsistencias.
• En la comparación de Buzón con AD, no se Para esto, se revisará la redacción del resultado
encontraron 78 registros en el AD. y la recomendación, a fin de que queden más
claras las acciones sugeridas a esa Dirección.
• En la comparación AD con buzón, no se
encontraron 549 registros.
• De los 97 funcionarios que dejaron de laborar
para el MH en el 2020, 16 registros no se
encontraron en las listas proporcionadas del
AD.…]
Observaciones de la Administración:
La comparación de objetos de Integra (con
cédula), cuentas de red (con nombre) y
buzones puede generar diferencias justificadas
dependiendo del criterio de comparación. Cabe
señalar que hay cuentas de red que podrían no
tener buzón como son las cuentas de los
Av. 2da, Calles 1 y 3, diagonal al Teatro Nacional, San José, Costa Rica.
Tel: (506)2539-6684 - www.hacienda.go.cr 13AI-INF-CI-003-2021
Comentarios Valoración
administradores de la plataforma, asimismo
puede existir buzones que no tienen cuenta de
red como los buzones asociados a
notificaciones de sistemas.
La remisión del listado de funcionarios actuales Se tomará en cuenta dicha observación y se
y los accesos requeridos a todos los sistemas ajustará la recomendación pertinente.
debería ejecutarse de manera controlada para
el éxito del producto final.
La consistencia de los atributos de usuario, Se tomará en cuenta dicha observación y se
entre ellos contar con el estado fiel a la realidad ajustará la recomendación respectiva.
es de gran importancia para la gestión del AD.
La DTIC ejecuta según realimentación de
Recursos Humanos y/o jefaturas inmediatas.
La actualización del procedimiento MH-DTIC- Se concuerda con el comentario.
PRO03-PCD-010 Gestión de Active Directory,
oficializado en junio 2020, es recibida como
parte de la mejora continua del proceso
En relación a la comparación de las bases de Se tomará en cuenta dicha observación y se
datos, que se especifique como se realizó la ajustara el resultado.
comparación, para realizar por parte de DTIC,
el mismo escenario e identificar las causas de
dichas diferencias.
En relación con la recomendación para la Se tomará en cuenta dicha observación y se
depuración de usuarios del Active Directory ajustará la recomendación.
considera que se debe remitir a Potencial
Humano, que son los que tienen la información
del movimiento de personal del Ministerio.
Por otra parte, informa que ellos no administran Se tomará en cuenta dicha observación y se
los accesos a todos los sistemas por lo que la ajustara la recomendación.
recomendación debería ir dirigida también a los
administradores de los otros sistemas.
Fuente: Acta de comunicación de resultados del estudio No. 2020-032 del 14 de mayo 2021 y oficio DTIC-301-2021.
Av. 2da, Calles 1 y 3, diagonal al Teatro Nacional, San José, Costa Rica.
Tel: (506)2539-6684 - www.hacienda.go.cr 14También puede leer
