Inegi tiene controles de ciberseguridad débiles, advierte la ASF

El Instituto Nacional de Estadística y Geografía (Inegi) tiene deficiencias en los controles de ciberseguridad que ha implementado, que podrían afectar la confidencialidad, disponibilidad e integridad de la información que maneja, advirtió la Auditoría Superior de la Federación (ASF).

En la Auditoría De Cumplimiento a Tecnologías de Información y Comunicaciones que la ASF realizó como parte de la revisión a la Cuenta Pública 2019, encontró debilidades en la seguridad que aplica el instituto a su equipo de cómputo.

Por ello, recomendó una serie de acciones para reforzar la ciberseguridad en su infraestructura, como implementar herramientas para identificar automáticamente los equipos que se conectan a la red, enlistar y controlar el software que se ejecuta en la infraestructura tecnológica con la finalidad de contar con un inventario de equipos preciso que asegure la integridad de los archivos y el control de cambios al software que disminuya los riesgos que pudieran impactar en la óptima operación y manejo de la información en el Inegi.

Además, realizar una definición y clasificación y dar seguimiento y atención de los incidentes de seguridad.

Recomendó ejecutar un análisis de riesgos, de vulnerabilidades y pruebas de penetración periódicamente, a fin de identificar posibles amenazas que pudieran ocasionar una afectación a la confidencialidad, la disponibilidad e integridad de la información del Instituto.

La ASF sugirió aplicar mecanismos para remediar las incidencias detectadas en el sistema, así como establecer una política en donde se definan los puertos y protocolos seguros en la infraestructura del Inegi, así como la línea base de configuración de seguridad para los equipos de comunicaciones como son Firewalls, Routers y Switches.

Esto con la finalidad de prevenir vulnerabilidades asociadas a los puertos y fortalecer las configuraciones de la infraestructura tecnológica para mitigar amenazas. También, recomendó implementar controles en los servicios de internet y correo electrónico para asegurar que únicamente los navegadores y clientes de correo electrónico autorizados se ejecuten en el instituto y que cualquier plugin o aplicación add-on sea desinstalado o deshabilitado.

El Inegi debe, además, implementar un servicio de filtrado del Sistema de Nombres de Dominio (DNS) para ayudar a bloquear el acceso a dominios maliciosos conocidos, realizar regularmente escaneos desde el exterior del borde de cada red de confianza para detectar cualquier conexión no autorizada accesible a través del borde.

La ASF pidió continuar con los esfuerzos para la implementación de herramientas de monitoreo de Integridad de Archivos o de administración de eventos y seguridad de la información (SIEM).

Para protegerse, recomendó actualizar los criterios para la clasificación de activos de información, así como el listado de activos de información crítica por lo menos una vez al año; configurar la herramienta para la prevención de pérdida de datos (DLP) con base en el listado de activos de información crítica establecido, y considerar segmentar la red según el nivel de clasificación de la información almacenada en los servidores y cifrar la información sensible tanto en tránsito, como en reposo.

El Inegi debe también establecer una periodicidad para la ejecución de respaldos e implementar mecanismos para la verificación de las copias de seguridad, para que en caso de que se presenten errores, se definan las acciones necesarias a fin de corregirlos y garantizar que la información se encuentre íntegra y disponible en caso de requerirla.

Agencias