ASF encontró anomalías en los contratos del SAT sobre Tecnologías de la Información

La Auditoría Superior de la Federación (ASF) encontró deficiencias en los contratos que hizo el Servicio de Administración Tributaria (SAT) respecto a las Tecnologías de la Información y la Comunicación (TIC), de acuerdo con la segunda entrega del Informe de la Cuenta Pública 2018.

Para la revisión, la ASF examinó dos contratos del órgano recaudador para fiscalizar la gestión financiera relacionada con las TIC, así como su administración de riesgos, seguridad de la información, continuidad de las operaciones, calidad de datos y aprovechamiento de los recursos asignados.

“Durante la revisión de los ejercicios del 2014, 2016 y 2017, se identificaron deficiencias en la gestión de los contratos, así como en el proceso de seguridad de la información, lo que representó un riesgo para las operaciones del SAT”, destacó la auditoría.

Por ello, revisó dos contratos. El primero de ellos fue realizado con la empresa T-Systems con el objetivo de prestar el servicio de “soporte operativo”, con una vigencia del 20 de agosto del 2015 al 19 de agosto del 2019.

La revisión encontró, por ejemplo, que no hay evidencia de la participación de T-Systems como apoyo para la determinación de requerimientos técnicos en la celebración de contratos de software, además de carecer de herramientas para la contención y bloqueo de amenazas, o bien para la generación de inventario de sistemas con antivirus.

“Por todo lo anterior, se detectaron deficiencias en la verificación, monitoreo, supervisión y control del cumplimiento de los compromisos y actividades contractuales, debido a la carencia de las actividades por parte del proveedor establecida en el contrato, así como la similitud de servicios con otros contratos del SAT y se determinaron penalizaciones no aplicadas por 30 millones de pesos, debido a la omisión en la entrega de productos asociados a los servicios estipulados”.

El segundo contrato revisado fue el efectuado con la empresa Scitum, con vigencia del 9 de septiembre del 2015 al 26 de septiembre de este año, cuyo objetivo fue prestar los “servicios administrados de seguridad de la información y comunicaciones”.

Entre las deficiencias encontradas estuvieron las de no ejecutar un análisis de vulnerabilidades, documentos que acrediten que la infraestructura suministrada sea nueva, así como recursos humanos que no contaban con la certificación requerida.

“Por lo anterior, existieron deficiencias en la gestión del contrato, debido a la falta de certificación de los recursos humanos del proveedor, así como de la aplicación de penas convencionales por 116,700 pesos, más las actualizaciones correspondientes, por los atrasos en los entregables”, añadió la ASF.

En ambos casos, la ASF emitió la Promoción de Responsabilidad Administrativa Sancionatoria para que el SAT realice las investigaciones pertinentes y, en su caso, inicie el procedimiento administrativo correspondiente por las irregularidades de los servidores públicos que omitieron la aplicación de penalizaciones en estos contratos.

Ciberseguridad, también en la mira

En el tema de la ciberseguridad, la ASF también encontró deficiencias en la administración y operación de controles vinculados con la infraestructura tecnológica y sus aplicativos.

Por ejemplo, destacó que el “Instructivo para la administración de identidades y control de acceso a sistemas institucionales” está desactualizado, además de no llevar a cabo detecciones de necesidades de capacitación del personal ligado a las TIC.

Otros puntos que señaló fueron la falta de monitoreo de intentos de acceso a las cuentas desactivadas, la carencia de respaldo de información de los usuarios, así como la no existencia de procedimientos para validar y evitar instalaciones no autorizadas de programas.

“Se concluye que existen deficiencias en los controles para la creación del inventario de software autorizado, configuraciones seguras para hardware y software en los dispositivos móviles, ordenadores portátiles, estaciones de trabajo y servidores; uso controlado de privilegios administrativos, correo electrónico y protección web del navegador; restricción y control de puertos de red, protocolos y servicios; control de acceso inalámbrico, supervisión y monitoreo de cuentas; evaluación de habilidades de seguridad y capacitación adecuada para evitar deficiencias, así como la formalización de documentación del Informe Individual del Resultado de la Fiscalización Superior de la Cuenta Pública 2018, que regula los procesos asociados a la ciberseguridad, lo cual podría impactar en la operación del SAT”.

¿Cuánto pagó el SAT por las TIC?

De acuerdo con la Auditoría Superior de la Federación, el año pasado el Servicio de Administración Tributaria (SAT) gastó poco más de 7,586 millones de pesos en contratos relacionados con las tecnologías de la información y la comunicación (TIC).

La cifra proviene de dos fuentes. En primer lugar, el presupuesto que el SAT destinó a las TIC sumó 679 millones de pesos, 3.9% de su presupuesto total de 17,261 millones de pesos, en donde se incluyen tanto gasto en contratos como servicios personales, mientras que lo restante proviene del Fideicomiso Público para Administrar la Contraprestación del artículo 16 de la ley aduanera.

ana.martinez@eleconomista.mx