El sistema informático de Pemex se mantiene vulnerable a un incidente de inseguridad pese a que el año pasado fue ‘hackeado’, ya que sus sistemas operativos se encontraban desactualizados, al menos hasta la fecha de revisión al cumplimiento de tecnologías de la información y comunicaciones, realizada por la Auditoría Superior de la Federación (ASF).
El organismo destacó que la situación aumenta el riesgo de un incidente de seguridad informática que podría ocasionar un impacto negativo en los activos de información y procesos de negocio de la empresa.
“Con relación a los controles de ciberseguridad, respecto al ejercicio 2018 no se registran avances en el inventario de software autorizado y no autorizado, en las configuraciones seguras para hardware y software en los dispositivos móviles, ordenadores portátiles, estaciones de trabajo y servidores, en la aplicación de software de seguridad, así como en las pruebas de penetración y ejercicios de equipo rojo”, se menciona en la segunda entrega de 2019 del informe de la ASF.
El organismo señaló que el sistema informático de Pemex carece de un adecuado control, manejo, evaluación, supervisión y validación del inventario de equipos de cómputo, ya que hay diferencias en el control de inventarios y falta de constancia de las revisiones o cambios para acreditar el detalle de los equipos pagados mensualmente.
Además, se detectaron servidores y equipos de cómputo con sistemas operativos obsoletos que ya no cuentan con soporte por parte del fabricante, lo cual aumenta el riesgo para la seguridad de la información, debido a la falta de actualizaciones de seguridad para remediar vulnerabilidades que están expuestas a ataques cibernéticos.
“La vulnerabilidad de los servidores Microsoft SharePoint que estaban expuestos a la web, la cual fue explotada por el hacker en el incidente de seguridad informática del 10 de noviembre de 2019, había sido corregida por el fabricante seis meses antes del ataque; sin embargo, debido a la falta de gestión de actualizaciones de seguridad (parches), entre otros controles, la vulnerabilidad no fue remediada por Pemex, lo que contribuyó para que los equipos de cómputo hayan sido secuestrados, ocasionando la pérdida de activos de información en los servidores y equipos de usuario final, así como la interrupción de los procesos de negocio de la empresa”, expuso la ASF en su informe.
Asimismo, la Audtoría identificó fallas en la revisión periódica de las actividades realizadas por los proveedores para el cumplimiento de sus obligaciones contractuales, ya que falta información de las fechas de elaboración, responsables, autorizaciones, roles, tiempos y actividades que sirven de base para la realización de los servicios relacionados con los sistemas de informática.
“Se requiere implementar procedimientos para la revisión, evaluación y gestión de parches para las actualizaciones de seguridad en los equipos de cómputo y servidores, así como realizar la migración de las plataformas obsoletas para las cuales ha terminado su periodo de soporte ampliado por parte del fabricante, con la finalidad de mitigar el impacto de un ataque cibernético”, se advierte en el documento.
Se agrega que es necesario fortalecer las políticas y procedimientos para la ejecución de pruebas de penetración a la infraestructura y sistemas de información de manera sistemática y periódica, así como ejecutar los respaldos de información de los servidores y equipos de usuario final prioritarios, para mitigar el impacto que podría ocasionar un incidente de seguridad informática.
Con información de El Financiero.