30 de setiembre, 2021 INFORME DE AUDITORÍA DE CARÁCTER

INFORME N° DFOE-FIP-IF-00003-2021

30 de setiembre, 2021

INFORME DE AUDITORÍA DE CARÁCTER ESPECIAL SOBRELA PLATAFORMA SINPE COMO MEDIO PARA LA

MOVILIZACIÓN ELECTRÓNICA DE FONDOS (PAGOS YCOBROS)

2021

CONTENIDOResumen Ejecutivo 3

Introducción 5

Origen de la Auditoría 5

Objetivo de la Auditoría 5

Alcance 6

Criterios de Auditoría 6

Metodología aplicada 7

Definiciones 7

Generalidades acerca del objeto auditado 8

Comunicación preliminar de los resultados de la Auditoría 10

Siglas 10

Resultados 11

Alineamiento estratégico en cumplimiento de la Directriz 054-MP 11

Constituye una oportunidad impulsar el cumplimiento de la Directriz 054-MP 11

Interoperabilidad 13

Cumplimiento razonable de la interoperabilidad semántica y técnica 13

Gestión de la Seguridad Lógica y Perimetral 15

Es conveniente elevar la complejidad de autenticación (múltiple factor) 15

Gestión sobre el control de acceso a la plataforma SINPE 17

Conclusiones 20

Disposiciones 21

AL SEÑOR RODRIGO CUBERO BREALEY EN SU CALIDAD DE PRESIDENTE DE LA JUNTA DIRECTIVA DEL BANCO CENTRAL DE COSTARICA Y PRESIDENTE DEL BANCO CENTRAL O A QUIEN EN SU LUGAR OCUPE EL CARGO 21

A LOS MIEMBROS DE LA JUNTA DIRECTIVA DEL BANCO CENTRAL DE COSTA RICA 22

A LA SEÑORA HAZEL VALVERDE RICHMOND EN SU CALIDAD DE GERENTE DEL BANCO CENTRAL DE COSTA RICA O A QUIEN ENSU LUGAR OCUPE EL CARGO 22

CuadrosCuadro N° 1 Conceptos utilizados en la auditoría 7Cuadro N°2 Siglas 10

FigurasFigura N°1: Aspectos evaluados 6

Figura N°2: Criterios aplicados 7Figura N°3: Histórico de resultados encuesta de calidad del servicio de la plataforma SINPE 9Figura N°4: Aspectos de interoperabilidad semántica definidos en el Código Nacional de Tecnologías Digitales del MICITT y quecumple la plataforma SINPE 14Figura N°5: Aspectos de interoperabilidad técnica definidos en el Código Nacional de Tecnologías Digitales del MICITT y quecumple la plataforma SINPE 14

- 2 -Contraloría General de la República

T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected]://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica

http://www.cgr.go.cr/

Resumen Ejecutivo¿QUÉ EXAMINAMOS?La Contraloría General realizó una auditoría de carácter especial sobre la plataforma SINPE comomedio para la movilización electrónica de fondos (pagos y cobros) del Banco Central de CostaRica. Esta tuvo como propósito determinar si los servicios de pagos y cobros de la plataformaSINPE cumplen con el marco regulatorio aplicable, incluyendo estándares y buenas prácticas, quegaranticen de manera razonable el alineamiento estratégico, la seguridad de la información y lacapacidad de interoperar en la movilización electrónica de fondos. El periodo evaluadocomprendió del 1° de enero de 2019 al 31 de diciembre de 2020, el cual se amplió cuando seconsideró necesario.

¿POR QUÉ ES IMPORTANTE?El progreso significativo en la adopción de pagos digitales y de recaudo a través de lastransferencias electrónicas ha demostrado una serie de beneficios en las tesorerías de lasinstituciones públicas. Dentro de los cuales podemos resaltar que hacer uso de la digitalización delas operaciones de cobro y pago por medio de plataformas como SINPE contribuyen en labancarización, trazabilidad y transparencia en el uso de los recursos públicos y aportanpositivamente a la entrega eficiente de los servicios públicos.

Por medio de la plataforma SINPE el BCCR registra movimientos superiores a los ¢26 billonesanuales en los servicios de Cobro y Pago en el sector público, desde 2019 a la fecha. Suutilización representa una oportunidad de mayor eficiencia en el manejo de la liquidez pública, lageneración de ahorros en pago de comisiones, y permite minimizar riesgos en el uso indebido delos recursos de efectivo, entre otras.

Dado lo anterior, es relevante que la plataforma SINPE cumpla con transacciones electrónicasseguras, así como con la capacidad de interoperar en la movilización electrónica de fondos paralos servicios de pago y cobro, además, de disponer de un alineamiento estratégico con loestablecido en la Directriz 054-MP.

¿QUÉ ENCONTRAMOS?Una vez concluida la presente auditoría, esta Contraloría General determinó que los controlestecnológicos implementados por el BCCR para asegurar aspectos como la seguridad lógica yperimetral de la plataforma SINPE son razonablemente aceptables. De igual manera, lasnormativas, políticas y procedimientos que soportan las especificaciones necesarias para que losparticipantes logren interoperar de una forma fluida y natural cumplen razonablemente,permitiendo intercambiar la información con los sistemas de transferencias monetarias.

Además, con respecto a la continuidad de los servicios brindados por el SINPE, el BCCR cuentacon dos centros de datos, los cuales operan de manera simultánea y en total sincronización, asícomo el balanceo de cargas que garantizan de manera razonable la continuidad del negocio yuna mejor calidad del servicio.

Adicionalmente, en el estudio se determinó que aún no se ha dado inicio al cumplimiento de laDirectriz 054-MP, la cual establece la modernización de los mecanismos de cobro y pago en las




instituciones del sector público, donde el Banco Central es el responsable de coordinar y darseguimiento a la ejecución de la misma. Según dicha directriz, la implementación y uso deprocedimientos electrónicos que promuevan la eficiencia y seguridad de las operaciones,contribuye al bienestar general de la población, y la habilitación de estos procedimientos en lasinstituciones del sector público promueve la inclusión financiera y la provisión de opcioneselectrónicas de cobro y pago convenientes para los ciudadanos.

Finalmente, la plataforma del SINPE que intercomunica los diferentes participantes, se realiza poruna red interna y privada, con mecanismos de seguridad para establecer la conexión con dichaplataforma. En lo que respecta a la autenticación de sus participantes, se visualiza como unaposibilidad de mejora, habilitar la gestión de accesos con autenticación de múltiple factor, parareforzar el inicio de sesión con usuario y contraseña en la plataforma.

¿QUÉ SIGUE?Con fundamento en los resultados obtenidos y con el propósito de fortalecer la gestión que realizael BCCR se emiten disposiciones a la Presidencia de la Junta Directiva y a la Gerencia con elpropósito de impulsar el proyecto de “Modernización de los mecanismos de cobro y pago en lasinstituciones del sector público – Directriz de gobierno No. 054-MP” y robustecer la autenticaciónen el acceso a la plataforma SINPE por medio del múltiple factor.




INFORME N° DFOE-FIP-IF-00003-2021

DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVAÁREA DE FISCALIZACIÓN PARA EL DESARROLLO DE LAS FINANZAS

PÚBLICAS

INFORME DE AUDITORÍA DE CARÁCTER ESPECIAL SOBRE LAPLATAFORMA SINPE COMO MEDIO PARA LA MOVILIZACIÓN

ELECTRÓNICA DE FONDOS (PAGOS Y COBROS)

1. Introducción

ORIGEN DE LA AUDITORÍA

1.1. El Banco Central de Costa Rica (BCCR) desarrolló y administra el Sistema Nacional de PagosElectrónicos (SINPE) que conecta a entidades financieras e instituciones públicas del país através de una red privada de telecomunicaciones, la cual les permite realizar la movilizaciónelectrónica de fondos entre cuentas clientes y participar en los mercados de negociación queorganiza el BCCR mediante esa plataforma, por medio de la cual se registran movimientos de ¢26billones anuales a través de los servicios de Cobro y Pago en el sector público.

1.2. Por lo anterior, es relevante determinar que la plataforma SINPE cumple con aspectos en cuanto aseguridad lógica y perimetral, así como la capacidad de interoperar en la movilización electrónicade fondos para los servicios de pago y cobro. Además, para integrar la movilización electrónica defondos en el sector público se hace imperante modernizar el sistema de pagos costarricense, através del alineamiento estratégico esbozado en la Directriz 054-MP.

1.3. Así las cosas, la auditoría se realizó en cumplimiento del Plan Anual Operativo de la DFOE confundamento en las competencias que le confieren a la Contraloría General los artículos 183 y 184de la Constitución Política, los artículos 12, 17 y 21 de su Ley Orgánica N.° 7428.

OBJETIVO DE LA AUDITORÍA

1.4. El objetivo de esta auditoría fue determinar si los servicios de pago y cobro de la plataformaSINPE, cumplen con el marco regulatorio aplicable, incluyendo estándares y buenas prácticas,que garanticen de manera razonable el alineamiento estratégico, la seguridad en la información yla capacidad de interoperar en la movilización electrónica de fondos.

ALCANCE

1.5. La auditoría comprendió el análisis de la plataforma SINPE como medio para la movilizaciónelectrónica de fondos en los servicios de pago y cobro. El periodo de análisis comprendió del 1°de enero de 2019 al 31 de diciembre de 2020, el cual se amplió cuando se consideró necesario.




Para ello, se consideraron el alineamiento estratégico, la seguridad lógica y perimetral de lainformación, y la interoperabilidad técnica y semántica según se detalla a continuación:

a) Alineamiento estratégico: comprende determinar la existencia y suficiencia de políticas yestrategias de tecnologías de información que sustenten la operación sostenible ycreciente de la plataforma SINPE de conformidad con el artículo 3 de la Directriz 054-MP.

b) Seguridad lógica y perimetral: comprende determinar si el diseño, implementación yefectividad operativa de los controles tecnológicos utilizados por el BCCR para garantizarde forma razonable la seguridad lógica y perimetral de la plataforma SINPE con base enlas buenas prácticas.

c) Interoperabilidad técnica y semántica: comprende determinar si los servicios de cobro ypago de la plataforma SINPE cumplen con las buenas prácticas para posibilitar elintercambio de datos e información entre las organizaciones participantes.

Figura N°1: Aspectos evaluados

Fuente: Elaboración CGR.

CRITERIOS DE AUDITORÍA

1.6. La comunicación de los criterios de auditoría se realizó el día 21 de junio de 2021 a la GerenteGeneral, el Director de la División de Sistemas de Pago y el Director de la División de ServiciosTecnológicos del Banco Central de Costa Rica, así como mediante el oficio N.° DFOE-FIP-0041(9107) del 21 de junio de 2021.




Figura N°2: Criterios aplicados


METODOLOGÍA APLICADA

1.7. La auditoría se realizó de conformidad con las Normas Generales de Auditoría para el SectorPúblico, con el Manual General de Fiscalización Integral de la CGR y el Procedimiento deAuditoría vigente, establecido por la DFOE. Los procedimientos de auditoría ejecutadosconsideraron el análisis de la información suministrada en entrevistas y consultas escritas porfuncionarios del BCCR.

1.8. La metodología utilizada se enfocó en la aplicación de técnicas y prácticas de auditoríageneralmente aceptadas, tales como entrevistas, solicitudes de información, visita de campo y elanálisis de la documentación.

1.9. Se desarrollaron pruebas en sitio para validar los controles que aseguran el segmento de redestablecido por el BCCR para la plataforma SINPE.

1.10. Finalmente se desarrolló el análisis de información sobre los datos extraídos directamente de labase de datos, referente a los perfiles, usuarios y roles en el sistema de Administración deEsquemas de Seguridad que apoya a la plataforma.

COMUNICACIÓN PRELIMINAR DE LOS RESULTADOS DE LA AUDITORÍA

1.11. La comunicación preliminar de los resultados y disposiciones producto de la auditoría que alude elpresente informe, se llevó a cabo por medio de videollamada el día viernes 17 de setiembre delaño en curso, con la participación de los señores, Rodrigo Cubero Brealey, Presidente, HazelValverde Richmond, Gerente, Carlos Melegatti Sarlo, Director, División Sistemas de Pago, JoséFrancisco Carvajal Chavarría, Director, Departamento SINPE, David Galán Ramírez, AuditorInterno, Roy Rodríguez Salas, Auditor Departamento Auditoría Operacional, Luis GuillermoZumbado Chinchilla, Director División de Servicios Tecnológicos, Miguel Carballo Chavarría,Ciberseguridad y Harold Murillo Cháves, Director del Departamento de Desarrollo del SINPE. Elborrador de este informe se comunicó mediante oficio N.°13391 (DFOE-FIP-0191) , remitido el 15de setiembre del año en curso.




DEFINICIONES

1.12. Los principales conceptos utilizados en la auditoría realizada se detallan a continuación:Cuadro N° 1 Conceptos utilizados en la auditoría

CONCEPTO DEFINICIÓN

Interoperabilidad

La capacidad del Sistema Nacional de Pagos Electrónicos (SINPE) y de los servicios a losque éstos dan soporte (cobros y pagos), de compartir datos y posibilitar el intercambio deinformación entre los participantes, para ser más eficientes y prestar los servicios a losciudadanos de manera ágil, simple y segura mediante modelos que incorporencomponentes normativos, técnicos y semánticos.

Interoperabilidadtécnica

Documentación que apoya las características de hardware, software y telecomunicacionespara el uso de la plataforma SINPE. (revisar que exista un marco general deinteroperabilidad técnica donde se definan especificaciones, estándares de intercambio dedatos, lineamientos, características de hardware, software y telecomunicaciones,soportetécnico tanto físico como lógico).

Interoperabilidadsemántica

Lenguaje técnico utilizado para la comunicación estándar entre el emisor y el receptor(verificar que las fuentes de datos estén definidas, que los metadatos estén documentadosy que exista un diccionario de metadatos).

Rest Representational State Transfer: Término utilizado para interfaces entre sistemas queutilizan directamente HTTP.

JSON JavaScript Object Notation: Formato de texto para el intercambio de datos.Web Services Interfaz mediante la que dos aplicaciones se comunican entre sí.WCF Windows Communication Foundation.

Archivo XML Extensible Markup Language están compuestos por etiquetas que aportan datos einformación.

Metadato Información que caracteriza o describe a otro recurso de información, especialmente con elpropósito de documentar, describir, preservar o administrar ese recurso.

IBAN International Bank Account Number: Estándar a nivel internacional para realizarmovimientos de fondos fronterizos.

Enrutador Es un dispositivo físico de red que permite conectar dos o más dispositivos entre sí ypermite el envío y la recepción de paquetes de información

Terminales VDI Virtual Desktop Infrastructure: tecnología que se utiliza para crear un entorno de escritoriovirtualizado en una configuración de servidor remoto.

WAN Wide Area NetworkLAN Local Area Network

WC3 World Wide Web Consortium: es un consorcio internacional que realiza recomendaciones yestándares.

HTTP Hyper Text Transfer Protocol: Protocolo de comunicación para aplicaciones en redes.Factor de autenticación Se define como algo que usted sabe, algo que usted tiene o algo que usted es.

Autenticación Digital(Gaudi)

Es una solución tecnológica de acceso electrónico que permite realizar una serie defuncionalidades con su tarjeta de firma digital, tales como firmar y validar documentos y laautenticación de los suscriptores.

Certificados de la raíz Se utilizan para validar la cadena de confianza de todas las Autoridades Certificadoraspertenecientes a la jerarquía nacional de certificación digital.

Directorio Activo Directorio en una red distribuida de computadorasParches del SistemaOperativo

Actualizaciones enfocadas en solucionar vulnerabilidades.

SIEM (información de seguridad y gestión de eventos), es una tecnología capaz de detectarrápidamente, responder y neutralizar las amenazas informáticas.

IPS Sistema de prevención de intrusiones: es un software que se utiliza para proteger a lossistemas de ataques e intrusiones.

IDS Sistema de detección de intrusiones: es una aplicación usada para detectar accesos noautorizados a un ordenador o a una red

VPN Virtual Private Network: Crea una red privada de comunicación.

VLAN Virtual LAN: es una tecnología de redes que nos permite crear redes lógicasindependientes dentro de la misma red física.




Fuente: Elaboración CGR, con base en la regulación aplicable.

GENERALIDADES ACERCA DEL OBJETO AUDITADO

1.13. Dado que la adopción de pagos digitales y de recaudo a través de las transferencias electrónicasha demostrado una serie de beneficios en las tesorerías de las instituciones públicas, se requierela atención en la modernización de los sistemas de pagos y de liquidación de valores, permitiendola evolución de la banca digital en el país. Como parte de este proceso el BCCR cuenta con laDivisión del Sistema de Pagos como responsable de transmitir conocimientos sobre lafuncionalidad de los medios de pago electrónicos, así como promover la bancarización, inclusiónfinanciera y la utilización de estos medios de pago electrónicos, con el propósito de reducir el usode los medios de pago físicos, disminuir el costo de las transacciones de pago y prevenir lalegitimación de capitales1.

1.14. La plataforma SINPE como medio para la movilización electrónica de fondos (pagos y cobros) esimportante porque existe la necesidad de modernizar el sistema de pagos costarricense parapermitir la movilización electrónica de fondos, dicha plataforma permitirá conectar a entidadesfinancieras e instituciones públicas del país a través de una red privada de telecomunicaciones, esuna plataforma que tiene 24 años (1997) de estar operando y los servicios que ofrece han idocrecido en el tiempo.

1.15. A través de la plataforma SINPE se registran movimientos monetarios desde el 2019 a la fechasuperiores a los ¢26 billones anuales en los servicios de Cobro y Pago únicamente en el sectorpúblico. Actualmente, se cuenta con una incorporación de 15 entidades lo cual representa unaconsiderable oportunidad para promover el ahorro de dinero que se cubre en el manejo deefectivo, pago de altas tarifas en comisiones a terceros para la gestión de cobros, entre muchosotros factores.

1.16. Por otro lado, la evaluación de los servicios del Sistema Nacional de Pagos Electrónicos (SINPE)-cuyo objetivo es conocer el desempeño logrado en la prestación de los servicios y a partir de losresultados obtenidos, enfocar los recursos disponibles hacia la mejora continua de los procesos yservicios brindados, partiendo de la identificación de las necesidades y de la percepción que losclientes tienen de los productos-, evalúa 3 dimensiones de calidad a saber: Seguridad, Eficiencia yTransparencia. El histórico de resultados muestra un nivel de satisfacción general categorizadopor el BCCR como “Excelente” obteniendo calificaciones de 90% para el año 2015, 95% para elaño 2018 y 90% para el año 2020, así como un crecimiento de los participantes a través deltiempo.

1 Reglamento del Sistema de Pagos, aprobado por la Junta Directiva del BCCR en la sesión 5825-2018, artículo 6, del 2de mayo de 2018. Publicada en el Alcance 97 a la Gaceta 83 del 14 de mayo de 2018.




Figura N°3: Histórico de resultados encuesta de calidad del servicio de la plataforma SINPE


SIGLAS

1.17. A continuación, se indica el detalle de las siglas utilizadas en el informe:

Cuadro N°2 SiglasSIGLA SIGNIFICADO

CGR Contraloría General de la RepúblicaDFOE División de Fiscalización Operativa y Evaluativa de la CGRBCCR Banco Central de Costa RicaMICITT Ministerio de Ciencia, Tecnología y TelecomunicacionesSINPE Sistema Nacional de Pagos ElectrónicosCOBIT Control Objectives for Information and related TechnologyNCISP Normas de Control Interno para el Sector PúblicoMP Ministerio de la Presidencia





2. Resultados

ALINEAMIENTO ESTRATÉGICO EN CUMPLIMIENTO DE LA DIRECTRIZ 054-MP

Constituye una oportunidad impulsar el cumplimiento de la Directriz 054-MP2.1. La Directriz N° 054-MP2, en el artículo 3 establece al BCCR, con fundamento en las potestades

rectoras que le confiere su Ley Orgánica; asumir la coordinación y seguimiento de la ejecución dedicha Directriz, para lo cual le faculta a realizar una serie de acciones.

2.2. Además, las NCISP (N-2-2009-CO-DFOE), en el inciso 3.3 Vinculación con la PlanificaciónInstitucional, establecen que “La valoración del riesgo debe sustentarse en un proceso deplanificación que considere la misión y la visión institucionales, así como objetivos, metas,políticas e indicadores de desempeño claros, medibles, realistas y aplicables, establecidos conbase en un conocimiento adecuado del ambiente interno y externo en que la institución desarrollasus operaciones, y en consecuencia, de los riesgos correspondientes. Asimismo, los resultados dela valoración del riesgo deben ser insumos para retroalimentar ese proceso de planificación,aportando elementos para que el jerarca y los titulares subordinados estén en capacidad derevisar, evaluar y ajustar periódicamente los enunciados y supuestos que sustentan los procesosde planificación estratégica y operativa institucional, para determinar su validez ante la dinámicadel entorno y de los riesgos internos y externos.”.

2.3. Por su parte, en cuanto a las buenas prácticas internacionales en Tecnologías de Información delCOBIT 5, en su Principio 1 se indica que se deben satisfacer las metas de las partes interesadas,mediante una estrategia corporativa factible que apoye la alineación entre las necesidades de laempresa y las soluciones y servicios de TI. Dicho principio establece en el proceso APO05, lagestión del portafolio de proyectos mediante “...la inversión alineada con la visión de laarquitectura empresarial, las características deseadas de inversión, los portafolios de serviciosrelacionados, considerar las diferentes categorías de inversión y recursos y las restricciones definanciación. Evaluar, priorizar y equilibrar programas y servicios, gestionar la demanda con losrecursos y restricciones de fondos, basados en su alineamiento con los objetivos estratégicos asícomo en su valor y riesgo corporativo. Mover los programas seleccionados al portafolio deservicios activos listos para ser ejecutados. Supervisar el rendimiento global del portafolio deservicios y programas, proponiendo ajustes si fuesen necesarios en respuesta al rendimiento deprogramas y servicios o al cambio en las prioridades corporativas.”.

2.4. Del análisis realizado en la auditoría se determinó que existe un rezago en las accionesimplementadas por el BCCR para atender lo dispuesto en la Directriz 054-MP “Modernización delos mecanismos de cobro y pago en las instituciones del sector público”.

2.5. El objeto de dicha directriz es establecer los lineamientos generales para que las instituciones delsector público modernicen sus mecanismos de cobro y pago, mediante la implementación y usode procedimientos electrónicos que promuevan eficiencia y seguridad en sus operaciones, asícomo el bienestar general de la población (artículo 1) e instruye al BCCR como ente coordinadorde dicho proyecto a desarrollar una serie de actividades. Según la referida directriz, el plazomáximo para ejecutar las acciones de modernización por parte de las instituciones es de cincoaños desde su entrada en vigencia (17/06/2019).

2“ Modernización de los mecanismos de cobro y pago en las instituciones del sector público”, emitida por El Presidentede la República y el Ministerio de la Presidencia, publicada en el diario oficial la gaceta N°146 del 06/08/2019.




2.6. Sobre este particular, para acatar lo esbozado en dicha Directriz, la División de Sistemas de Pagode la institución elaboró el Anteproyecto denominado “Modernización de los mecanismos de cobroy pago en las instituciones del sector público – Directriz de gobierno No. 054-MP”, el cual incluyóestudios y análisis previos así como la determinación de posibles costos del proyecto. Este sepresentó a la Junta Directiva del BCCR bajo la sesión 5955-2020 del 02-set-2020 según loindicado en el artículo 6 del acta. Las posibles estrategias comentadas en dicha sesión serefirieron a esperar al 2022 debido a los temas de transformación digital impulsados con lapandemia de la COVID 19 y el seguimiento de proyectos de modernización y asesoramiento quedebe realizar el BCCR.

2.7. La situación anterior obedece, a que una vez que el anteproyecto es presentado a la JuntaDirectiva del BCCR, este dispuso3: “...continuar analizando, en una próxima oportunidad, lapresentación: Directriz 054-MP: Modernización de los mecanismos de cobro y pago en lasinstituciones del sector público,...”, dado “que requería un análisis más exhaustivo para tomar unadecisión sobre las posibles estrategias de abordaje”, y “no continuar analizando este punto hastatanto se haya discutido lo referente al sistema de pago electrónico en el transporte público”.

2.8. Al respecto, es importante indicar que el tema está pendiente de agendar en las sesiones de laJunta Directiva y el BCCR se proyecta retomarlo durante el primer trimestre del 2022 debido a queen la actualidad se prioriza la asignación de recursos a la implementación del pago electrónico enel transporte público (que permitirá a entidades como el INCOFER mejorar sus procesos decobro), aunado a la priorización está la extensión de la firma digital a dispositivos móviles y otrostemas internos que se constituyen en pasos previos necesarios para la implementación de losobjetivos que se esbozan en la Directriz 054-MP”.

2.9. Adicionalmente la entidad manifiesta que está “apoyando el desarrollo del proyecto de ley quelidera la Contraloría General de la República que vendría a complementar lo determinado en ladirectriz y que nos permitirá contar con una mayor claridad en la ruta para lograr unaimplementación exitosa del proyecto de “Modernización de los mecanismos de cobro y pago enlas instituciones del sector público costarricense”4.

2.10. No obstante lo anterior, postergar la atención por parte de la Junta Directiva al Anteproyecto“Modernización de los mecanismos de cobro y pago en las instituciones del sector público –Directriz de gobierno No. 054-MP” puede implicar un rezago en el alineamiento estratégico delBCCR para dar cumplimiento a la Directriz 054-MP que a su vez tiene el propósito de lamodernización y estandarización del sistema de pagos costarricense para la movilizaciónelectrónica de fondos (pagos y cobros).

2.11. Además, interrumpe la necesidad de impulsar la digitalización de trámites realizados por losciudadanos para el pago de servicios (cobros), dado que se sigue con la costosa práctica del usode efectivo en las instituciones públicas, así como el pago de altas tarifas de comisiones aterceros para la gestión de cobros, al igual que se afecta el proceso de bancarización por el sectorpúblico.

2.12. La generación de modelos de recaudación integrados permiten la trazabilidad y transparencia delos recursos por parte de las entidades del estado, por medio de plataformas interoperables y unmanejo eficiente de la liquidez de los fondos públicos al contar con medios automatizados derecaudación y pagos.

4 Oficio PRE 0064/2021 del 13-agost-2021

3 Acta sesión Junta Directiva 5955-2020 del 02-set-2020




INTEROPERABILIDAD

Cumplimiento razonable de la interoperabilidad semántica y técnica2.13. Las Normas técnicas para la gestión y el control de las tecnologías de información, en relación con

la administración de los datos establece que “...La organización debe asegurarse de que los datosque son procesados mediante TI corresponden a transacciones válidas y debidamenteautorizadas, que son procesados en forma completa, exacta y oportuna, y transmitidos,almacenados y desechados en forma íntegra y segura5”.

2.14. Por su parte el Código Nacional de Tecnologías Digitales del MICITT define la interoperabilidadsemántica como la que “Se ocupa del significado en el uso de los datos y la información y, enconcreto, garantiza que el significado preciso de la información intercambiada pueda serentendido por cualquier aplicación. Para ello, habilita a los sistemas para combinar la informaciónproveniente de otras fuentes y para procesarla de una manera integrada y con el sentidoadecuado.6”. Y la interoperabilidad técnica “Se refiere a aquellas cuestiones técnicas quegarantizan que los componentes tecnológicos de los sistemas de información de las entidadesparticipantes estén preparados para colaborar con los demás. Permite, por tanto, proporcionarmecanismos comunes de transferencia de datos y de invocación de funciones, transparentes alsustrato de redes y sistemas informáticos existentes. Entre otras cuestiones, se refiere ainterfaces, servicios de interconexión, integración de datos, middleware, presentación eintercambio de datos, accesibilidad o servicios de seguridad7”

2.15. Del análisis realizado para determinar si los servicios de cobro y pago de la plataforma SINPEcumplen con las buenas prácticas para posibilitar el intercambio de datos e información mediantela interoperabilidad semántica se determinó lo siguiente:

● Existen fuentes de datos definidas: tecnología web a través de servicios REST8 enformato JSON9, Webservices10 y/o WCF11, archivos electrónicos en XML12.

● Cuentan con metadatos13 documentados que dan un significado claro y específico quepermite ser interpretado de manera correcta por los participantes: estructuras de losarchivos XML, formatos de las cuentas IBAN14, explicación de fórmulas utilizadas.

● Se usa un diccionario de metadatos para propiciar la identificación de los datosutilizados incluyendo su significado, el tipo de dato y el formato del dato el cual facilita elintercambio consistente de información: diccionario con las propiedades utilizadas.

14 IBAN: International Bank Account Number: Estándar a nivel internacional para realizar movimientos de fondosfronterizos.

13 Metadato: Información que caracteriza o describe a otro recurso de información, especialmente con el propósito dedocumentar, describir, preservar o administrar ese recurso.

12 Archivo XML: Extensible Markup Language están compuestos por etiquetas que aportan datos e información.

11 WCF: Windows Communication Foundation.

10 Web Services: interfaz mediante la que dos aplicaciones se comunican entre sí.

9 JSON: JavaScript Object Notation: Formato de texto para el intercambio de datos.

8 Rest: Representational State Transfer: Término utilizado para interfaces entre sistemas que utilizan directamenteHTTP.

7 Glosario, definición de Interoperabilidad Técnica del Código Nacional de Tecnologías Digitales MICITT versión 1.0 del16/02/2020

6 Glosario, definición de Interoperabilidad Semántica del Código Nacional de Tecnologías Digitales MICITT versión 1.0del 16/02/2020

5 Norma 4.3 Administración de los Datos de las Normas técnicas para la gestión y el control de las tecnologías deinformación, N-2-2007-CO-DFOE.




Figura N°4: Aspectos de interoperabilidad semántica definidos en el Código Nacional de TecnologíasDigitales del MICITT y que cumple la plataforma SINPE


2.16. Asimismo, para los servicios de pago y cobro de la plataforma SINPE relacionados con lainteroperabilidad técnica se determinó que se encuentra definido lo siguiente:

● Especificaciones técnicas requeridas entre ellos características de hardware,software y telecomunicaciones: para este caso se definen enrutador15, estacionesde trabajo (terminales VDI16) conexión a la Wan17 del SINPE, canales de conexión,direccionamiento IP, líneas de comunicación, enlaces LAN18.

● Estándares de intercambio de datos: WC319, HTTP20, XML● Lineamientos para la interoperabilidad de los sistemas: Estándares

Electrónicos y Normas Complementarias.Figura N°5: Aspectos de interoperabilidad técnica definidos en el Código Nacional de Tecnologías

Digitales del MICITT y que cumple la plataforma SINPE


20 HTTP: Hiper Text Transfer Protocol: Protocolo de comunicación para aplicaciones en redes.19 WC3: World Wide Web Consortium: es un consorcio internacional que realiza recomendaciones y estándares.

18 LAN: Local Area Network

17 WAN: Wide Area Network

16 Terminales VDI: Virtual Desktop Infrastructure: tecnología que se utiliza para crear un entorno de escritorio virtualizadoen una configuración de servidor remoto.

15 Enrutador: Es un dispositivo físico de red que permite conectar dos o más dispositivos entre sí y permite el envío y larecepción de paquetes de información.




2.17. La situación anterior obedece a que el BCCR respalda el intercambio de datos e información delos servicios de pago y cobro de la plataforma SINPE por medio de un compendio normativo queincluye el Reglamento de Sistema de Pagos, las Normas Complementarias y los EstándaresElectrónicos cumpliendo de manera razonable con aspectos de interoperabilidad semántica ytécnica dispuestos en el Código Nacional de Tecnologías Digitales del MICITT.

2.18. Las fortalezas detalladas anteriormente, evidencian que los servicios de cobro y pago de laplataforma SINPE cumplen con las buenas prácticas para posibilitar el intercambio de datos einformación entre las organizaciones participantes mediante aspectos de la interoperabilidadsemántica y técnica, por lo tanto, su aprovechamiento a través de las instituciones públicasrepresenta un gran valor en cuanto a la eficiencia de los trámites en la gestión de cobro y pagoque realizan, mejoras en la calidad de los servicios, lo cual se convierte en beneficios directos a laciudadanía.

GESTIÓN DE LA SEGURIDAD LÓGICA Y PERIMETRAL

Es conveniente elevar la complejidad de autenticación (múltiple factor)2.19. Tal como lo establecen las Normas de Control Interno para el Sector Público,

N-2-2009-CO-DFOE en el inciso 5.8 Control de sistemas de información; “el jerarca y lostitulares subordinados, según sus competencias, deben disponer los controles pertinentespara que los sistemas de información garanticen razonablemente la calidad de lainformación y de la comunicación, la seguridad y una clara asignación deresponsabilidades y administración de los niveles de acceso a la información y datossensibles, así como la garantía de confidencialidad de la información que ostente esecarácter.”.

2.20. Además la norma 1.4 del Manual de Normas técnicas para la gestión y el control de lasTecnologías de Información (MNTGCTI), nro. R-CO-26-2007 del 7 de junio de 2007establece que “la organización debe garantizar, de manera razonable, la confidencialidad,integridad y disponibilidad de la información, lo que implica protegerla contra uso,divulgación o modificación no autorizados, daño o pérdida u otros factores disfuncionales.Para ello debe documentar e implementar una política de seguridad de la información ylos procedimientos correspondientes, asignar los recursos necesarios para lograr los nivelesde seguridad requeridos y considerar lo que establece la presente normativa en relacióncon los siguientes aspectos: /... El control de acceso. /... Además debe establecer lasmedidas de seguridad relacionadas con: /... La terminación normal de contratos, surescisión o resolución.”.

2.21. También la norma 1.4.5 de ese mismo cuerpo normativo establece que “la organizacióndebe proteger la información de accesos no autorizados. Para dicho propósito debe: / a.Establecer un conjunto de políticas, reglas y procedimientos relacionados con el acceso ala información, al software de base y de aplicación, a las bases de datos y a lasterminales y otros recursos de comunicación. /… d. Establecer procedimientos para ladefinición de perfiles, roles y niveles de privilegio, y para la identificación y autenticaciónpara el acceso a la información, tanto para usuarios como para recursos de TI. e.Asignar los derechos de acceso a los usuarios de los recursos de TI, de conformidad conlas políticas de la organización bajo el principio de necesidad de saber o menor privilegio.Los propietarios de la información son responsables de definir quiénes tienen acceso a lainformación y con qué limitaciones o restricciones. f. Implementar el uso y control demedios de autenticación (identificación de usuario, contraseñas y otros medios) quepermitan identificar y responsabilizar a quienes utilizan los recursos de TI.”.




2.22. En cuanto a las buenas prácticas internacionales contenidas en el proceso DSS05,denominada “Gestionar los Servicios de Seguridad” del COBIT 5, señala la “necesidad de“proteger la información de la empresa para mantener aceptable el nivel de riesgo deseguridad de la información de acuerdo con la política de seguridad. Establecer ymantener los roles de seguridad y privilegios de acceso de la información y realizar lasupervisión de la seguridad”. Este proceso especifica que se deben llevar a cabo, entreotras, las siguientes actividades: “mantener los derechos de acceso de los usuarios deacuerdo con los requerimientos de las funciones y procesos de negocio. Alinear la gestiónde identidades y derechos de acceso a los roles y responsabilidades definidos, basándoseen los principios de menor privilegio, necesidad de tener y necesidad de conocer.Administrar todos los cambios de derechos de acceso (creación, modificación y eliminación)para que tengan efecto en el momento oportuno basándose sólo en transaccionesaprobadas y documentadas y autorizadas por los gestores individuales designados.”.

2.23. Tal como lo indica la Norma ISO 27001:201421 en su aparte A.9.4 “Control de acceso a sistemas yaplicaciones”, cuyo objetivo es prevenir el acceso no autorizado a los sistemas y aplicacionesespecíficamente en el control, A.9.4.2 Procedimientos de accesos (autenticación) seguros.

2.24. Por su parte, dentro de este mismo compendio de buenas prácticas la NIST-SP 800-53 Rev22 5,en su aparte 3.7 ”Identificación y Autenticación” establece dentro de los controles mejorados elimplementar multi-factor de autenticación23 a las cuentas privilegiadas y cuentas no privilegiadaspara el acceso a los sistemas. El cual requiere el uso de dos o más factores diferentes para lograrla autenticación.

2.25. Tal como se constata con las revisiones efectuadas en la auditoría sobre los controles, políticas,reglamentos y normativa relacionada a la seguridad lógica para los servicios de pago y cobro de laplataforma SINPE, el BCCR tiene habilitado dos tipos de mecanismos a utilizar por los usuarios delas entidades participantes para acceder a dicha plataforma, ya sea por medio del usuario ycontraseña o el certificado de firma digital, siendo el más utilizado por los participantes del SINPEel factor simple de autenticación (usuario y contraseña).

2.26. Según indagaciones realizadas, el uso de los certificados digitales para el ingreso a la plataformaSINPE es una facilidad que está disponible para el 100% de los usuarios, de modo que estosúnicamente deben configurarla para su uso. En este sentido, el BCCR ha realizado esfuerzos paralograr que la mayoría de los usuarios cuenten con un certificado digital, por lo que de los 2200usuarios activos en el SINPE, el 80% tienen certificados vigentes (1756).

2.27. Además, en la actualidad el BCCR está enfocando los esfuerzos a la utilización del Gestor deAutenticación Digital (Gaudi)24, debido a que luego de varias evaluaciones, el Banco determinóque el modelo de utilizar las tarjetas inteligentes con certificados de la raíz25 generacomplejidad técnica en la asociación del usuario participante del SINPE y el certificado digital. Noobstante, cada usuario tiene la posibilidad de elegir la alternativa a utilizar.

2.28. La situación anterior obedece a que, el BCCR no consideró conveniente establecer el usoobligatorio de los Certificados Digitales como mecanismo de acceso al SINPE debido a la

25 Certificados de la raíz: se utilizan para validar la cadena de confianza de todas las Autoridades Certificadoraspertenecientes a la jerarquía nacional de certificación digital.

24 Autenticación Digital (Gaudi): Es una solución tecnológica de acceso electrónico que permite realizar una serie defuncionalidades con su tarjeta de firma digital, tales como firmar y validar documentos y la autenticación de lossuscriptores.

23 Factor de autenticación: se define como algo que usted sabe, algo que usted tiene o algo que usted es.

22 NIST Special Publication 800-53, Revisión 5, emitida en setiembre de 2020.

21 “Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de la seguridad de la información -Requisitos”




complejidad y variedad de elementos tecnológicos asociados al directorio activo26, parches delsistema operativo27, plataforma de virtualización de los escritorios virtuales, drivers de lectores detarjetas, versiones de las tarjetas, entre otros. Asimismo, indicó el BCCR que la situacióngenerada por la pandemia ha traído una serie de cambios y de readecuaciones en los procesos,no solo del BCCR sino de todos los afiliados al Sinpe, de modo que, para evitar agregar otroelemento de cambio a los usuarios del SINPE, no consideró conveniente establecer el usoobligatorio de los Certificados Digitales como mecanismo de acceso al SINPE28.

2.29. Cabe resaltar, que la utilización métodos de autenticación adicionales al usuario y contraseña(multiple factor) brinda mayor confiabilidad y seguridad al usuario ya que incluye mayor robustezen la plataforma que coadyuva a no comprometer las credenciales de los usuarios.

Gestión sobre el control de acceso a la plataforma SINPE2.30. Las NCISP (N-2-2009-CO-DFOE), en su capítulo V sobre sistemas de información inciso

5.2 Flexibilidad de los sistemas de información establece que “los sistemas de información debenser lo suficientemente flexibles, de modo que sean susceptibles de modificaciones que permitandar respuesta oportuna a necesidades cambiantes de la institución”.

2.31. Así mismo la norma 5.8 Control de sistemas de información, señala que “el jerarca y lostitulares subordinados, según sus competencias, deben disponer los controles pertinentespara que los sistemas de información garanticen razonablemente la calidad de lainformación y de la comunicación.”.

2.32. Bajo el mismo cuerpo normativo en inciso 5.9 Tecnologías de información, indica que “el jerarca ylos titulares subordinados, según sus competencias, deben propiciar el aprovechamiento detecnologías de información que apoyen la gestión institucional mediante el manejo apropiado de lainformación y la implementación de soluciones ágiles y de amplio alcance.”.

2.33. Por su parte las Normas Técnicas para la Gestión y el Control de las Tecnologías deInformación (NTGCTI)29, emitidas por la Contraloría General de la República, en su punto1.4 Gestión de la seguridad de la información, establece que “la organización debe garantizar, demanera razonable, la confidencialidad, integridad y disponibilidad de la información, lo que implicaprotegerla contra uso, divulgación o modificación no autorizados, daño o pérdida u otros factoresdisfuncionales.”.

2.34. Para ello debe documentar e implementar políticas y procedimientos, así como asignar losrecursos necesarios que permitan lograr los niveles de seguridad requeridos y considerar lo queestablece la presente normativa en aspectos tales como: “...la seguridad física y ambiental, - laseguridad en las operaciones y comunicaciones, - el control de acceso, - la seguridad en laimplementación y mantenimiento de software e infraestructura tecnológica, - la continuidad de losservicios de TI.”

2.35. El BCCR cuenta con “La Políticas Específicas para la Seguridad Tecnológica” en su P1 establececomo alcance velar por la adecuada gestión de la Seguridad Tecnológica y brindar una protecciónadecuada a los recursos de información de la institución custodiados mediante la plataformatecnológica, tomando en cuenta elementos fundamentales como lo son aspectos operativosindicados en la Política P3 donde establece controles de acceso a todos sus activos, para prevenirel acceso y divulgación no autorizada de información. Además, la política P-10 establece el uso

29 Aprobadas mediante Resolución del Despacho de la Contralora General de la República nro. R-CO-26-2007 del7 de junio de 2007.

28 Correo electrónico del 29 de julio de 2021, remitido por el Departamento Sistema Nacional de Pagos Electrónicos.27 Parches del Sistema Operativo: Actualizaciones enfocadas en solucionar vulnerabilidades.26 Directorio Activo: Directorio en una red distribuida de computadoras.




de técnicas criptográficas para la protección de su información sensible que reside en lainfraestructura tecnológica, con el fin de asegurar su confidencialidad, autenticidad e integridad.

● La Política P-22 establece los mecanismos para prevenir, detectar y eliminar cualquier tipode código malicioso en la plataforma tecnológica de la institución. así como buenasprácticas como lo son Copias de seguridad de la información,Registro y gestión de eventosde actividad, Gestión de Incidentes de Seguridad,Gestión de las vulnerabilidades técnicas.

● La Política P-29 implementa y mantiene controles para procurar la protección, prevenir elacceso no autorizado y la divulgación no autorizada de la información en la red de lainstitución, así como los datos que transitan por ella y los servicios que brinda.

2.36. En cuanto a las buenas prácticas internacionales contenidas en el proceso de gestión DSS06.03(Gestionar roles, responsabilidades, privilegios de acceso y niveles de autorización) deCOBIT 5, señala que se deben “gestionar los roles de negocio, responsabilidades, niveles deautoridad y segregación de tareas necesarias para apoyar los objetivos del proceso denegocio. Autorizar el acceso a cualquier activo de información relativo a los procesos deinformación del negocio, incluyendo aquellos bajo la custodia del negocio, de TI y deterceras partes. Esto asegura que el negocio sabe dónde están los datos y quién los estámanejando en su nombre”. Para esta práctica de gestión, establece que se deben llevar acabo, entre otras, las siguientes actividades: “asignar roles y responsabilidades sobre labase de la descripción aprobada de puestos y actividades de procesos de negocioasignadas. Asignar derechos de acceso y privilegios sólo sobre lo que es necesario paraejecutar las actividades de trabajo, basados en los roles de puesto predefinidos. Eliminar orevisar los derechos de acceso inmediatamente si el rol del puesto cambia o un miembrodel personal deja el área de proceso de negocio.”.

2.37. Así mismo las buenas prácticas establecidas en las normas ISO 27001:2014 en su aparte A.10.1Controles de criptografía, cuyo objetivo es asegurar a través del uso apropiado y efectivo de lacriptografía para proteger la confidencialidad, autenticidad y/o la integridad de la información.

2.38. Esta misma norma en su aparte A.12.6.1 Gestión de vulnerabilidades técnicas, establece comocontrol que la entidad debe “obtener información oportuna acerca de las vulnerabilidades técnicasde los sistemas de información usados, se debe evaluar la exposición de la organización a estasvulnerabilidades, y tomar las medidas apropiadas para abordar el riesgo asociado.”.

2.39. Por último en su aparte A.13.1.3 Segregación en las redes, indica que “los grupos de servicios deinformación, usuarios y sistemas de información debe ser segregados en las redes”, con elobjetivo de asegurar la protección de la información en las redes y sus recursos de soporte deprocesamiento de información.

2.40. A través de una serie de sesiones de trabajo y revisiones efectuadas en la auditoría sobre loscontroles establecidos, políticas, reglamentos y normativa aplicadas a la seguridad lógica yperimetral en los servicios de pago y cobro de la plataforma SINPE, se logra evidenciar que elBCCR cuenta con dos centros de datos, los cuales operan de manera simultánea y en totalsincronización, así como el balanceo de cargas que garantizan de manera razonable lacontinuidad del negocio y una mejor calidad del servicio. Además, desde el punto de vistaorganizacional cuenta con una estructura jerárquica, cuyas funciones se encuentran bien definidasy segmentadas por responsabilidades.

2.41. El área de negocio es responsable de tomar las decisiones estratégicas y gestionar los recursospara proveer los controles de seguridad lógico y perimetral de la plataforma. Por su parte el áreade TI, tiene claramente definido su rol de implementar y asesorar al negocio en las mejoresprácticas del mercado para el correcto funcionamiento de la plataforma.




2.42. Además, se logró identificar diferentes áreas responsables en la administración y configuración delos distintos segmentos de la infraestructura tecnológica, lo que permite determinar que existesegregación de funciones a nivel de TI y todo a su vez se orquesta por medio del personal delárea de seguridad tecnológica que es responsable de asignar tareas a las diferentes áreas paraasegurar un nivel de riesgo residual razonable, por lo que nos encontramos con una serie deresultados razonables que resguardan a la plataforma y sus datos.

2.43. Es importante resaltar que el BCCR realiza sobre la plataforma SINPE una revisión periódica(cada 4 meses) con un informe anual que aborda aspectos clave de la seguridad proactiva de lainformación, análisis de redes y sistemas, inspección física y de políticas con el fin de obtener unacertificación de seguridad que respalde sus operaciones.

2.44. Por su parte, producto de una revisión de informes emitidos en el 2015 por la auditoría internarelativa al proceso de transferencia de fondos en tiempo real sobre la plataforma SINPE, seemitieron algunas recomendaciones relacionadas con los perfiles de los usuarios. Al respecto, elórgano contralor comprobó el cumplimiento razonable de la segregación de funciones requerida,dado que según la documentación analizada, se evidencia la asignación de mínimo privilegiocomo lo establecen las buenas prácticas.

2.45. Durante las pruebas realizadas en sitio por el equipo de auditoría en el presente estudio, seevidencio que cuenta con equipos (SIEM30) el cual está configurado para que se indexen losregistros (logs) emitidos por los IPS31/IDS32 y firewall, los cuales alertan de comportamientosanormales a los encargados y por medio del cual fueron capturadas y almacenadas en bitácorascada vez en que se escanearon los puertos e intentó conocer el estado de los mismos, así comolas direcciones IPs que se encontraban dentro del segmento de red.

2.46. El segmento de red evaluado brindado por el BCCR es el que alberga a la plataforma SINPE,donde se hicieron escaneos, enumeramos los dispositivos visibles e identificamos los puertos yservicios habilitados en dicho segmento, dado que la segmentación de redes es una estrategiamuy eficaz a la hora de contener amenazas para evitar la propagación de las mismas dentro de unentorno de sistemas computacionales.

2.47. Así mismo, se pudo constatar que el pool de servidores los cuales conforman la plataforma estáncubiertos con un sistema de antivirus actualizado y monitoreado constantemente.

2.48. Por su parte las áreas especializadas para el manejo de las actualizaciones a los sistemasoperativos (SO) alojados en los servidores, administran e implementan dichas actualizacionessegún el nivel de criticidad. En el caso de los sistemas operativos que se encuentran en uso ycuyo soporte gratuito por el proveedor fue descontinuado, se cuenta con soporte a lasactualizaciones por medio de contratos extendidos.

2.49. Seguido a los controles encontrados se identifica que como medio de conexión a la plataforma, losparticipantes solo pueden hacerlo a través de dispositivos llamados VDI, los cuales son de unaúnica sesión, donde se levanta una imagen del sistema operativo y se le asigna un certificado CAal inicio de sesión; posteriormente se destruye el dispositivo VDI al cierre de dicha sesión,limitando el posible riesgo de amenazas que se generan al permanecer conectado en el equipodurante un periodo de tiempo determinado, evitando el robo de información u otra amenaza (APTamenazas persistentes) por este medio.

32 IDS: sistema de detección de intrusiones: es una aplicación usada para detectar accesos no autorizados a unordenador o a una red

31 IPS: sistema de prevención de intrusiones: es un software que se utiliza para proteger a los sistemas de ataques eintrusiones.

30 SIEM: (información de seguridad y gestión de eventos), es una tecnología capaz de detectar rápidamente, respondery neutralizar las amenazas informáticas.




2.50. De la misma manera cuenta con dos tipos de certificados, uno es gestionado a través de firmascomerciales externas, y el otro es generado internamente por la entidad certificadora raíz (PKIinterno), estos manejan una estructura robusta, donde se aplican las buenas prácticas en cuanto aconfiguración y algoritmos utilizados. A su vez los certificados aseguran la aplicación, dado quecifran los datos en tránsito entre el SINPE y cada uno de los participantes de la conexión.

2.51. Además, existen VPN33s (Virtual Protocol Network) que ayudan a crear un túnel seguro entreequipos del BCCR y los participantes del SINPE permitiendo el cifrado de la información que esenviada y recibida por este canal de comunicación, garantizando la autorización y autenticación delos equipos.

2.52. Finalmente, para aumentar la seguridad de conexión a la plataforma la entidad tiene las áreas dered debidamente segmentadas, dentro de las cuales existe VLAN34s asignadas a SINPE, la cualda acceso limitado a los equipos que mantienen en funcionamiento la red.

2.53. El BCCR cuenta con un ambiente de Control Interno razonablemente maduro, los jerarcas y lostitulares subordinados han realizado esfuerzos para desarrollar y mantener políticas que permitanvelar por la adecuada gestión de la seguridad tecnológica y brindar una protección acorde a losrecursos de información de la institución generando una filosofía y un estilo de gestión, quepermitan administrar un nivel de riesgo razonable, mediante la implementación de controles quefortalecen la seguridad lógica y perimetral apoyados en las normas técnicas emitidas por laContraloría General de la República, buenas prácticas y la aplicación de certificaciones externasque le aportan para mantener actualizados los controles que le ayuden a soportar en el tiempo lacontinuidad de la plataforma.

2.54. Dada la condición antes expuesta se refleja la existencia de procesos con madurez en los que seaplican controles sobre una infraestructura robusta, permitiendo la mejora continua y elaseguramiento razonable de la seguridad lógica y perimetral del SINPE. Lo anterior brinda mayorconfianza en las transacciones que se ejecutan por medio de los participantes conectados a dichaplataforma, así como valor público ya que se disminuye el uso de efectivo, lo cual generabeneficios para sus usuarios como lo son mayor seguridad y economía.

2.55. La seguridad y confianza que se gesta por los participantes del SINPE es respaldada con más de20 años de operación constante, así como un crecimiento y adaptación a los cambios quedemanda el mercado financiero mundial. Su permanencia hasta la actualidad le permite tener unaimagen muy positiva y seria en la forma en que se resguarda la movilización electrónica defondos.

3. Conclusiones

3.1. De acuerdo con los resultados obtenidos, se concluye que los criterios y buenas prácticas en laseguridad e interoperabilidad aplicados por el BCCR a la plataforma SINPE para la movilizaciónelectrónica de fondos (pagos y cobros) en el sector público se cumplen de manera razonable.

3.2. No obstante lo anterior, es importante impulsar el proyecto de “Modernización de los mecanismosde cobro y pago en las instituciones del sector público – Directriz de gobierno No. 054-MP”, cuyos

34 VLAN: Virtual LAN: es una tecnología de redes que nos permite crear redes lógicas independientes dentro de lamisma red física.

33 VPN: Virtual Private Network: Crea una red privada de comunicación.




beneficios optimizarán la modernización y estandarización del sistema de pagos costarricensepara la movilización electrónica de fondos (pagos y cobros).

3.3. Además, es conveniente elevar la complejidad de autenticación (múltiple factor) para el ingreso ala plataforma SINPE, por cuanto brinda mayor confiabilidad y seguridad al usuario, genera mayorrobustez en la plataforma y no compromete las credenciales de los usuarios.

4. Disposiciones

4.1. De conformidad con las competencias asignadas en los artículos 183 y 184 de la ConstituciónPolítica, los artículos 12 y 21 de la Ley Orgánica de la Contraloría General de la República, N.°7428, y el artículo 12 inciso c) de la Ley General de Control Interno, se emiten las siguientesdisposiciones, las cuales son de acatamiento obligatorio y deberán ser cumplidas dentro del plazo(o en el término) conferido para ello, por lo que su incumplimiento no justificado constituye causalde responsabilidad.

4.2. Para la atención de las disposiciones incorporadas en este informe deberán observarse los“Lineamientos generales para el cumplimiento de las disposiciones y recomendaciones emitidaspor la Contraloría General de la República en sus informes de auditoría”, emitidos medianteresolución N.° R-DC-144-2015, publicados en La Gaceta N.° 242 del 14 de diciembre del 2015, loscuales entraron en vigencia desde el 4 de enero de 2016.

4.3. Este órgano contralor se reserva la posibilidad de verificar, por los medios que considerepertinentes, la efectiva implementación de las disposiciones emitidas, así como de valorar elestablecimiento de las responsabilidades que correspondan, en caso de incumplimientoinjustificado de tales disposiciones.

AL SEÑOR RODRIGO CUBERO BREALEY EN SU CALIDAD DE PRESIDENTE DE LA JUNTADIRECTIVA DEL BANCO CENTRAL DE COSTA RICA Y PRESIDENTE DEL BANCOCENTRAL O A QUIEN EN SU LUGAR OCUPE EL CARGO

4.4. Someter a la aprobación de la Junta Directiva, oficializar e iniciar la implementación de lasacciones definidas en el artículo 3 de la Directriz 054-MP, en su calidad de ente coordinador segúnlo establece dicho artículo. (Ver párrafos del 2.1 al 2.12)

Para dar por acreditado el cumplimiento de esta disposición, se deberá remitir al Área deSeguimiento para la Mejora Pública de la Contraloría General:

● A más tardar al 30 de junio de 2022, un oficio haciendo constar que se sometió aaprobación la propuesta de las acciones definidas en el artículo 3 de la Directriz 054-MP.

● Dos meses posteriores a la aprobación de dicha propuesta, remitir un oficio haciendoconstar la oficialización de la propuesta de las acciones definidas en el artículo 3 de laDirectriz 054-MP.

● Tres meses posteriores a la aprobación de dicha propuesta, remitir un oficio haciendoconstar el inicio de las acciones definidas en el artículo 3 de la Directriz 054-MP.

A LOS MIEMBROS DE LA JUNTA DIRECTIVA DEL BANCO CENTRAL DE COSTA RICA

4.5. Resolver conforme en derecho proceda, la propuesta de las acciones definidas en el artículo 3 dela Directriz 054-MP, presentada por el presidente del BCCR en atención a la disposición N.° 4.4.Para acreditar el cumplimiento de la disposición, se debe remitir al Área de Seguimiento para laMejora Pública de la Contraloría General de la República, a más tardar dos meses después de




recibida la propuesta del Presidente, un oficio en el cual se haga constar el acuerdo adoptado enrelación con la propuesta recibida. (Ver párrafos del 2.1 al 2.12)

A LA SEÑORA HAZEL VALVERDE RICHMOND EN SU CALIDAD DE GERENTE DEL BANCOCENTRAL DE COSTA RICA O A QUIEN EN SU LUGAR OCUPE EL CARGO

4.6. Elaborar un estudio que permita implementar la autenticación de múltiple factor a la PlataformaSINPE para garantizar de manera razonable el resguardo de la seguridad de la información, en elcual se considere un cronograma con acciones para la implementación del multiple factor (Verpárrafos del 2.19 al 2.29). Para acreditar el cumplimiento de la presente disposición, se deberáremitir a esta Contraloría General a más tardar el 29 de abril de 2022, una certificación que hagaconstar que dicho estudio fue elaborado. Asimismo, remitir dos informes de avance trimestralessobre la implementación de las acciones para la ejecución del múltiple factor en las siguientesfechas:

● Al 29 de julio de 2022 un primer avance.● Al 28 de octubre de 2022 un segundo avance.

_______________________________Julissa Sáenz Leiva

Gerente de Área

_______________________________Karen Garro VargasAsistente Técnico

_______________________________José Manuel Espinoza Reyes

Coordinador

ddv/ltrs

G: 2021000249-1




Documents

30 de setiembre, 2021 INFORME DE AUDITORÍA DE CARÁCTER