Costa Rica: gestión ineficiente en ciberseguridad
Un informe de auditoria al Ministerio de Ciencia Tecnología y Telecomunicaciones (MICITT) y la Comisión Nacional de Prevención de Riesgos y Atención de Emergencias (CNE) del país centroamericano arrojó fallas en lo que refiere a seguridad digital.
La Contraloría General de Costa Rica realizó una auditoría al Ministerio de Ciencia Tecnología y Telecomunicaciones (MICITT) y la Comisión Nacional de Prevención de Riesgos y Atención de Emergencias (CNE), respecto de la gobernanza de la ciberseguridad del país.
El año pasado, el sector público fue afectado por ciberataques que vulneraron los sistemas de información.
Durante el año pasado, el sector público costarricense se vio afectado por una serie de ciberataques que vulneraron los sistemas de información. Para hacer frente a esta situación, el Gobierno declaró estado de emergencia y decretó a la Presidencia , la CNE y el MICITT la responsabilidad de planear, dirigir, controlar y coordinar los procesos necesarios para la contención y solución de los ciberataques.
Los hallazgos revelan que el sector público se enfrenta a la incertidumbre de no tener claridad sobre la magnitud y cantidad de incidentes que actualmente han logrado vulnerar los sistemas informáticos.
La CGR determinó que las acciones efectuadas por el MICITT y la CNE, para la gestión de incidentes de ciberseguridad, cumplen parcialmente con lo establecido en el marco jurídico y técnico aplicable. En ese sentido, no se evidencia un nivel de coordinación interinstitucional propio de un estado de necesidad y urgencia en el caso de los ciberataques.
Además, la Contraloría estableció que la gestión del Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT-CR), que integra el Ministerio, fue inoportuna. Respecto a esto, la auditoría encontró siete entidades públicas con incidentes materializados, de los cuales el CSIRT-CR únicamente había detectado uno.
En ese sentido, se detalló que el modelo de gestión del CSIRT-CR presenta limitaciones que impiden responder a las necesidades actuales y futuras en ciberseguridad.
La auditoría concluyó que ante las debilidades planteadas, el sector público se enfrenta ante la incertidumbre latente de no tener claridad sobre la magnitud y cantidad de incidentes que actualmente han logrado vulnerar los sistemas informáticos, con el potencial de afectar la continuidad de los servicios públicos y el resguardo de la información.