En el Ministerio de Obras Públicas y Transportes (MOPT) no existe una un unidad que atienda el área de seguridad informática.
Dependiendo de la situación que se detecte, y el nivel crítico, se da apoyo por parte de los técnicos de telecomunicaciones y de la unidad de base de datos, un total de seis funcionarios.
La Dirección de informática recomendó crear una unidad de atención en seguridad informática. Todavía no hay respuesta.
“Las limitaciones presupuestarias que afectan al Gobierno han limitado las contrataciones”, respondió Allan Borges Quesada, director de informática del MOPT. “Es importante reiterar que la institución no tiene de lado el tema”.
La falta de personal especializado en seguridad informática y de estructuras o unidades de ciberseguridad es la principal vulnerabilidad que presentan, en general, las 342 instituciones públicas en Costa Rica.
También falta cultura entre funcionarios, responsables y usuarios sobre las medidas de protección que deben implementar y mantener en forma constante.
“La principal fortaleza que identificamos en las instituciones públicas es reconocer la necesidad de implementar buenas prácticas de seguridad informática. Esto se da como resultado de ataques recibidos en las mismas instituciones o de auditorías realizadas”, afirmó Silvia Segura Soto, consultora de Cyber & Privacy de la firma PwC Costa Rica.
Sanders Pacheco, viceministro de Ciencia y Tecnología y Coordinador Nacional en Ciberseguridad, calificó en 8,5 la situación general de las instituciones públicas, en una escalada de 1 a 10. El 25% de las entidades estatales estaría por debajo del 7.
Los bancos, el Ministerio de Hacienda, la Caja Costarricense del Seguro Social y las instituciones que brindan servicios públicos de telecomunicaciones, electricidad, agua y combustible tendrían los mayores niveles de protección.
“En promedio se necesitan tres especialistas por institución y en la gran mayoría hay uno, que además está a cargo de otras labores”, aseguró Pacheco.
La situación no es muy distinta en otras entidades.
En el Ministerio de Comecio Exterior (Comex) el equipo de la unidad de servicios informáticos cuenta con solamente un profesional especializado en seguridad informática. La entidad comparte varias plataformas de tecnologías con la Promotora de Comercio Exterior, que también tiene un equipo de profesionales en informática.
Según Comex, el trabajo del especialista en seguridad informática es complementada por los servicios de los proveedores de las plataformas digitales, “que apoyan remotamente cuando se requiere”.
En la Refinadora Costarricense de Petróleo (Recope) también se cuenta sólo con un "oficial de seguridad de tecnología informática" y se requieren "al menos" dos especialistas, según la Dirección de tecnología de la información de esta entidad.
Las firmas especializadas a nivel global han venido alertando sobre el aumento de los ataques, especialmente de denegación de servicios y de secuestro de información con fines extorsivos (conocidos como ramsonware) a nivel empresarial e institucional.
Los ataques a las páginas web y de denegación de servicios alcanzan costos de hasta $1.418 en promedio, según Ponemon Institute.
Precisamente la pérdida financiera es una de las principales razones de las empresas para implementar la seguridad de los sitios web, después de la necesidad de proteger la información.
Primeros pasos
Los riesgos por los ataques internos y externos en seguridad informática llevaron a la formación del Comité Consultivo de Ciberseguridad, que definirá una estrategia nacional.
La entidad se reunió por primera vez en octubre del 2017 y en febrero anterior, para discutir el rol del Centro de Respuesta de Incidentes de Seguridad Informática, adscrito al Ministerio de Ciencia, Tecnología y Telecomunicaciones (Micitt), y elaborar un plan de trabajo.
La labor apenas empieza.
La falta de personal especializado en seguridad informática en las entidades se une a las carencias en gestión y a las vulnerabilidades señaladas por un diagnóstico del Micitt y varios informes de la Contraloría General de la República.
En el 2011 un informe del Micitt encontró que las entidades más preparadas eran los bancos y que en un 53% de las instituciones había al menos un responsable en seguridad informática (ver recuadro: “Diagnóstico institucional”).
| Diagnóstico institucional |
|---|
| Resultados del estudio del Micitt sobre seguridad informática en el Estado del 2011: |
| 1. El 80% de las instituciones reportó presencia de virus, troyanos, malware, spyware, ataques de hackers, pérdidas accidentales o robo de respaldos y terminales. |
| 2. El 96% de entidades tienen sistemas antispam y antivirus, planes de continuidad (59%), políticas de uso de red para empleados (77%), gestión automática de seguridad (61%), contraseñas (88%) y contingencias (47%), detección de intrusos (73%). |
| 3. El 53% de instituciones reportó tener un responsable que coordine las medidas de seguridad establecidas. |
| 4. El 30% de las entidades realiza seguimiento del plan de seguridad y de contingencias. |
| 5. El 86% de entidades tiene sistemas de alimentación ininterrumpida, seguridad física (70%), redundancia (70%), monitoreo de energía (19%), controles de acceso a dispositivos de red (64%). |
| 6. El 34% de los entes dedica más de ¢50 millones a seguridad informática, mientras 11% de 20 a 50 millones, 26% dedica entre ¢5 y ¢20 millones y 19% menos de ¢5 millones. |
| 7. Las instituciones autónomas son los entes públicos que han presentado mayores problemas de seguridad informática (virus y pérdida o robo de información). |
| 8. Los bancos presentan más disponibilidad de herramientas informáticas, medidas de gestión de seguridad, comunicaciones y contingencias. |
| 9. Las instituciones autónomas, bancarias y ministerios son los que más presentan uso de políticas, planes y herramientas relacionados con seguridad informática. |
| 10. Las debilidades mayores son medidas de seguimiento del plan de seguridad del personal (sólo lo tienen 30%) y seguimiento de plan de seguridad (50%). |
| Fuente: Micitt, Estado de la seguridad informática en el sector público costarricense, 2011 |
La Contraloría ha venido emitiendo informes de fiscalización que, al menos en seis casos, encontraron problemas de gestión y vulnerabilidades que podrían llevar a afectar las operaciones institucionales, con impacto en el país. (ver recuadro: “Auditorías”)
| Auditorías informáticas |
|---|
| Principales resultados de informes de fiscalización en tecnología de la información y seguridad informática de la Contraloría General de la República: |
| Jasec (2013): plan de contingencias informáticas insuficiente, riesgos en seguridad física en un centro de control de energía y problemas de la base de datos. |
| ICT (2013): plan de contingencias desvinculado del plan de continuidad del negocio y riesgos en seguridad por antigüedad de aplicaciones e inconsistencias de información. |
| Recope (2014): sin políticas, planes y procedimientos formales de gestión de seguridad de las tecnologías de información que respaldan las operaciones. |
| Instituto Meteorológico Nacional (2016): sin políticas y procedimientos de seguridad ni evaluaciones de control interno o análisis de riesgo. |
| Banhvi (2016): inconsistencias de la base de datos debido a falta de controles y validaciones al registrar la información. |
| Dirección General de Migración y Extranjería (2017): vulnerabilidades que expondrían datos a terceros, riesgos de pérdidas y falta plan de continuidad. |
| Fuente: Contraloría General de la República, informes de fiscalización. |
En varias de las fiscalizaciones de la Contraloría se encontró que los planes de seguridad informática o de contingencia suelen estar desvinculados de los planes estratégicos institucionales y de tecnología de la información.
El mismo problema lo señalan las firmas especializadas, que también apuntan a la falta de personal competente, de estructuras y de procesos, así como a la resistencia a implementar medidas de seguridad de parte de los funcionarios en general.
LEA MÁS: Lea la información sobre los problemas del software de Migración
“Una de las principales debilidades que se pueden encontrar en las instituciones públicas es que la función de seguridad no está nombrada como tal o no hay un área específica que vele por la seguridad”, dijo Esteban Azofeifa, consultor regional de seguridad de GBM.
La falta de una unidad responsable de la seguridad informática impide mejorar la preparación de las instituciones a los ataques internos y externos, pues no se puede visualizar lo que ocurre, el riesgo que tienen con sistemas obsoletos o sin respaldo del fabricante y cómo prevenirlo.
Sin certificar procesos
Tampoco hay mucho interés por ajustar los procesos de seguridad informática a diversas normas existentes ni a certificarse.
Alexandra Rodríguez, directora de Normalización del Instituto de Normas Técnicas de Costa Rica (Inteco), explicó que hay cuatro certificaciones en el campo de la seguridad informática que abarcan redes, sistemas criptográficos, software y gestión de identidades.
Actualmente solo está certificado el centro de operaciones de seguridad de la red de transporte del Instituto Costarricense de Electricidad, aseguró Jonathan Pérez, director de servicios de evaluación de Inteco.
Muchas entidades podrían avanzar a la certificación, pues ya deberían estar cumpliendo con la normativa emitida por la Contraloría en el año 2007.
De hecho Inteco, aparte de publicar una nueva norma para seguridad en redes, este año planea impulsar la certificación en seguridad de aplicaciones y auditoría de la administración de sistemas de seguridad de la información.
Publicación de datos personales
Lo que sí está generando más actividad de parte de las entidades en el manejo de la información es en no verse expuesta a llamadas de atención públicas o acciones legales por incumplimiento a la nueva normativa de protección de datos de las personas.
Azofeifa, de GBM, destacó los avances en controles y auditorías para identificar debilidades y establecer acciones de varias entidades como la Caja Costarricense de Seguridad Social, el Poder Judicial y el Registro Nacional para cumplir con la Ley 8.968 y su reglamento.
Wendy Rivera, directora de la agencia de Protección de Datos de los Habitantes (Prodhab), en el 2017 se capacitó funcionarios de 60 entidades públicas.
Sin embargo, el conocimiento de la nueva normativa es limitado a pesar que fue aprobada hace siete años tanto como son restringidas la cultura y la visión que cada entidad tiene sobre el manejo de los datos personales.
Desde su creación el Prodhab recibió 258 denuncias por diferentes situaciones en el manejo de la información de los ciudadanos. De ellas, 105 se presentaron entre enero y noviembre del 2017.