La Contraloría General de la República (CGR) de Costa Rica publicó un informe sobre la gobernanza de la ciberseguridad en el sector público; en el que se identificaron problemáticas estratégicas como, por ejemplo, que “no se efectúa una coordinación oportuna para responder de forma ágil en la atención de la emergencia nacional de ciberseguridad” y que urge “mejorar la capacidad instalada para la detección de incidentes de ciberseguridad en el sector público”.
“A seis meses de la declaración de la emergencia nacional, el área responsable a cargo del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT) no cuenta con la suficiente capacidad instalada en términos de recursos humanos especializados y tecnológicos para la detección oportuna de incidentes de ciberseguridad” dice una de sus conclusiones y recuerda que desde comienzos de año el país enfrentó serias vulnerabilidades en los sistemas de gestión de gobierno entre los que, por ejemplo, se generaron dificultades operativas y el congelamiento de departamentos como el de Hacienda en marzo, y otras afectaciones al de Salud hace dos meses.
El informe de la CGR puede observarse aquí al igual que la auditoría que firmó Carolina Retana Valverde, gerente del área de Fiscalización para el Desarrollo Sostenible. Por estas horas, el MICITT se refirió al informe publicado en una misiva en la que aclaró que “cada institución requiere de presupuesto para la inversión de herramientas tecnológicas y recurso humano para tener un nivel óptimo en su gestión de incidentes” y enumeró los aspectos que -considera- no fueron observados.
“El informe del ente contralor se recibe el 14 de noviembre. Desde el 16 de noviembre, ya se encuentran 12 personas trabajando en el Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT-CR) para una atención en horario 24/7”, asegura y considera que este informe reciente “omite las acciones que el MICITT ha gestionado ante el Servicio Civil para la creación de perfiles técnicos especializados en ciberseguridad”, al tiempo que no incluye la solicitud que esta cartera realizó de un presupuesto adicional al aprobado para 2023, para adquirir más herramientas para el CSIRT, pero que fue denegado. E, inclusive, dice que omite la alianza alcanzada con la Unión Europea y la Organización de Estados Americanos (OEA) para indagar en las “vulnerabilidades y riesgos a los que se exponían más de 17 entidades de servicios críticos”.
“El gobierno ha priorizado, por primera vez en la historia, la ciberseguridad de nuestras instituciones públicas, con la declaración de emergencia emitida por el Señor Presidente. El MICITT ha trabajado con alianzas internacionales y las diferentes entidades del Estado, en robustecer nuestro equipo de defensa. Hemos capacitado a más de 7.000 personas del sector público. Hemos sido exitosos en la identificación de alertas y en la contención de eventos, evitando que se conviertan en casos graves”, dijo en esa nota Carlos Enrique Alvarado Briceño, ministro del MICITT y aseguró que seguirán “trabajando en la concientización sobre la importancia de la ciberseguridad, prevenir riesgos, contener eventos, y detectar alertas para proteger nuestras instituciones públicas”.
“El informe omite que hemos impartido en tres meses, más de 15 talleres técnicos especializados con expertos internacionales a más de 1,000 informáticos de instituciones públicas y en alianza con CISCO, a más de 7.000 funcionarios. No menciona, que en tres meses se ha realizado el análisis de dominios a más de 23 instituciones, reportando las vulnerabilidades de cada una. Con las herramientas instaladas se han atendido alrededor de 734.000 alertas a 167 instituciones desde mayo a la fecha. Tampoco menciona que en este período se actualizaron y publicaron las normas técnicas para la gestión y control de las TICs en el sector público, que son lineamientos de acatamiento obligatorio para el sector y que ahora utiliza el marco CSC 18 del SANS (Institute Cyber Security Training, Degrees & Resources).
“El documento del ente Contralor, reiteramos, no menciona que cada institución requiere inversión en herramientas y en recursos humano, para un nivel óptimo en la gestión de incidentes” destacó Paula Brenes, directora de Gobernanza Digital y Certificadores de Firma Digital de Costa Rica en el marco de la nota presentada por el MICITT, al tiempo que también se precisa que la cartera se encuentra en proceso de adquirir herramientas y equipo tecnológico por más de cuatro millones de dólares.
“Además, hemos sido exitosos en la contención de eventos, por ejemplo, con el Ministerio de Salud, que se logró detener a tiempo y se evitó que se convirtiera en un caso grave”, dice la misiva en la que, claramente, vieron denostada su labor.
Cabe recordar que el país realizadó hace cuatro meses una estimación de costos y áreas a trabajar de cara a robustecer la ciberseguridad local, solución que involucraba un desembolso de 20 millones de dólares y que advertía la necesidad de diseñar una estrategia de gobernanza digital integral.
