El hackeo de sistemas de gobierno puso a correr a más de una institución el año pasado, sin embargo, una vez pasada la emergencia, afloraron las debilidades en la atención de los ciberataques y al parecer todavía no se subsanan.
De acuerdo con la Contraloría General de la República, el Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT-CR) presenta limitaciones que impiden responder a las necesidades actuales y futuras en ciberseguridad.
Estas se evidencian al comparar sus funciones con otras entidades creadas bajo la misma figura de centros de respuesta a incidentes en la región latinoamericana, indicó el órgano contralor.
“No existe certeza sobre cómo se garantizará la continuidad en la gestión de la ciberseguridad y la adquisición de licencias informáticas para proteger al sector público en su actividad ordinaria, posterior a la cesación del estado de emergencia”, advierte en el informe DFOE-SOS-IF-00014-2022.
A su criterio el sector público se enfrenta a la incertidumbre latente de no tener claridad sobre la magnitud y la cantidad de incidentes que actualmente han logrado vulnerar los sistemas informáticos, con el potencial de afectar la continuidad de los servicios públicos y la salvaguarda de la información.
Se dice que mediante pruebas de auditoría enfocadas en vulnerabilidad, efectuadas por siete entidades públicas con incidentes materializados, el CSIRT-CR únicamente detectó uno.
Por otra parte, el órgano fiscalizador no considera de recibo que el Ministerio de Ciencia, Tecnología y Telecomunicaciones (Micitt) diga que efectúa alertas técnicas a las instituciones del sector público, cuando de una revisión de 197 alertas se constató que estas son de carácter general y meramente informativas.
Como parte de las falencias se menciona que la Sala de Análisis de Situación Nacional (SASN) se mantuvo inactiva entre julio y agosto, es decir, una vez que pasaron los primeros episodios de ataque.
Además la participación de la Comisión Nacional de Atención y Prevención de Emergencias (CNE), en el equipo de control, habría sido intermitente, pese a la disposición incluida en el Decreto Ejecutivo Nº43542-MP-Micitt.
En el caso de este último también se detectó la falta de oportunidad en la gestión de incidentes de ciberseguridad. El periodo analizado por el órgano contralor comprendió entre el 1 de enero de 2021 y el 30 de noviembre de 2022.
Algo que instruye la Contraloría es que la SASN o el mecanismo de coordinación interinstitucional que en adelante se determine debe incluir objetivos, funciones, roles, responsabilidades, periodicidad de la coordinación, la estrategia de ejecución de decisiones y su seguimiento, entre otros aspectos.