La Contraloría General de la República realizó una auditoría especial sobre la seguridad de la información del Sistema Nacional de Información y Registro Único de Beneficiarios del Estado (Sinirube). El Sinirube es un órgano de desconcentración máxima, adscrito al Instituto Mixto de Ayuda Social (IMAS),  que cuenta con la plataforma de información que almacena la base de datos actualizada con la información de toda la población costarricense que reciben o requiere subsidios o atención del Estado por encontrarse en condición de pobreza.

El informe de esa auditoria destaca que entre los riesgos a la seguridad de la información encontrados Sinirube no cuenta con un Sistema de Gestión de Seguridad de la Información (SGSI) —instrumento administrativo que permite unificar lo vinculado a seguridad de la información—. Adicionalmente, la Contraloría destacó que al no existir el SGSI tampoco hay otros elementos básicos como un plan de continuidad del servicio —que garantice la disponibilidad de la información en caso de problemas con el sistema—. También se encontraron debilidades en materia de seguridad lógica —como no tener requisitos de seguridad a las contraseñas de los usuarios, no deshabilitar sesión por inactividad—.

Dato D+: La seguridad lógica alude a la protección en el uso de programas informáticos e incluye identificación de usuarios y contraseñas de acceso, autenticación, derechos de acceso y niveles de autoridad.

Con respecto a este tema, el informe concluyó que “existe una exposición a riesgos relevantes en materia de seguridad de información, por cuanto algunos controles críticos, como, por ejemplo, la parametrización de contraseñas, la gestión de identidades y la supervisión de usuarios con altos privilegios, merecen una valoración y ajustes para favorecer la confidencialidad, disponibilidad e integridad de la información”.

Calidad de la información y funcionalidad

La Contraloría realizó, además, una auditoría especial sobre la funcionalidad y operación del Sinirube, en donde se identificó que el 95% de las instituciones no están cumpliendo con su obligación de alimentar de forma periódica el sistema, así como que el Sinirube no tiene los controles que permitan garantizar la actualización de la información.

A pesar de esta debilidad identificada, la conclusión del informe señala que el Sinirube cuenta con oportunidades de mejora pero, “cumple en un sentido amplio, con los objetivos para los cuales fue creado, donde destaca servir como una herramienta que soporta la toma de decisiones operativas”.

Adicionalmente, como parte de esa auditoría la Contraloría aplicó un cuestionario que se envió al 100% de las personas funcionarias (911) que por su trabajo utilizan la plataforma, sin embargo, solo recibió respuesta de un 21.6% (211 personas funcionarias). Sobre los resultados de esa encuesta la Contraloría destacó que "el Sinirube, según el criterio de sus usuarios, es una herramienta fácil de utilizar, la mayoría considera que el sistema le proporciona lo requerido para el cumplimiento de sus tareas", aunque según se logró identificar con la encuesta, hay varios aspectos de mejora, ya que entre las personas funcionarias que respondieron el cuestionario:

  • 32,1% perciben que la información en Sinirube no está debidamente actualizada.
  • 50% desconoce las herramientas para reportar una falla en el sistema.
  • 74,5% desconoce si existe un mecanismo de asistencia técnica para ellos.
  • 85,2% señaló no contar con manuales de funcionalidades del sistema.