La Contraloría General de la República presentó un informe de auditoría a la Caja Costarricense de Seguro Social (CCSS) sobre la seguridad de la información contenida en el Expediente Digital Único en Salud (EDUS), para determinar si la seguridad lógica de la información del Sistema EDUS cumple razonablemente con el marco jurídico aplicable. La auditoría abarcó el periodo comprendido entre enero 2018 y febrero 2022.
El informé determinó que existen “debilidades en la gestión de accesos del EDUS a lo interno de la CCSS, ante la ausencia de seguimiento e implementación de controles para administrar las cuentas de usuario de acuerdo con el cambio de estado de la relación laboral”.
En concreto a Contraloría pudo detectar que, a noviembre del año anterior, existían 1002 personas con accesos habilitados al EDUS, que ya no laboran para la Caja —que incluía personas pensionadas o fallecidas—, así como 1345 personas funcionarias que tienen habilitado el acceso a módulos del EDUS con perfiles para la atención de pacientes, a pesar de estar en puestos que no requieren esos accesos.
El informe señala que “de los 877 funcionarios pensionados, estos mantenían 14.302 perfiles activos relacionados con sistemas del EDUS, a través de los cuales en el 83,81% de los casos les puede permitir acceder al menos a un aplicativo de ese sistema, el 14,60% a dos, y el 1,60% hasta tres aplicativos; en ese sentido se identificaron accesos por parte de cuatro de estos exfuncionarios en el último cuatrimestre del 2021”.
Dato D+: De las personas funcionarias con acceso a los módulos de atención de pacientes en EDUS el 36% es personal financiero contable, 33% de servicios de apoyo, 9% servicios generales, 7% recursos humanos, 6% de tecnologías de información, y 9% a otros puestos no relacionados.
Adicionalmente, el informe señaló que existen 6619 personas con permisos de acceso a módulos de EDUS, que no aparecen registrados en planillas en los meses de setiembre y octubre 2021, lo que para la Contraloría “no permite tener certeza con respecto a la pertinencia de los accesos brindados”.
Adicionalmente, la Contraloría identificó “riesgos de seguridad lógica, la cual resulta relevante para proteger al sistema contra ataques cibernéticos, incidentes en sistemas, bases de datos o infraestructura que pueden reducir la continuidad del servicio y comprometer la integridad, disponibilidad y confidencialidad del Expediente Digital Único en Salud, sobre los cuales no se han definido medidas específicas para su gestión”.
El informe destaca que “las debilidades encontradas con respecto a la seguridad lógica, obedecen a que la CCSS no ha definido las medidas específicas para gestionar los riesgos comunicados por la Contraloría General; lo cual potencia el riesgo de accesos no autorizados, pérdida o modificación de información y degradación parcial o total de los servicios”.
Por último, el informe señala que, a la fecha de finalización del informe, la Caja no había completado la inscripción de su base de datos ante la Agencia de Protección de Datos de los Habitantes, a pesar de haber iniciado ese proceso desde el 2017. El informe asegura que esto es un potencial riesgo ya que no se puede “garantizar que los datos contenidos en el EDUS se traten bajo las medidas técnicas y de organización necesarias”.
El informe concluye que los hallazgos encontrados “no permiten afirmar que la gestión de la seguridad lógica del Sistema de Información (EDUS) cumple razonablemente con el marco jurídico aplicable”.
Las autoridades de la Caja deberán ahora cumplir con las indicaciones que señala el informe de la Contraloría para corregir las deficiencias identificadas.
