Sector público inmerso en la incertidumbre de no tener claridad sobre la magnitud y cantidad de incidentes.
La Contraloría General de la República (CGR) emitió un informe de auditoría al Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) y la Comisión Nacional de Prevención de Riesgos y Atención de Emergencias (CNE), respecto de la gobernanza de la ciberseguridad del país y si esta responde al marco normativo y prácticas aplicables.
Los hallazgos identificados por el ente contralor revelan que el sector público se enfrenta ante la incertidumbre de no tener claridad sobre la magnitud y cantidad de incidentes que actualmente han logrado vulnerar los sistemas informáticos, con el potencial de afectar la continuidad de los servicios públicos y la salvaguarda de la información.
Según señala el informe de la Contraloría, parte de lo examinado se debe a que, a raíz de los ataques cibernéticos que experimentaron varias instituciones públicas durante el primer semestre del 2022, el Gobierno decidió gestionar los ciberataques recibidos por varias instituciones públicas, al amparo de una declaratoria de estado de emergencia, en esta auditoría se analizó la articulación entre los actores en el marco de gobernanza instaurado mediante el respectivo Decreto Ejecutivo 43.542.
Instituciones públicas afectadas por los ciberataques incorporadas en el Plan General de la Emergencia
Según el informe “las acciones efectuadas por el MICITT y la CNE para la gestión de incidentes de ciberseguridad, tanto en el marco del estado de emergencia como en las actividades ordinarias a través del Centro de Respuesta de incidentes de Seguridad Informática (CSIRT-CR), cumplen parcialmente con lo establecido en el marco jurídico y técnico aplicable”.
La auditoria realizada cubre el periodo comprendió entre el 1 de enero de 2021 al 30 de noviembre de 2022, y como principales hallazgos la Contraloría destacó haber encontrado:
- Carencia de coordinación interinstitucional en un estado de necesidad y urgencia en ciberataques.
- Participación intermitente de la CNE, pese a su rol de liderazgo ante la emergencia. (Decreto Ejecutivo 43.542).
- Gestión inoportuna por parte de Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT-CR) - Micitt. La CGR encontró 7 entidades públicas con incidentes materializados, mientras CSIRT-CR solo detectó uno.
- Las alertas técnicas efectuadas por el Micitt corresponden a posibles vulnerabilidades de los sistemas informáticos, no así a ciberataques materializados.
- Inexistente certeza sobre continuidad en gestión de ciberseguridad y adquisición de licencias informáticas para proteger al sector público en su actividad ordinaria.
Tras la auditoria, la CGR dispuso que la CNE y el Micitt deben determinar los objetivos, funciones, roles, responsabilidades, periodicidad de la coordinación, la estrategia de ejecución de decisiones y su seguimiento, a fin de propiciar desde el nivel estratégico y operativo un trabajo proactivo en la atención de la emergencia.
Por otra parte, se dispone al Micitt implementar procedimientos que permitan gestionar oportunamente los incidentes de ciberseguridad en el sector público; así como, reformar el marco normativo que regula el modelo de gestión del CSIRT-CR para que responda al ciclo de la ciberseguridad. Además, implementar un mecanismo en el que se incorporen las acciones requeridas por parte del MICITT para efectuar una transición de cara a la cesación del estado de emergencia, declarado mediante el Decreto Ejecutivo 43.542, de tal forma que la gestión de incidentes de ciberseguridad pueda ser llevada a cabo como parte de las actividades ordinarias de la Administración Pública y el CSIRT-CR.