Contraloría advierte a Ministerio de Salud que debe mejorar en seguridad de la información

Auditoria identificó vulnerabilidades en sistemas de información.

La Contraloría General de la Repúblico presentó los resultados de un informe de auditoria realizado al Ministerio de Salud con el propósito determinar si la seguridad de la información de los sistemas críticos de esa institución responde al marco regulatorio y buenas prácticas aplicables, a efectos de prevenir afectaciones en la prestación de los servicios, encontrando “debilidades en materia de seguridad de los sistemas y plataformas, así como en la continuidad de las operaciones, las cuales no permiten afirmar que la seguridad de la información de los sistemas críticos del Ministerio de Salud responde al marco regulatorio y buenas prácticas aplicables, a efectos de prevenir afectaciones en la prestación de los servicio”.

Dato D+: La auditoria evaluó el periodo del 1 de enero de 2021 hasta el 24 de abril de 2023.

El gerente de Fiscalización para el Desarrollo de Finanzas, Manuel Corrales Umaña, señaló sobre los resultados de la auditoría:

La Contraloría determinó que el Ministerio no contempla el manejo de incidentes de ciberseguridad dentro de sus procesos de gestión de riesgos institucionales. Además, la Contraloría encontró que el Ministerio no cuenta con planes de capacitación para los funcionarios encargados del manejo de la seguridad de la información dentro del Ministerio y además no se cuentan con planes de sensibilización dentro del Ministerio a los funcionarios sobre el marco de seguridad de la información y sobre incidentes de seguridad. Esto genera incertidumbres sobre la ruta que debería seguir o debería seguirse ante eventuales ataques de ciberseguridad".

Adicionalmente entre los principales hallazgos de la auditoría, desde la Contraloría destacaron que:

• El Ministerio de Salud no contempla los incidentes de ciberseguridad dentro de los procesos de gestión de riesgos institucionales.
• La institución carece de planes de formación para el personal encargado de seguridad de la información.
• No hay garantía de que los usuarios estén cumpliendo medidas de seguridad para el acceso a equipos y sistemas, lo cual facilita “eventuales accesos de individuos no autorizados a los sistemas e infraestructura tecnológica del Ministerio, en perjuicio de la seguridad de la información y la continuidad de los servicios”.
• No se identifican: información, sistemas y dispositivos institucionales críticos para asegurar la continuidad de los servicios, lo que representa información necesaria para establecer controles de seguridad integrales y definir la prioridad de atención que debe dárseles en caso de una interrupción.
• Se detectaron vulnerabilidades de seguridad en el entorno web del Ministerio de Salud.

El informe, en sus conclusiones, indica que “posterior al ciberataque recibido en septiembre de 2022, el Ministerio ha adoptado una serie de medidas, con el fin de prevenir y gestionar futuros incidentes de ciberseguridad. Sin embargo, a partir de la situación encontrada, no es posible afirmar que, a la fecha de emisión de este informe, la seguridad de la información de los sistemas críticos del Ministerio de Salud responda al marco regulatorio y buenas prácticas aplicables, a efectos de prevenir afectaciones en la prestación de los servicios”.

Como resultado de esta auditoria la Contraloría giró una serie de disposiciones a las autoridades de Salud que deberán ser atendidas por los jerarcas para corregir las deficiencias encontradas.