Contraloría detectó serias deficiencias en los controles de ciberseguridad del Minae, lo que aumenta el riesgo de incidentes y la vulnerabilidad de la información.

Según el informe DFOE-SOS-IAD-00001-2025, la CGR evaluó si el ministerio cumple con las regulaciones y buenas prácticas en seguridad digital. Los hallazgos revelaron que la institución carece de estrategias claras y medidas adecuadas para proteger sus datos y sistemas.

Falencias detectadas

La auditoría, basada en información del 1 de enero de 2023 al 19 de diciembre de 2024, encontró incumplimientos clave en la seguridad de la información del ministerio:

  • Falta de estrategias y prioridades: No hay una estructura formal de roles, estándares y procesos para resguardar la información.
  • Ausencia de controles de riesgo: No se han definido controles estandarizados para gestionar amenazas de ciberseguridad.
  • Método deficiente para evaluar riesgos: No existe una metodología clara para identificar y gestionar riesgos específicos.
  • Capacitación insuficiente: No hay un plan formal para entrenar al personal en seguridad digital.
  • Inventario desactualizado: No cuentan con un registro consolidado de todos sus activos de información ni han definido su nivel de criticidad.

Además, el Minae depende de proveedores externos para su infraestructura tecnológica, pero no ha establecido normativas claras para garantizar la seguridad de la información en futuras contrataciones.

Advertencia de la Contraloría

La gerente de Fiscalización para el Desarrollo Sostenible de la CGR, Lía Barrantes, destacó la importancia de reforzar la seguridad digital del ministerio:

"El Ministerio de Ambiente y Energía procesa información clave para proteger los recursos naturales en Costa Rica. Es esencial que cuente con los mecanismos adecuados para resguardar estos datos y asegurar la continuidad de los servicios."

El informe reveló que las acciones del Minae en ciberseguridad son limitadas. Se restringen a reaccionar ante alertas externas y aplicar herramientas de terceros, sin realizar un monitoreo periódico de posibles amenazas.

La falta de supervisión y coordinación interna entre la Dirección y las Unidades de Tecnologías de Información genera un sistema de seguridad desigual y aumenta el riesgo de ataques y fallas en la protección de datos.

Medidas ordenadas

Para corregir estas deficiencias, la Contraloría ordenó al Minae formalizar un Comité de Gobernanza de Tecnología de Información. Este deberá reunirse regularmente y desarrollar un Sistema de Gestión de Seguridad de la Información, alineado con las normativas del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) y otras buenas prácticas.

La implementación de estas medidas será clave para reducir los riesgos y garantizar la seguridad de la información en la institución.