Logo
PRO
Tecnología

Implementación del sistema de gestión de seguridad informática en la Caja es del 0%

Tampoco se ha instalado el Comité de Riesgos y Seguridad de la información

Por Erick Murillo | 10 de Sep. 2024 | 1:01 pm
erick.murillo@crhoy.com

Una auditoría interna de la Caja Costarricense de Seguro Social (CCSS) hizo una advertencia referente a la gestión de seguridad de la información y ciberseguridad en la institución de acuerdo con los estándares ISO 27001 y el Instituto Nacional de Estándares y Tecnología (NIST).

Se trata de la auditoría AD-ATIC-0085-2024, con fecha del pasado 12 de agosto y clasificada como de carácter confidencial; uno de sus principales hallazgos es que el porcentaje de avance de una de las iniciativas relacionadas con el Modelo de Seguridad de la Información es cero.

El documento, del cual crhoy.com tiene copia, está dirigido a Marta Esquivel Rodríguez, jerarca de la Caja y presidenta en calidad de coordinadora del Consejo Tecnológico y Robert Picado, subgerente de la Dirección de Tecnologías de Información y Comunicaciones (TIC).

En el mismo le recuerda el impacto del ciberataque registrado el 31 de mayo del 2022, que paralizó la seguridad social del país e impidió la atención de asegurados en consulta externa, realización de cirugías, exámenes y la distribución de medicamentos, incidente que en el total de instituciones afectadas costó ¢13 mil millones en atención al incidente.

"Esta auditoría informa sobre los resultados del proyecto denominado Auditoría de Carácter Especial referente a la gestión de Seguridad de la Información y Ciberseguridad en la CCSS de acuerdo con los estándares ISO 27001 y NIST, mismo que se trabajó en colaboración con la Contraloría General de la República…

Se suministraron herramientas relacionadas con la gestión de la seguridad de la información y ciberseguridad con el propósito de analizar si estos procesos de la institución están razonablemente alineados con el marco jurídico y técnico relacionados en esta materia", indica el informe.

Se consultó a la Caja una posición al respecto de los resultados del Departamento de Auditoría Interna y contestaron que harán la consulta y estarán informando.

Cero porcentaje de avance

El reporte señala que aunque la institución ha formulado y se encuentra en ejecución el Modelo de Gobernanza de las TIC y de Seguridad de la Información, no existen iniciativas institucionales impulsadas por la Alta Dirección que permitan consolidar un modelo de gestión de seguridad de la información ni hay un entendimiento asociado  que se centra únicamente en el aseguramiento de las soluciones y plataformas tecnológicas, caracterizado por la delegación de responsabilidad sobre la seguridad a las unidades de TIC, por lo que no existe el involucramiento y corresponsabilidad por parte de los usuarios.

Este modelo fue gestionado mediante a licitación abreviada No. 2016LA-000003-1150 Diseñar e implementar el Modelo Meta de Gobierno de TIC y Gobierno de la Seguridad de la Información para la CCSS, que tuvo como fin, contratar una consultoría que apoyara la obtención de un modelo de gobernanza en tecnologías de información y en seguridad de la información, en el entregable de la Fase 4 Analizar las brechas integrales del Gobierno de las Tecnologías de Información y Comunicaciones evaluando el Gobierno de la Seguridad de la Información, que diagnosticó el ambiente institucional en ese momento, donde en el apartado 5.5 Análisis del Modelo de Gestión de Seguridad de la Información, del Informe Diseño del modelo meta integral de gobernanza de la TIC y Seguridad de la Información, refiere sobre la visión estratégica.

En cuanto a gestión de seguridad de la información, los hallazgos señalados por la consultora fueron los siguientes:

  • La gestión de la seguridad se enfoca en la protección de la infraestructura tecnológica y el acceso a las aplicaciones.
  • No existe una identificación de los activos de información institucionales, por lo cual no se tiene una clasificación de éstos según su criticidad y sensibilidad.
  • La gestión de la seguridad tiene un enfoque reactivo ya que no se conoce la visión estratégica institucional con respecto al nivel de protección que requieren los activos de información. Por otra parte, de acuerdo con lo indicado por la firma consultora, se hace necesario cubrir las brechas identificadas para lograr la implementación del modelo meta propuesto, planteando estructuras, tanto para la gobernanza, como para la gestión de la seguridad de la información.

En este sentido, se definieron cuatro iniciativas relacionadas con el Modelo de Seguridad de la Información, las cuales actualmente se encuentran en el siguiente estado:

"Como se observa las iniciativas de habilitación del Comité de Riesgos y Seguridad de la Información e implementar el Sistema de Gestión de Seguridad de la Información, no ha tenido un avance en su implementación, a pesar de que dicho modelo fue diseñado en el 2017.

Asimismo, es conveniente mencionar la importancia de los roles y responsabilidades especializados en materia de seguridad de la información y ciberseguridad, los cuales fueron detallados anterioridad por la empresa consultora PWC en los entregables del proyecto de Gobernanza TIC y Seguridad de la Información y Servicios Profesionales para desarrollar el Plan de Ciberseguridad para la CCSS", agrega el estudio.

Este comité es el encargado de garantizar el adecuado seguimiento y revisión de los mecanismos implantados dentro de la CCSS para el aseguramiento de la información, evaluando, proponiendo y discutiendo las estrategias y prácticas estándares aplicables en cada escenario.

Acciones inmediatas

En cuanto a los resultados de la aplicación de los instrumentos ISO 27001 (GSI Estándar) y NIST, en el rubro de capacidades operativas, se identificó que en la Caja -de 15 de ellas- en 9 se requieren acciones de atención inmediatas de mejora, siendo Continuidad y Gestión de amenazas y vulnerabilidades, las de mayor atención con un puntaje de 50%, en 3 se tiene oportunidad de mejora y 3 se consideran satisfactorias.

Al respecto, considerando las capacidades operativas que requieren acciones inmediatas de mejora, se tiene que:

  • La configuración de sistemas no está completamente asegurada, lo que puede llevar a vulnerabilidades explotables.
  • Los planes de continuidad del negocio y recuperación ante desastres podrían no ser adecuados para asegurar la resiliencia operativa.
  • Falta un proceso robusto para identificar, evaluar y mitigar amenazas y vulnerabilidades.
  • La institución carece de una respuesta efectiva y coordinada ante incidentes de seguridad de la información.
  • La identificación y gestión de activos de información no es completa ni precisa.
  • Falta una estructura clara de gobernanza para la gestión de la seguridad de la información.
  • Los controles legales y de cumplimiento no están completamente implementados o actualizados.
  • Las medidas de protección de información no son suficientes para proteger contra accesos no autorizados y pérdidas de datos.
  • Las instalaciones físicas no están adecuadamente protegidas contra accesos no autorizados y desastres naturales.

Sobre la función Recuperar de la herramienta de análisis Check list NIST CSF, la auditoría determina que hay deficiencias significativas en la capacidad de la institución para restaurar servicios y operaciones normales después de un incidente de seguridad, siendo este el área que requiere más atención y mejoras inmediatas, por lo que es esta la que debe recibir mayor atención debido a los bajos porcentajes de sus categorías, en las que se señala que:

  • La planificación de la recuperación está en un nivel bajo, lo que sugiere que la institución necesita mejorar significativamente sus planes de recuperación para asegurar una restauración rápida y eficiente de las operaciones tras un incidente.
  • La capacidad de mejorar continuamente los procesos de recuperación es baja, lo que indica que la institución necesita establecer un ciclo de retroalimentación más efectivo para aprender de los incidentes y mejorar sus capacidades de recuperación.
  • Las comunicaciones durante y después de un proceso de recuperación están en un nivel moderado, indicando que, aunque hay una base establecida, existe margen de mejora para asegurar una comunicación más efectiva con todas las partes interesadas.

Finalmente, respecto a las categorías de la función Proteger, "la protección de la tecnología es el área más débil dentro de esta, lo que indica que los sistemas tecnológicos y las soluciones de seguridad no están adecuadamente protegidos contra amenazas", indica la auditoría.

Esta función de protección indica que la entidad tiene controles de seguridad establecidos para salvaguardar sus sistemas y datos, sin embargo, estos controles pueden mejorarse para ofrecer una mayor protección contra las amenazas.

En sus consideraciones finales, la Auditoría Interna recuerda que previene y advierte de la situación indicada en el oficio, con el propósito de que sea visto en el Consejo Tecnológico Institucional, se tomen las acciones correspondientes, para minimizar o eliminar la materialización de riesgos asociados a la seguridad de la información y ciberseguridad, para ello adjuntaron los instrumentos: Herramienta GSI ISO 27001 y Checklist NIST, para el análisis correspondiente y la atención especialmente de aquellas respuestas donde la institución obtiene una cumplimiento nulo o parcial en el caso de la ISO 27001 y una valoración de parcial y riesgo informado para las NIST.

"Queda bajo exclusiva responsabilidad de esa Administración Activa, garantizar el monitoreo y mejoramiento continuo, de los mecanismos de control instaurados en torno a la situación y los riesgos advertidos; razón por la cual deben remitir a esta Auditoría en el término de 10 días hábiles un plan de acción anexado al presente, con las acciones a ejecutar para la atención de los riesgos advertidos; cuyo plazo de atención de esta advertencia se consigna en 4 meses a partir de la comunicación de este oficio", finalizó el oficio firmado por el auditor Olger Sánchez.

Comentarios
1 comentario
OPINIÓNPRO
Dra. Sarah Cordero Pinchansky
OPINIÓN

El espejismo del cambio: por qué nada cambia cuando todo parece cambiar

Por Dra. Sarah Cordero Pinchansky

Msc. Emilia Malavassi
OPINIÓN

Hablemos de infidelidad: sin juicios, con consciencia y humanidad

Por Msc. Emilia Malavassi

Ronulfo Jiménez R.
OPINIÓN

Radiografía de una economía desacelerada

Por Ronulfo Jiménez R.

Laura Chinchilla Miranda
OPINIÓN

Golpeados por la inseguridad y el desorden público

Por Laura Chinchilla Miranda

Alejandro Urbina Gutiérrez
OPINIÓN

Menosprecio al derecho al voto

Por Alejandro Urbina Gutiérrez

TE PODRÍA INTERESAR
Ciberseguridad
Ciberseguridad

Suspenden teletrabajo a empleados que se conectan a sistemas gubernamentales remotos inseguros

Ciberseguridad
Ciberseguridad

Solo 7% de organizaciones nacionales denuncia incidentes cibernéticos ante autoridades judiciales

Ciberseguridad
Ciberseguridad

Delitos informáticos entre los que más tiempo y recursos demandan al sistema judicial

Ciberseguridad
Ciberseguridad

Solo 14 % de organizaciones ticas tiene un seguro de ciberseguridad

Ciberseguridad
Ciberseguridad

82% de organizaciones nacionales no considera adecuado su presupuesto para ciberseguridad