Contraloría: AyA carece de un sistema sobre seguridad de información

Por Luis Valverde | 17 de Oct. 2023 | 9:39 am

(CRHoy.com) El Instituto Costarricense sobre Acueductos y Alcantarillados (AyA) no cumple adecuadamente con la normativa y las condiciones mínimas de ciberseguridad y resguardo de la información, de acuerdo con un reciente informe de la Contraloría General de la República (CGR).

El informe de auditoría, publicado este martes, señala que el AyA no ha desarrollado un sistema de gestión de la seguridad. Pese a que existe un Comité de TI, este no ha cumplido con sus funciones y no se han llevado a la práctica los roles y responsabilidades de actores clave como las del Comité de Seguridad y el Oficial de Seguridad.

El documento también señala que no se ha implementado un programa de sensibilización en materia de seguridad, ni se han establecido cláusulas sobre confidencialidad de la información y garantía de continuidad del servicio en los documentos contractuales para servicios de TI que impactan la seguridad de la información.

El Ente Contralor apunta directamente a la responsabilidad del jerarca del AyA en esta materia, al señalar que no ha habido un adecuado manejo:

Las situaciones evidenciadas sobre la ausencia de un marco de gobierno para la seguridad de la información en el AyA obedecen a un débil direccionamiento y monitoreo del jerarca y titulares subordinados para conciliar la seguridad de la información como parte esencial del giro de negocio, lo que afecta negativamente la estructura organizativa y relaciones de jerarquía que sustentan la seguridad de la información en los sistemas críticos.

Una de las pruebas realizadas fue sobre el uso de contraseñas dentro de la entidad. Si bien el acceso a sistemas está restringido y existe una política de contraseñas, se encontró que más de 40 usuarios no han cambiado las contraseñas en unos 400 días.

Además, se encontraron 113 contraseñas inseguras, 413 contraseñas repetidas, 624 contraseñas sin expiración y 5 cuentas que ni siquiera usan contraseña.

La entidad dispuso a los jerarcas del AYA implementar una política adecuada de continuidad del negocio y de seguridad de la información.

Sobre el tema se solicitó un criterio al AyA, el cual se encuentra en trámite al momento de esta publicación.

Comentarios

0 comentarios

MÁS LEIDAS

Nacionales

Riña entre agentes del OIJ deja un herido de bala y una detenida en Goicoechea

Por Johan Rojas

6 dic 2025, 10:12 a. m.

Nacionales

¡Vea este video! Sujeto se ve inofensivo, pero amenazó a hombre y le robó el carro

Por Andrey Villegas

6 dic 2025, 4:44 p. m.

Nacionales

Ellos son los agentes del OIJ involucrados en riña que dejó un herido y una detenida

Por Johan Rojas

6 dic 2025, 10:57 a. m.

Nacionales

OIJ confirma muerte de bebé tras accidente de tránsito en Liberia

Por Andrey Villegas

6 dic 2025, 1:19 p. m.

Nacionales

Operativo en concierto de Bad Bunny dejó comercios cerrados, cuidacarros retirados y una orden de captura

Por Andrey Villegas

6 dic 2025, 1:31 p. m.

Contraloría: AyA carece de un sistema sobre seguridad de información

Riña entre agentes del OIJ deja un herido de bala y una detenida en Goicoechea

¡Vea este video! Sujeto se ve inofensivo, pero amenazó a hombre y le robó el carro

Ellos son los agentes del OIJ involucrados en riña que dejó un herido y una detenida

OIJ confirma muerte de bebé tras accidente de tránsito en Liberia

Operativo en concierto de Bad Bunny dejó comercios cerrados, cuidacarros retirados y una orden de captura

Niebla económica

El reto democrático ante la desinformación y el odio

Sin ciudadanía no hay democracia que aguante

1º de diciembre: la fuerza de la paz

Modelos de desarrollo de Costa Rica (I): la sustitución de importaciones 1949-1982