Entes públicos con bajos niveles en aplicación de prácticas de ciberseguridad
Mayoría se encuentra "en nivel básico"
(CRHoy.com).-Las instituciones públicas costarricenses registran bajos niveles de aplicación de prácticas de ciberseguridad, determinó la Contraloría General de la República (CGR).
La CGR ejecutó un análisis que permitió determinar el nivel de aplicación de prácticas de seguridad de la información en 267 instituciones, dando énfasis en los aspectos relevantes de ciberseguridad e identificación de oportunidades de mejora.
El estudio se hizo en el marco de los ciberataques recibidos por el país por parte de los grupos Hive y Conti que ya han costado 13 mil millones de colones para su atención.
"En términos generales, los resultados obtenidos reflejan que el sector público se encuentra en los niveles más bajos de aplicación de prácticas de seguridad de la información, ya que de las 267 instituciones analizadas, 190 se encuentran en los niveles inicial y básico, 50 en intermedio, 27 en avanzado y ninguna de ellas alcanzó el nivel más alto optimizando.
Esta situación permanece en cada una de las dimensiones analizadas, evidenciando brechas en cuanto a las acciones para el establecimiento de la ruta a seguir a nivel estratégico y operativo, el esquema formal para el desempeño del sistema de gestión de seguridad de la información, así como la implementación de habilidades, conocimientos e idoneidad del personal", indicó la CRG.
Las conclusiones de ente contralor se basaron en un análisis en coordinación con 59 auditorías internas.
El propósito del informe es que se ejecuten las acciones que permitan asegurar que la información y los sistemas sean protegidos contra su divulgación a usuarios no autorizados, alteraciones y falta de acceso ante cualquier amenaza e intenciones maliciosas, de manera que se garantice la continuidad de los servicios públicos, señaló el órgano contralor.
Bajos niveles
A nivel sectorial, en materia de seguridad informática, la mayoría se encuentra en el nivel básico; el sector financiero es el que alcanza el mayor nivel, "lo que refleja la necesidad de que las instituciones públicas apliquen prácticas para guiar el sistema de gestión de seguridad de la información, que contribuyan a fortalecer el resguardo de la información y aseguren la continuidad del servicio público, generando así valor a la ciudadanía", agregó la CGR.
En general, estudio concluye que el 71% de las instituciones se encuentran en niveles inicial y básico, "lo que evidencia que se requiere de más acciones concretas para aplicar prácticas de seguridad de la información, ya que solamente el sector financiero obtuvo un nivel avanzado; por lo tanto, es necesario que las instituciones, de acuerdo con su complejidad y disponibilidad de recursos, establezcan una hoja de ruta que considere las brechas actuales en esta materia", recomienda la institución contralora.
Por otro lado, solo el 12,4% (33) de las instituciones disponen de un programa de concientización del personal sobre seguridad de la información que considere la comunicación de los datos que debe protegerse, los controles para protegerla, las funciones del personal y la promoción de conciencia sobre el riesgo de no seguir los procedimientos y políticas, entre otros. Además, esa misma cantidad de instituciones dispone de planes de capacitación en esta materia.
"Esto representa un desafío en el que se deben tomar acciones inmediatas para el establecimiento de una visión estratégica institucional y el fortalecimiento de capacidades del personal, siendo el eslabón más vulnerable ante amenazas por ciberataques", concluye el reporte.
