Fallas en gestión de tecnología exponen al INVU a ciberataques y pérdida de información
INVU
La Auditoría Interna del Instituto Nacional de Vivienda y Urbanismo (INVU) advirtió que graves fallas en la gestión de tecnología exponen a la institución a ciberataques, pérdida de datos y posibles interrupciones de servicios.
Con este panorama también existe riesgo de caídas de sistemas críticos, interrupción de servicios y uso ineficiente de recursos tecnológicos.
El informe señala que el INVU presenta debilidades críticas en gobernanza, planificación y seguridad de la información, lo que representa un alto nivel de riesgo institucional.
El documento, emitido a mediados del año pasado, indica que la institución carece de un marco de gestión de tecnología, mantiene políticas de seguridad sin aprobación formal y opera con un plan estratégico de tecnología vencido, situación que genera un nivel de riesgo muy alto para la entidad.
Además, señala que la falta de políticas de seguridad, planificación en tecnología y gestión de riesgos limita la capacidad institucional para responder ante incidentes informáticos.
Carecen de marco formal
El primer hallazgo que expone la auditoría indica que la institución no cuenta con un Marco de Gestión de Tecnologías de Información aprobado para la Unidad de TI.
Esta herramienta es obligatoria según las Normas de Control Interno para el Sector Público y las disposiciones técnicas del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt).
Estas normas establecen que las instituciones sujetas a fiscalización de la Contraloría General de la República debían declarar, aprobar y divulgar su marco de gestión de TI a más tardar el 1.º de enero de 2022.
Sin embargo, el INVU todavía carece de ese marco formal. Esta ausencia deja la gestión de tecnología sin una estructura clara de gobernanza, es decir, sin procesos, roles, controles ni métricas definidos.
Según la auditoría, esta debilidad puede provocar decisiones descoordinadas, duplicidad de esfuerzos, vulnerabilidades de seguridad y falta de rendición de cuentas en los sistemas tecnológicos.
Ante esta situación, el encargado de la Unidad de Tecnología de Información indicó en un oficio enviado el 10 de abril del año pasado, que el año anterior se realizó una contratación para diseñar el marco de gestión de TI y establecer una hoja de ruta de implementación.
No obstante, explicó que un nuevo proceso de contratación no se concretó y se incluyó en la lista de proyectos para 2025, mientras revisan el alcance para elaborar un cartel en el Sistema Integrado de Compras Públicas (Sicop) que permita ejecutar las tareas pendientes.
Vacíos de gobernanza
El segundo hecho advierte sobre la falta de aprobación formal de múltiples políticas institucionales de TI.
De acuerdo con la Auditoría Interna, varios documentos relacionados con la gestión de tecnología no cuentan con firmas de revisión ni de aprobación de la autoridad competente, como la Junta Directiva, por lo que carecen de validez jurídica y operativa.
Esta situación genera vacíos en la gobernanza de procesos críticos de tecnología y contraviene las obligaciones de control interno sobre documentar, actualizar y divulgar políticas institucionales.
Además, estos lineamientos deberían alinearse con el Marco de Gestión de Tecnologías de Información, que todavía no existe formalmente en la institución.
Sobre este punto, el encargado de TI reconoció que la documentación se elaboró y modificó durante varios años, pero nunca se remitió a la Junta Directiva para su aprobación final.
Según explicó, actualmente realizan revisiones y ajustes solicitados por la Comisión de Tecnología de Información antes de enviarlas a ese órgano.
Plan de tecnología obsoleto
El tercer hallazgo corresponde a la obsolescencia del Plan Estratégico de Tecnologías de Información (PETI) del INVU. El documento vigente cubría el período 2018-2022 y ya superó su plazo sin que la institución apruebe una actualización.
Además, la auditoría constató que varias iniciativas contempladas en ese plan no se ejecutaron, entre ellas proyectos críticos como el plan de continuidad de TI, previsto para implementarse entre 2020 y 2021.
Según el informe, esta situación evidencia un rezago significativo en la planificación tecnológica del INVU, ya que la institución opera sin una estrategia actualizada en esta materia.
Esta carencia provoca desalineación entre las inversiones en tecnología y los objetivos institucionales, además de posibles duplicidades, carencias en soluciones digitales y una visión limitada para el desarrollo de los sistemas informáticos.
INVU
Riesgos por falencias en tecnología
La Auditoría Interna también advierte que las debilidades detectadas en la gestión de tecnología impactan directamente el funcionamiento institucional del INVU.
Según el informe, un entorno tecnológico sin gobernanza adecuada limita la capacidad de la entidad para cumplir su misión.
Sin políticas claras ni un plan estratégico vigente, las iniciativas de tecnología pueden avanzar sin alineación con los objetivos institucionales.
Esta situación podría traducirse en pérdida de eficiencia, duplicidad de esfuerzos o retrasos en proyectos de modernización, como sistemas destinados a mejorar los servicios habitacionales que brinda la institución.
Además, la falta de respuesta a las recomendaciones de la auditoría debilita el sistema de control interno y podría generar cuestionamientos de los entes rectores, con impacto en la gobernabilidad institucional.
Desde el punto de vista operativo, las brechas detectadas aumentan la probabilidad de fallas o incidentes tecnológicos.
En ese contexto, la auditoría advierte que la falta de planificación en tecnología limita la capacidad de reacción del INVU ante emergencias o cambios tecnológicos, lo que podría afectar la continuidad de los servicios para funcionarios y ciudadanía.
Desde hace una semana, CR Hoy envió varias consultas a la oficina de prensa del Instituto Nacional de Vivienda y Urbanismo (INVU) para conocer la posición institucional sobre este y otros temas vinculados con un informe que revela graves situaciones internas. Sin embargo, al cierre de esta nota la institución no había remitido una respuesta.