Municipalidades de Cartago y Escazú arriesgan seguridad de información

(CRHoy.com). La Contraloría General de la República (CGR) urgió mejorar la seguridad de la información en las municipalidades de Cartago y Escazú.

El ente contralor efectuó un informe sobre la seguridad de la información de los sistemas críticos y verificó si responde al marco regulatorio y buenas prácticas aplicables en la materia. No obstante, detectó que la seguridad de la información en ambas entidades no cumple con esos extremos, "lo cual genera que estas instituciones se expongan a diferentes riesgos".

"Los gobiernos locales apoyan sus procesos sustantivos en distintos sistemas de información, que almacenan datos de los contribuyentes, razón por la cual es necesario proteger la plataforma tecnológica contra uso fraudulento, acceso no autorizado, pérdida, alteración o difusión de la información crítica", puntualizó la institución fiscalizadora, a través de un comunicado de prensa.

A continuación, se detallan los principales hallazgos contenidos en el informe:

• Municipalidad de Cartago
• No cuenta con un área o persona encargada formalmente de la seguridad de la información y tampoco ha gestionado capacitación en la materia.
• Carece de instrumentos de planificación en gestión de seguridad de la información. No existen protocolos o procedimientos de atención de incidentes de seguridad.
• No se cuenta con una categoría específica para catalogar incidentes de seguridad.
• Se identificaron 269 vulnerabilidades en pruebas internas (91 críticas, 167 altas) y 9 en pruebas externas. Tanto en la red interna como en los servicios expuestos a Internet.

Municipalidad de Escazú:

• No cuenta con un área o persona encargada formalmente de la seguridad de la información y tampoco ha gestionado capacitación en la materia.
• Ausencia de capacitación sobre las políticas de seguridad de la información, así como a la falta de suscripción de acuerdos de confidencialidad con el personal, sobre el uso de información y plataformas tecnológicas
• Carece de instrumentos de planificación en gestión de seguridad de la información. No existen protocolos o procedimientos de atención de incidentes de seguridad.
• No se efectúan pruebas para corroborar que los respaldos de información permitan recuperar la información.
• Se identificaron 80 vulnerabilidades en pruebas internas (38 críticas, 39 altas) y 8 en pruebas externas.  Tanto en la red interna como en los servicios expuestos a Internet.

Viviana Garbanzo, gerente Área de Fiscalización para el Desarrollo Local de la CGR, detalló que entre las disposiciones solicitadas a los municipios destacó la elaboración, oficialización e implementación de un plan orientado a alinear las capacidades del personal de seguridad con el perfil que efectivamente requiere el municipio.

Dichos planes deben contener:

1. Una identificación del perfil actual de las personas encargadas de la seguridad de la información.
2. Una definición del perfil requerido, un diagnóstico de las brechas existentes entre los perfiles actuales y el perfil requerido.
3. Un cronograma de capacitación con plazos, responsables e indicadores para medir el avance y la cobertura.

La Municipalidad de Escazú aseguró que desde que la CGR inició la auditoría dieron apertura al ente fiscalizador para proporcionar toda la información del caso y que los puntos de mejora señalados "tienen que ver más que todo con aspectos documentales".

"No con temas de sistemas y de equipamiento. No se encuentran recomendaciones en temas de sistemas o de equipamiento. Ellos mencionan tema de planes y de procedimientos. Son cosas escritas", citó la oficina de prensa del municipio, el cual destacó que cuentan con los equipos adecuados para el resguardo de la información".