CGR identifica debilidades de ciberseguridad en Migración
Un análisis de la Contraloría General de la República (CGR) identificó una serie de debilidades en el área de ciberseguridad de la Dirección General de Migración y Extranjería (DGME).
Se trata del informe de auditoría sobre la seguridad de la información en la DGME, Informe N° DFOE-GOB-IAD-00014-2023, de la División de Fiscalización Operativa y Evaluativa Área de Fiscalización para el Desarrollo de la Gobernanza Auditoría de Carácter Especial – Compromiso de informe directo.
La auditoría de carácter especial tuvo como objetivo determinar si las acciones implementadas por la Administración para resguardar la información brindan una protección razonable a los activos tecnológicos y de información de la Dirección General de Migración y Extranjería de acuerdo con el marco regulatorio y buenas prácticas aplicables.
Para ello se valoró las acciones implementadas por la Administración para garantizar el resguardo de la información y activos tecnológicos en el período comprendido entre el 1 enero de 2022 y el 30 de junio de 2023, y se amplió cuando se consideró necesario.
"Se determinó que las acciones implementadas por la Administración para resguardar la información cumplen parcialmente con el marco regulatorio y buenas prácticas aplicables, por lo que requiere acciones de mejora inmediatas para brindar una protección a los activos tecnológicos y de información de la Dirección General de Migración y Extranjería.
Al respecto, poseen políticas de asignación de usuarios, atención de incidentes y monitoreo de seguridad. Han implementado parcialmente controles sobre clasificación y etiquetado de la información, revisión de derechos de acceso, gestión de activos y continuidad. Por último, no se ha documentado la totalidad de requisitos obligatorios y la normativa establecida debe actualizarse a la realidad institucional y el marco adoptado", indica el informe del ente contralor.
El reporte detalla que también se identificaron debilidades de ciberseguridad las cuales podrían comprometer la seguridad de la información institucional.
"Al respecto, la Dirección General de Migración y Extranjería atendió durante la ejecución de la auditoría el 49% de las vulnerabilidades comunicadas. Por su parte, la DGME posee una guía para la identificación y comunicación de vulnerabilidades, sin embargo, no establece responsables, periodicidad ni actividades para subsanar los hallazgos de ciberseguridad.
Asimismo, parte de la documentación institucional de seguridad de la información debe actualizarse según los requisitos vigentes de negocio y el marco de gestión adoptado", añade el estudio.
Además, indica que se carece de normativa para gestionar la ciberseguridad que contemple el análisis periódico de los riesgos de ciberseguridad y los planes de remediación de vulnerabilidades.
"Las situaciones encontradas exponen a la institución a riesgos de pérdida de confidencialidad, integridad y disponibilidad, así como riesgos de accesos no autorizados a los activos tecnológicos y de información de la DGME", enfatiza el reporte.
DGME responde
Se consultó a Migración sobre el informe y respondieron lo siguiente:
La DGME tiene previsto tomar en respuesta al reciente informe de la Contraloría sobre seguridad de la información y ciberseguridad. La ciberseguridad es una prioridad fundamental para la DGME, y el informe de la CGR desempeña un papel crucial en nuestro compromiso constante con la mejora y fortalecimiento de nuestras prácticas en esta área. La seguridad de la información es esencial para salvaguardar la confidencialidad, integridad y disponibilidad de los datos, especialmente en un entorno donde la tecnología juega un papel fundamental en nuestras operaciones cotidianas.
Criterio sobre los Resultados del Informe: El informe de la CGR proporciona una evaluación detallada y objetiva de nuestras prácticas actuales en seguridad de la información y ciberseguridad. Apreciamos la labor de la Contraloría en identificar áreas de mejora y oportunidades para fortalecer nuestros controles y procesos, como respuesta directa al informe, la DGME está comprometida a implementar medidas inmediatas y sostenibles. Entre las acciones clave que emprenderemos se encuentran:
Integración y funcionamiento del Órgano Rector: El actual Comité Gerencial de Informática (CGI), se compromete a dar cumpliendo con las fechas establecidas en el informe.
Actualización de la reglamentación del CGI para reflejar sus funciones de manera clara y eficiente.
Actualización de Normativas: Revisión y actualización de la normativa de seguridad de la información y ciberseguridad, garantizando su alineación con el marco normativo adoptado.
Capacitación y Concientización: Implementación de programas de capacitación y concientización para el personal en temas de seguridad de la información.
Seguimiento y Certificación: Establecimiento de un proceso interno de seguimiento para garantizar la implementación efectiva de las medidas recomendadas.
Emisión de certificaciones que respalden la integración del CGI, la actualización de normativas y los avances en la implementación de las medidas.
Conclusión: En conclusión, la DGME toma en serio las recomendaciones de la CGR y está comprometida a fortalecer su postura en ciberseguridad. Reconocemos la importancia de estos esfuerzos para garantizar la protección adecuada de la información y los activos tecnológicos de la institución. Agradecemos la oportunidad de mejorar y reafirmamos nuestro compromiso con la seguridad y la transparencia en todas nuestras operaciones.
¿Qué viene?
Tras el estudio, la CGR emitió disposiciones con el propósito de integrar y ejecutar labores correspondientes al cuerpo colegiado de alto nivel para la toma de decisiones sobre temas estratégicos asociados con las TIC según lo establece marco normativo de Tecnologías de Información adoptado por la institución; así como actualizar e implementar la normativa para gestionar la seguridad de la información institucional que considere al menos la clasificación, resguardo de la información institucional, revisión de accesos y verificación periódica del cumplimiento de la normativa vigente.
También, se dispone actualizar e implementar la normativa de ciberseguridad para que incluya el análisis periódico de los riesgos sobre ciberseguridad, la remediación de las vulnerabilidades y planes de mitigación cuando corresponda, considerando al menos actividades, responsables y periodicidad de ejecución.
"Las acciones implementadas por la Administración para resguardar la información cumplen parcialmente con el marco regulatorio y buenas prácticas aplicables, por lo que requiere acciones de mejora inmediatas para brindar una protección a los activos tecnológicos y de información de la DGME, que posee documentación relacionada con seguridad de la información, sin embargo, requiere analizarla a luz del marco normativo adoptado, el cual requiere una participación integral de todos los involucrados o partes interesadas.
El Departamento de Gestión de Tecnologías de información gestionó razonablemente las vulnerabilidades comunicadas durante la auditoría en un corto período de tiempo, dando prioridad a las más críticas y las que se lograron subsanar con los recursos o herramientas disponibles", señalan las conclusiones del documento.
