Municipalidad de San José sigue sin conocer moción para auditar ciberseguridad
Las municipalidades han sido blanco de ciberataques
(CRHoy.com).-La Municipalidad de San José (MSJ) aún no conoce una moción para que se auditen los sistemas de información y de esta manera, se puedan prevenir riesgos relacionados con ciberseguridad.
Se trata de una solicitud para que el Concejo Municipal sesione, con el fin de mocionar y aprobar la realización de una auditoría en materia de seguridad informática, así como instar a la alcaldía para que se tomen las medidas tendientes a la protección de los sistemas del ayuntamiento capitalino.
La petición de la regidora Andrea Rudín insta a la Alcaldía del Cantón Central de San José a la ejecución de un plan integral de atención a la ciberseguridad institucional, iniciando por una auditoría externa, la que propone incluir como mínimo los siguientes puntos:
1. Análisis de los programas, dispositivos y sistemas operativos que se usan en la municipalidad; como el sistema de gestión de la plataforma de servicios, sitio web institucional, las plataformas de pago virtuales donde los contribuyentes ingresan datos sensibles de sus cuentas bancarias y el ERP institucional, entre otros.
2. Comprobar todas las vulnerabilidades que puedan existir; claves de acceso, servidores físicos y sus redes, servidores virtuales y sus políticas de seguridad, posibles portillos para el phishing.
3. Plantear posibles mejoras con soluciones y medidas concretas; revisión de procedimientos de respaldo tanto de bases de datos como de código fuente de aplicaciones esenciales en caso de existir, conocimiento del personal sobre programas malignos y formas de evitar ser víctima del phishing, como la protección de claves de acceso, entre otros.
4. Verificar el grado de cumplimiento de la empresa con los estándares de calidad; validación y obtención de certificaciones como la ISO 27001 e ISO 22301.
5. Implementar planes de mejora y desarrollo; capacitación al personal sobre ciberseguridad.
6. Conocer los sistemas y servicios que se van a auditar o analizar.
7. Conocer y analizar las normativas aplicables en el desempeño de la actividad de la empresa.
Siguen sin conocer moción
Sin embargo, a la fecha, la moción propuesta por Rudín Montes de Oca, sigue sin conocerse, pese a que el país continúa en medio de una emergencia nacional tras los ciberataques de los grupos Hive y Conti en los que los gobiernos locales han sido blanco.
La solicitud se fundamenta en varios oficios -de los cuales CRHoy.com tiene copia-; uno de ellos es el 030-Eseg-AI-2021, enviado el 8 de julio del 2021, por el Lic. Israel Barrantes, director ejecutivo de Auditoría al alcalde Johnny Araya, en el que se establecen una serie de recomendaciones que puede ver a continuación:
El documento establece como fecha máxima finales de este mes para que se cumpla con todo lo recomendado desde hace año y 3 meses.
"Se emite este oficio de reiteración como "Primer Seguimiento" de las recomendaciones emitidas en el informe supra citado y que a la fecha no han sido cumplidas, para lo cual se le confiere plazo, hasta el 28 de octubre de 2022, para que proceda a dar cumplimiento de lo recomendado.
En caso de incumplir injustificadamente con las recomendaciones que se reiteran, podría incurrir en responsabilidad administrativa, sin perjuicio de las responsabilidades civiles o penales que le puedan ser imputadas posteriormente, ya que esta Auditoría procederá a analizar el caso de conformidad con lo establecido en los artículos 35 y 39 de la Ley General de Control Interno", estipula el oficio firmado por Barrantes Sánchez.
Se consultó a la MSJ: ¿Cuál es la razón de que el Concejo Municipal no hay acogido una moción para realizar una auditoría en materia de ciberseguridad e instar a la alcaldía para que se tomen medidas tendientes a la protección de los sistemas de información municipales?
Sin embargo, pasados más de los 10 días hábiles de tiempo para recibir una respuesta como se establece la ley, no se ha obtenido ninguna contestación por parte del municipio josefino.