Tecnología

Recomiendan contar con Oficial de Seguridad de Información en la CCSS

Por Erick Murillo
11 de Sep. 2024 | 3:25 pm
erick.murillo@crhoy.com

CRH

Un oficio interno de la Caja Costarricense de Seguro Social (CCSS) recomienda la necesidad de contar con un Oficial de la Seguridad de la Información (CISO, por sus siglas en inglés).

Así consta en el documento de la auditoría AD-ATIC-0085-2024 que literalmente dice lo siguiente:

La Seguridad de la Información debe abordarse de manera integral, asegurando que todos los aspectos, desde la gestión de activos y la protección de datos hasta la formación del personal y la gestión de incidentes, estén cubiertos, de ahí la importancia que la Institución valore la asignación de ese rol de Oficial de Seguridad de la Información, que asegure una gestión adecuada y holística donde tenga la responsabilidad de desarrollar y ejecutar estrategias de seguridad, coordinar la gestión de riesgos, supervisar el cumplimiento normativo, responder incidentes y especialmente promover la cultura de la seguridad de la información.

Lo anterior, asimismo fue externado por el equipo de trabajo conformado para la atención del requerimiento que originó este producto de Auditoría, donde en el oficio GG-DTIC-4270-2024 del 3 de julio de 2024, dirigido al Máster Robert Picado Mora, subgerente de la DTIC, el Ing. Daniel Berrocal Zúñiga, jefe del área de Seguridad y Calidad Informática indicó:

Es importante señalar que, el equipo de trabajo externa la necesidad institucional de establecer una unidad que se encargue de gestionar la gobernanza y crear una cultura hacia la seguridad de la información y los datos institucionales. Con ello, nombrar lo que se conoce como el Oficial de la Seguridad de la Información (CISO), que tendrá la responsabilidad de dirigir al personal de la institución en la identificación, desarrollo, implementación y mantenimiento de los procesos y actividades para reducir los riesgos de la información y los datos institucionales. Igualmente, de responder a los incidentes, establecer normas y controles apropiados, y dirigir en el establecimiento y aplicación de políticas y procedimientos para garantizar la seguridad y privacidad de los datos, entre otros.

Adicionalmente, llama la atención del equipo de trabajo conformado para la atención de asuntos relacionados con la seguridad de los datos y la información, que la mayoría son profesionales en tecnologías de información y comunicaciones, limitándose la participación de la administración, lo que disminuye la observación de estos temas por parte de la misma y la creación de una cultura hacia estos temas tan importantes, como lo es, la seguridad de la información y los datos en los procesos y actividades institucionales, tema que van más allá, de lo que es la ciberseguridad.

La auditoría

La auditoría interna de la Caja con fecha del pasado 12 de agosto y clasificada como de carácter confidencial, hizo una advertencia referente a la gestión de seguridad de la información y ciberseguridad en la institución de acuerdo con los estándares ISO 27001 y el Instituto Nacional de Estándares y Tecnología (NIST).

El documento, del cual crhoy.com tiene copia, está dirigido a Marta Esquivel Rodríguez, jerarca de la Caja y presidenta en calidad de coordinadora del Consejo Tecnológico y Robert Picado, subgerente de la Dirección de Tecnologías de Información y Comunicaciones (TIC).

Entre las consideraciones del reporte señala que la importancia para la CCSS de tener un adecuado control de la seguridad de la información y la ciberseguridad no puede subestimarse en el entorno digital actual.

Agrega que con el aumento de las amenazas cibernéticas, es esencial que la institución adopte medidas proactivas y efectivas para proteger sus datos y sistemas de información, como unos de los principales activos que tiene la CCSS debido a la transformación digital que han tenido los diferentes procesos sustantivos institucionales y donde especialmente se gestiona información de la población, es por esto que el uso de estándares reconocidos internacionalmente, como la ISO 27001 y el Marco de Ciberseguridad NIST, proporciona una base sólida para el desarrollo de políticas y procedimientos de seguridad robustos.

En cuanto a los resultados de la evaluación de los controles según la ISO 27001, se identificó que la institución requiere de acciones inmediatas de mejora en los controles organizativos, de personas y físicos, mientras que existe una oportunidad de mejora en los controles tecnológicos, esto sugiere la necesidad de fortalecer las políticas internas, la formación del personal y la seguridad física, además de continuar mejorando las soluciones tecnológicas utilizadas.

Respecto a los dominios de seguridad, la auditoría considera que la institución tiene oportunidades de mejora en los dominios de identificar, proteger, detectar y recuperar, sin embargo, se requiere atención inmediata en el de responder.

Esto indica que, si bien existen áreas que pueden optimizarse en términos de identificación de riesgos, protección de activos, detección de incidentes y recuperación, la capacidad de respuesta inmediata a los incidentes es una prioridad.

Con relación a las capacidades operativas, se identificaron oportunidades de mejora en el aseguramiento de la seguridad de la información, la gestión de la identidad y del acceso, y la seguridad de los recursos humanos. Se requieren acciones inmediatas de mejora en la configuración segura, continuidad, gestión de amenazas y vulnerabilidades, gestionamiento de eventos de seguridad de la información, gestión de activos, gobernanza, legal y cumplimiento, protección de la información y seguridad física.

Acerca de los resultados de la evaluación de los controles según el Marco de Ciberseguridad NIST, se identifica que aunque hay áreas que están funcionando razonablemente bien, como la gestión de activos y la evaluación de riesgos, hay otras que necesitan mejoras significativas, especialmente la gobernanza y la estrategia de gestión de riesgos, asimismo la capacidad de recuperación para asegurar que la institución pueda restaurar rápidamente sus operaciones normales después de un incidente de ciberseguridad, y la mitigación y la mejora continua.

"Considerando los resultados obtenidos, esta Auditoría hace una observación especial, de la importancia de que la institución asuma la seguridad de la información como un componente crítico para la integridad y resiliencia organizacional, si bien se han identificado y se están implementando acciones en el ámbito de la ciberseguridad, es esencial que la seguridad de la información reciba una atención especial. La seguridad de la información no solo abarca la protección contra amenazas cibernéticas, sino también la salvaguardia de la confidencialidad, integridad y disponibilidad de los datos a través de controles físicos, administrativos y tecnológicos.

A pesar de los esfuerzos y mejoras en la ciberseguridad en la institución, la seguridad de la información no ha recibido la misma atención y esto se refleja en las respuestas dadas por el equipo conformado para la atención de los instrumentos acá expuestos donde en reiteradas ocasiones hacen alusión a la ausencia del rol que asuma la dirección de esta materia. Esta disparidad puede dejar vulnerabilidades significativas en los procesos y sistemas de la institución, exponiendo a la CCSS a riesgos innecesarios", concluye en sus resultados.

Se solicitó una posición sobre el informe a la Caja y se está a la espera de una respuesta.

Comentarios
0 comentarios