Un informe de la Contraloría General de la República (CGR) indica que tras analizar 267 instituciones públicas, se determinó que 190 (71 %) tiene niveles de ciberseguridad inicial o básico, mientras que en el 18,7 % el nivel es intermedio y solo en el 10,1 % es avanzado.
“El sector financiero es el que alcanza el mayor nivel, lo que refleja la necesidad de que las instituciones públicas apliquen prácticas para guiar el sistema de gestión de seguridad de la información, que contribuyan a fortalecer el resguardo de la información y aseguren la continuidad del servicio público”, indica el informe.
Lea más: Costa Rica invertirá 37 millones de dólares en equipos contra ciberataques
La CGR señaló que las instituciones públicas “requieren adaptarse a la realidad actual que les enfrenta a un entorno tecnológico dinámico que implica gestionar las amenazas de ataques cibernéticos cada vez más frecuentes”.
En ese sentido, el informe concluye que son necesarias más acciones concretas para aplicar prácticas de seguridad de la información y que las instituciones, de acuerdo con su complejidad y disponibilidad de recursos, establezcan una hoja de ruta que considere las brechas actuales en esta materia.
Ciberseguridad es urgente para instituciones públicas
Otros puntos de mejora es el de implementar prácticas para identificar y clasificar información crítica y sensible, la ejecución de pruebas de funcionalidad de los respaldos de información de manera periódica, así como contar con planes basados en análisis de impacto al negocio y de recuperación de incidentes.
El informe también llama la atención acerca de que únicamente el 12,4 % de las instituciones dispone de un programa de concienciación del personal sobre seguridad de la información, los controles para protegerla, las funciones del personal y la promoción de conciencia sobre el riesgo de no seguir los procedimientos y políticas.
Los ataques de 2022
A partir de abril pasado, Costa Rica sufrió durante varios meses las consecuencias de ciberataques a diversas instituciones públicas por parte de los grupos de hackers denominados Conti y Hive.
La institución más afectada fue el Ministerio de Hacienda, que tardó dos meses para restablecer las plataformas informáticas para la declaración y pago de impuestos, y la de aduanas.
Otra seriamente afectada fue la Caja Costarricense del Seguro Social que se vio obligada a desactivar durante unos dos meses sus sistemas, incluido el del expediente digital que se utiliza para la atención de pacientes en todos los centros de salud públicos del país, lo que obligó al personal a trabajar en papel.
El Gobierno declaró en mayo pasado una emergencia nacional de ciberseguridad, con el fin de movilizar recursos y aplicar acciones de manera más ágil en contra de los ataques.
Capacitaciones sobre ciberseguridad
Desde entonces las autoridades han venido implementando iniciativas sobre ciberseguridad que abarcan desde capacitaciones de personal y alianzas estratégicas con empresas y entes especializados, hasta la actualización de normativas y procedimientos de prevención y respuesta.
En octubre pasado, el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT) informó que invertirá 3,7 millones de dólares en la compra de equipos para el Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT-CR), licencias para la mitigación de ransomware, herramienta filtrado DNS, sitio web y contratación de personal.