Antes de que se diera el hackeo a los sistemas informáticos de la Caja Costarricense de Seguro Social (CCSS) el pasado 31 de mayo, la Dirección de Tecnologías de Información y Comunicaciones recibió 37 oficios e informes de Auditoría Interna con advertencias y propuestas de mejora en cuanto a ciberseguridad y seguridad de las Tecnologías de la Información y la comunicación (TIC).
Así se desprende de un oficio en manos de UNIVERSIDAD, el cual fue enviado el pasado 31 de mayo por parte de Auditoría Interna al gerente general, Roberto Cervantes, al subgerente a.i. de Tecnologías de Información y Comunicación, Roberto Blanco, y a la jefa del Área de Seguridad y Calidad Informática de la institución, Mayra Ulate.
El informe fue solicitado por el dirigente, Juan Carlos Durán Castro, del Sindicato de Funcionarios Públicos de Costa Rica (SIFUPCR) al auditor interno de la Caja, Ólger Carrillo Sánchez. La solicitud fue hecha para hacer una investigación “pausada e inteligente sin que se convierta en una cacería de brujas”, comentó Durán.
“Si bien es cierto la Caja ha formulado acciones relacionadas al tema, este Ente Fiscalizador ha sido insistente en diferentes momentos para señalar a la Administración las oportunidades de mejora relacionadas con la disponibilidad de estrategias avanzadas de ciberseguridad, previo a la materialización del riesgo y recientemente dando énfasis a las consideraciones pertinentes bajo el contexto actual”, se lee en el oficio enviado por la Auditoría Interna, en el cual se recapitulan algunas recomendaciones hechas a la institución desde el año 2014.
La Auditoría Interna envió este oficio a las autoridades de la CCSS luego de que el pasado martes 31 de mayo un grupo de hackers perpetrara un ataque cibernético a los sistemas informáticos de la institución, y afectando 800 servidores y 9.000 terminales de usuario.
En la misiva, la Auditoría pidió a las autoridades de la CCSS que se adopten las medidas pertinentes para así enfrentar con éxito los eventos adversos que puedan presentarse, así como informar a ese ente sobre las acciones ejecutadas para la administración del riesgo y atención de la situación comunicada, en el plazo de un mes a partir del recibido de este documento.
Observaciones
En el oficio, el Órgano Fiscalizador recordó a las autoridades observaciones detalladas en los oficios AS- ATIC-052-2022, AD-ATIC-038-2022, AD-ATIC-039-2022, AD-ATIC-046-2022, todos relacionados con la ciberseguridad en la institución.
Entre estas la Auditoría recordó que en materia de seguridad es innegable la premisa de monitorear los activos tecnológicos de la institución, equipo, red software e información, entre otros por lo que disponer de una primera línea de defensa dedicada en tiempo completo contra cualquier incidente o intruso resaltará la función de buscar detectar y evitar ataques de forma proactiva sin afectar la contingencia y continuidad de los servicios.
Asimismo le indicó que se debe velar por el cumplimiento de políticas, normas, protocolos y directrices relacionadas con seguridad informática.
La Auditoría recapituló también que los planes de continuidad, contingencia y/o de emergencia en el ámbito tecnológico y de negocio tienen un gran “impacto” ante un siniestro, y que se debe fortalecer la arquitectura de la plataforma tecnológica institucional para así asegurar la prestación de servicios conforme a criterios de disponibilidad, confiabilidad y seguridad de la información en todos los sistemas institucionales críticos, a partir del desarrollo de los entornos lógico, físico, geográfico y tecnológico necesarios.
También recomendó gestionar según corresponda la participación de contratistas o terceros en la búsqueda de soluciones o acompañamiento en la implementación de soluciones aptas a las necesidades de los usuarios.
“A nivel técnico nos permitimos reiterar algunas recomendaciones básicas como identificar los activos críticos que necesitan protección inmediata; mantener actualizado el software vinculado a la plataforma tecnológica principal y equipamiento local; mantenerse informado de las vulnerabilidades descubiertas en hardware o software y las cuales puedan ser objeto de fallo en la seguridad informática; verificar la eficiencia y eficacia de los planes de emergencia establecidos a nivel institucional”, recomendó la Auditoría Interna a las autoridades de la CCSS.
“Ante el tipo de ataque ransomware, se debe asegurar a todos los equipos y sus sistemas operativos bajo la premisa de mantenerlos actualizados con los últimos parches de seguridad, evitar aplicaciones qué se tornen innecesarias y que puedan generar dudas en su origen”, agregó el ente fiscalizador, el cual también aconsejó implementar factores de doble autenticación en todos los aplicativos que manejan información sensible.
De igual manera, la Auditoría le recordó a la CCSS que proyectar y gestionar inversión en seguridad es rentable para responder de forma ágil ante incidentes relacionados con ciberseguridad.
El órgano auditor aprovechó la misiva también para recordarle a la Unidad de Tecnología de Información que basado en la Política de seguridad de información/ciberseguridad, “debe establecer los mecanismos necesarios para asegurar una protección razonable de los activos tecnológicos, activos de información institucionales, dando énfasis en su clasificación como elemento definitorio para establecer los requerimientos de preservación de la confidencialidad, integridad y disponibilidad de la información”.
A esta tarea se suma el deber de propiciar un ambiente seguro, considerando la seguridad física y ambiental como un componente básico en el esquema de protección requerido para prevenir el acceso físico no autorizado, daños e interferencia a la información y los activos de información de la institución.
“Los procesos institucionales deben considerar los requerimientos de seguridad de la información, de forma tal que proteja y propicie el cumplimiento de los objetivos institucionales, como las responsabilidades que impone el ordenamiento jurídico, normativa vigente y demás
compromisos contractuales adquiridos por la institución”, se lee en el oficio.
Investigación
Precisamente la semana anterior, el presidente de la República, Rodrigo Chaves, pidió investigar y sancionar a los responsables de la Dirección de Tecnologías de la Información de la CCSS, “a quienes se demuestre que actuaron de manera negligente e irresponsable”.
“Recibimos un informe de los ataques cibernéticos a la Caja, y desafortunadamente la afectación es seria, es severa. Le he pedido al señor presidente de la CCSS que además de actuar inmediatamente y de acuerdo con el decreto de emergencia que firmó el Gobierno, hay que investigar y sancionar a los responsables de la dirección de tecnología de la CCSS a quienes se demuestre que actuaron de manera negligente e irresponsable, porque en guerra avisada no debió haber muerto soldado”, externó Chaves.
El mandatario indicó que a pesar de que el país estaba enterado de otros ataques a instituciones públicas, la CCSS -teniendo disponibilidad de licencias para proteger equipos- solo las instaló en tres equipos.
Tras el ataque, la institución optó por desconectar sus equipos. Hasta el momento no se ha anunciado cuándo se podrían restaurar los sistemas informáticos.
