La Contraloría General de la República (CGR) encontró “ausencia de gestión de riesgos en ciberseguridad” en los sistemas de información de los Centros de Educación y Nutrición y de Centros Infantiles de Atención Integral (CEN-CINAI) y su directora ha sido notificada para que diseñe un cronograma que las corrige.
La Dirección de CEN-CINAI es órgano de desconcentración mínima del Ministerio de Salud y los sistemas analizados por la Contraloría son críticos para garantizar el funcionamiento del órgano y manejan información con “diversos grados de sensibilidad” como datos personales relativos a las personas menores de edad y mujeres embarazadas (en ocasiones también menores de edad) que atienden, así como de su núcleo familiar, señala el órgano contralor.
“(…) la Dirección Nacional de CEN CINAI no incorpora los riesgos de ciberseguridad en su gestión de riesgos, por lo cual no tiene identificado el impacto que podrían tener en los procesos sustantivos de la institución, ni cuenta con medidas para administrarlos” dice al CGR en su informe.
La Contraloría también señala que la institución “carece de una ruta a seguir ante una posible vulneración a su ciberseguridad, así como de mayores afectaciones ante un ciberataque” lo que podría implicar que ante una amenaza se pierda más información, se inhabiliten los servicios por más tiempo y los costos de la medidas correctivas sean más costosas.
Como parte del análisis, la Contraloría ejecutó pruebas de seguridad manuales en el entorno web de la Dirección Nacional de CEN-CINAI y “dada la sensibilidad de los hallazgos, se remitió un oficio de acceso restringido a esa”.
La CGR también señaló un manejo inapropiado de las contraseñas dentro del directorio del órgano, aunque también dijo hay aspectos positivos, como la activación de un doble factor de autenticación.
“(…) las situaciones determinadas se deben a que la Dirección Nacional de CEN CINAI no ha identificado ni definido, de manera precisa, las condiciones mínimas de seguridad de los sistemas de información, las acciones requeridas para implementarlas, así como los responsables. Lo anterior, de manera que aseguren su resguardo y la continuidad en la prestación de los servicios” menciona el informe.
