Los sistemas informáticos de 28 (12%) de 226 instituciones del sector público (incluyendo municipalidades) han sido desarrollados por terceros y no contemplan aspectos de seguridad. Así lo señaló el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) este lunes por la mañana, luego de visitar a finales de mayor estas entidades y aplicar un instrumento de recopilación de información en seguridad digital.
Además de este dato, el Micitt también encontró que del total de instituciones analizadas, 188 (83.19%) no cuentan con personal especializado en Ciberseguridad que administren los sistemas, que 41 (18.14%) no realizan copias de seguridad de los sistemas que tienen alojados por un tercero, y que de los sistemas que se encuentran administrados por terceros el 28.8% (65 instituciones) no cuentan con un registro de la actividad que realizan los administradores en sus sistemas.
Asimismo, 99 (43.8%) de las instituciones no han implementado doble factor de autenticación en sus sistemas; 88 (38.9%) tienen sistemas operativos fuera de soporte, sin embargo, ese número es mayor ya que muchas indicaron que solo tenían unos pocos equipos, por lo que el porcentaje aumenta a casi un 50%; y 94 (41.6%) no han realizado auditorías de seguridad en sus servidores, entre otros hallazgos.
El ministro del Micitt, Carlos Alvarado, indicó que el Grupo ICE brindó apoyo logístico en realizar la visita a las instituciones sobre todo a los gobiernos locales más alejados. Además mencionó que toda la información recopilada está siendo analizada y procesada por profesionales de este ministerio, y que será un insumo para las medidas de protección que se están estableciendo en el Plan de Emergencia.
Trabajo con universidades estatales
Durante la mañana de este miércoles el Micitt anunció también que trabajará de manera conjunta con el Consejo Nacional de Rectores (Conare) y las universidades estatales en temas de ciberseguridad.
El anuncio se da una semana después de que el ministro solicitara al Conare La posibilidad de colaborar con el fortalecimiento del Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT-CR) mediante el conocimiento y las herramientas tecnológicas que disponen las universidades estatales para el control de los ciberataques.
“Nos interesa muchísimo trabajar con las universidades estatales este tipo de iniciativas conjuntas porque demuestra la capacidad que tiene el talento humano costarricense en transferencia e innovación, además del trabajo con la sociedad civil que sin duda son prioridad para el Gobierno de la República”, externó el ministro Carlos Alvarado.
Además, ante la situación de emergencia nacional de ciberseguridad y la solicitud del Ministerio, el Consejo Nacional de Rectores acordó encargar a la Comisión de Directores de Tecnologías de Información y Comunicación, el análisis del decreto Nº 37052-MICITT, referente a la creación del CSIRT-CR para definir necesidades y posibles aportes que las universidades estatales puedan realizar en la ruta de su fortalecimiento.
También se acordó conformar un equipo de trabajo con los miembros de la Comisión de Directores de Tecnologías de Información y Comunicación y en conjunto con representantes del MICITT, para desarrollar una estrategia en la búsqueda de soluciones de la emergencia de ciberseguridad que enfrenta el país y manifestar el apoyo total de las universidades estatales.
“El país puede contar con la universidad pública para la atención de los diferentes intereses nacionales. La función de las universidades estatales es colaborar con el país a través de su talento humano especializado, por esta razón nos sumamos a los esfuerzos y coadyuvando con el MICITT para la atención de los diferentes problemas nacionales”, indicó el presidente de CONARE y rector de la Universidad Estatal a Distancia (UNED), Rodrigo Arias.
En lo que va del año, varias instituciones públicas han visto vulnerados sus sistemas informáticos, algunos de los casos con más repercusiones son el Ministerio de Hacienda y la Caja Costarricense de Seguro Social (CCSS). Esta última entidad aún no ha podido restablecerlos por completo, pues el Expediente Digital Único en Salud continúa desconectado.
