Costa Rica | Sobre el Informe de la Contraloría General de la Republica y brecha en ciberseguridad entre instituciones públicas
El martes anterior, el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT) envió una nota a la Contraloría General de la República (CGR) refiriéndose al informe publicado.
Aclarando que cada institución requiere de presupuesto para la inversión de herramientas tecnológicas y recurso humano para tener un nivel óptimo en su gestión de incidentes.
El informe del ente contralor se recibe el 14 de noviembre. Desde el 16 de noviembre, ya se encuentran 12 personas trabajando en el Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT-CR) para una atención en horario 24/7.
Dicho informe, omite las acciones que el MICITT ha gestionado ante el Servicio Civil para la creación de perfiles técnicos especializados en ciberseguridad. Además, no se incluye la solicitud que el MICITT realizó al solicitar un presupuesto adicional aprobado en el 2023, por el Ministerio de Hacienda, para adquirir más herramientas para el CSIRT- sin embargo, no fue aprobado-.
Este centro (CSIRT), cuenta con herramientas adicionales para el monitoreo y no sólo una herramienta como menciona el informe. La CGR omite también que en alianza con la Unión Europea y la Organización de Estados Americanos (OEA) se realizó un estudio de vulnerabilidades y riesgos a más de 17 entidades de servicios críticos en cumplimiento con las buenas prácticas del National Institute of Standards and Technology (NIS).
“El gobierno ha priorizado, por primera vez en la historia, la ciberseguridad de nuestras instituciones públicas, con la declaración de emergencia emitida por el Señor Presidente. El MICITT ha trabajado con alianzas internacionales y las diferentes entidades del Estado, en robustecer nuestro equipo de defensa. Hemos capacitado a más de 7 mil personas del sector público. Hemos sido exitosos en la identificación de alertas y en la contención de eventos, evitando que se conviertan en casos graves. Seguiremos trabajando en la concientización sobre la importancia de la ciberseguridad, prevenir riesgos, contener eventos, y detectar alertas para proteger nuestras instituciones públicas.”, declaró el Ministro del MICITT, Carlos Enrique Alvarado Briceño.
Sobre la sala de análisis de situación se aclara que se reúne cada 15 días, los miércoles y aborda temas de continuidad en el proceso de atención de emergencia, y los procesos de compra por parte de la Comisión Nacional de Emergencia (CNE). Es importante destacar que hemos cumplido con el proceso legal correspondiente de contratación administrativa, entre ellos los planes de inversión solicitados por la CNE y sus procesos. Las reuniones convocadas por la CNE se han realizado en las siguientes fechas: 14 y 31 de agosto, 28 de setiembre, 12 y 26 de octubre, el 9, 23 y 30 de noviembre.
El presidente de la CNE, Alejandro Picado Eduarte dijo “La CNE ha avanzado en la aprobación de los planes de inversión de las instituciones afectadas, según lo estipulado en el Plan General de la Emergencia; con el fin de fortalecer sus capacidades, mejorar los procesos de manejo de información, y la obtención de herramientas adecuadas, para la atención de los eventos que pueda presentarse. Esto, fortalece la capacidad de respuesta del Sistema Nacional de Gestión del Riesgo”.
El informe omite que hemos impartido en 3 meses, más de 15 talleres técnicos especializados con expertos internacionales a más de mil informáticos de instituciones públicas y en alianza con CISCO, a más de 7 mil funcionarios.
No menciona, que en 3 meses se ha realizado el análisis de dominios a más de 23 instituciones, reportando las vulnerabilidades de cada una.
Con las herramientas instaladas se han atendido alrededor de 734 mil alertas a 167 instituciones desde mayo a la fecha.
Tampoco el informe menciona que en este período se actualizaron y publicaron las normas técnicas para la gestión y control de las TICs en el sector público, que son lineamientos de acatamiento obligatorio para el sector y que ahora utiliza el marco CSC 18 del SANS (Institute: Cyber Security Training, Degrees & Resources).
El informe no aborda la corresponsabilidad de las acciones de contención y erradicación por parte de las instituciones, pues el CSIRT detecta, gestiona y asesora.
“El documento del ente Contralor, reiteramos, no menciona que cada institución requiere inversión en herramientas y en recursos humano, para un nivel óptimo en la gestión de incidentes” destacó Paula Brenes, Directora de Gobernanza Digital y Certificadores de Firma Digital.
El informe no se refiere a la palabra “ciberataques”. Es importante aclarar que existen diferentes soluciones para la detección de vulnerabilidades, las cuales, tienen diferentes criterios de evaluación de los niveles de criticidad de las brechas detectadas.
El MICITT no solamente hace un escaneo de vulnerabilidades, si no que, además, realiza acciones para descartar los falsos-positivos y determinar si es un evento o un incidente. Esto con base a buenas prácticas internacionales ISO27035, en el cual se determina como identificar un evento o incidente de acuerdo con su impacto y clasificación.
Seis de los siete casos, a los que hace referencia el informe, son situaciones de “defacement”, un tipo de ataque que cambia la apariencia de las páginas web” acotó la Directora del MICITT.
Entre otras acciones, el MICITT a través de los planes de inversión con la Comisión Nacional de Emergencia, está tramitando la adquisición de herramientas y equipo tecnológico por un monto superior a los 4 millones de dólares.
Además, hemos sido exitosos en la contención de eventos, por ejemplo, con el Ministerio de Salud, que se logró detener a tiempo y se evitó que se convirtiera en un caso grave.