La Contraloría General de la República (CGR) publicó un informe de auditoría que se elaboró sobre el Ministerio de Ciencia, Tecnología y Telecomunicaciones (Micitt) y en la Comisión Nacional de Emergencias (CNE) sobre la gobernanza de la ciberseguridad en el sector público, es decir, cómo se coordinan las diferentes instituciones para solucionar problemas.
Lía Barrantes, gerente del Área de Fiscalización para el Desarrollo Sostenible de la CGR, expresó: “Se determinó que la coordinación entre la CNE y el Micitt para gestionar los ciberataques no es propia del estado de necesidad y urgencia declarado, pues se evidencia poca participación de la CNE en la Sala de Análisis de Situación Nacional, aún cuando está llamada a ser líder en la emergencia”.
En cuanto al Micitt, Barrantes manifestó que su gestión de incidentes de ciberseguridad “no es oportuna (…) pues de siete ciberataques materializados en diversas instituciones públicas identificados por la Contraloría General, el MICITT solo tenía conocimiento de uno. Además, tardó 44 días hábiles para informar de los incidentes a las instituciones correspondientes después de que se hicieron de su conocimiento por parte de la Contraloría General”.
La CGR advierte que el Micitt tiene “limitaciones de funciones en las etapas de detección, respuesta y recuperación ante ataques cibernéticos”.
Esto es importante porque la administración pública se dirige a una mayor digitalización que necesita el apoyo de herramientas tecnológicas para prestar sus servicios y produce mucha información.
El documento concluyó que terminado el estado de emergencia “no existe certeza sobre cómo se garantizará la continuidad de la gestión de la ciberseguridad…” y que las debilidades en el sector generan incertidumbre, porque no se tiene claridad acerca de cuántos incidentes han afectado a los sistemas informáticos con el riesgo de alterar los servicios públicos y la seguridad de la información.