Viceministro de Tecnología: 25% de entidades no alcanzan una nota de 7 en seguridad informática

Costa Rica no es un objetivo de los hackers ni en la guerra de ciberataques. Los incidentes van de la alteración de sitios web al fraude contra los usuarios. Pero una de cada cuatro de las 342 instituciones del país no saldría bien calificada en seguridad informática y manejo de los datos de los ciudadanos y las empresas.

Sanders Pacheco, viceministro de Ciencia y Tecnología y Coordinador Nacional en Ciberseguridad, explicó que la mayor vulnerabilidad se da especialmente en entidades alejadas y pequeñas, incluyendo municipalidades, pasa por la falta de personal especializado y el comportamiento de los funcionarios y usuarios.

El funcionario insistió que es necesario que las universidades formen especialistas en la materia y que las acciones del Consejo Consultivo de Ciberseguridad, que empezó a operar a finales del 2016, deben dirigirse a establecer una estrategia para la protección frente a ataques externos e internos y para la capacitación de los usuarios.

Asimismo reiteró que las entidades pueden recibir el apoyo del Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT-CR), perteneciente al Ministerio de Ciencia, Tecnología y Telecomunicaciones (Micitt).

¿Cuál es el panorama de seguridad informática que encontramos en las instituciones públicas?

Hay una gran diversidad. Tenemos al Instituto Costarricense de Electricidad (ICE), al Ministerio de Hacienda, a la Caja Costarricense del Seguro Social, a la Refinería Costarricense de Petróleo (Recope) y a los bancos.

También a municipalidades como las de San José, Alajuela, Curridabat, Belén y Cartago que tienen un desarrollo informático mayor.

Y tenemos otras que no están en ese rango porque no tienen presupuesto, no tienen personal capacitado y hay que ayudarles.

¿Las instituciones tienen el personal preparado y especializado para ciberseguridad?

Al Micitt nos dieron tres recursos, los estamos formando. Necesitamos que la academia, pública y privada ayude. En seguridad informática el personal es muy especializado. No solo es saber programar.

Se necesita tener intuición para ver dónde está el delito o un ataque, si es interno o externo y si los equipos y sistemas sirven.

Pero si es bueno en ciberseguridad viene una transnacional y le ofrece el doble o el triple de salario y se lo lleva. Es una dinámica del mercado.

El informe del Micitt en 2012 habla de que la mayoría de los ataques en ese entonces eran virus. ¿Sigue ese panorama o se han detectado ataques tipos ransomware para secuestro de información?

No hemos tenido ataques a ese nivel. Lo que sí ocurre, y es conocido, es que le cambien la página web de una institución.

¿Están preparadas las instituciones para cuando tienen un ataque de ese tipo?

Sí, cuando tenemos un ataque masivo, como uno de denegación de servicios.

¿Y si es secuestro de datos?

Se hace un análisis, porque tenemos dos posibilidades: que sea interno o que hay una intrusión. Las entidades deben tener actualizados los antivirus, su plataforma de parcheo, el sistema operativo, la web. Debe haber una cultura de estar mejorando continuamente.

¿Las instituciones lo están haciendo?

Han ido respondiendo. Por lo menos Gobierno Central. Ahora tenemos que evaluar el resto. Son 342 instituciones. No hay un sistema invulnerable. Los ataques son cada vez más sofisticados.

Hay una guerra cibernética entre los grandes. En América Latina no se ha dado un ataque que, por ejemplo, se traiga abajo el sistema eléctrico. El ICE, Recope y Acueductos tienen sus unidades para asegurar sus servicios.

¿Están bien preparadas?

Hay que mejorar y formar especialistas. El problema es dónde los formó aquí en Costa Rica. O sacan la maestría en UCenfotec o hay que convencer a la gente en invertir en cursos caros: uno básico de ciberseguridad es de más de $1.000. Claro que es mejor invertir que el costo de un ataque.

¿Cuál es la principal debilidad en términos de procesos y de prácticas en ciberseguridad en las instituciones públicas?

La cultura. Se nos olvida que hay que estar haciendo respaldos y los usuarios postean donde sea. Igual pasa con las instituciones públicas y privadas, que piensan que eso no les ocurrirá, hasta que les ocurre. Conforme Internet de las cosas vaya aumentando, también aumentan las posibilidades de vulnerabilidad.

Las instituciones están evolucionando a servicios en la nube. En teoría están con proveedores que les garantizan la seguridad de la información…

Hay datos que no se pueden exportar fuera del país.

¿Se están preparando en seguridad informática, dado que una de las tendencias es atacar a los proveedores de servicios en la nube?

Sí, ahí entra ese otro rango de operadores especializados (ADN Datacenter, el datacenter del ICE, Codisa) cuya responsabilidad es también asegurar que la información no sea violentada y, por la ley de protección de datos, que tampoco alguien la robe y la venda a un tercero.

¿Hay alguien que esté auditando a esos operadores o proveedores de servicio?

No. El que le compra el servicio tiene la responsabilidad de estar verificando la seguridad de la información. Dentro de los procesos a futuro se podría tener un consorcio y ojalá un sistema nacional de gestión de datos.

Hay instituciones que lo tienen, como los operadores de telecomunicaciones. Necesitamos algo que vea la parte civil y comercial. Tenemos un asesor surcoreano hasta abril que nos ayuda a diseñar el proyecto.

Las entidades compran equipos y sistemas de seguridad informática, pero los subutilizan y luego van y compran más tecnología para resolver situaciones que podían cubrirse con lo antes comprado. ¿Se está ordenando las compras?

A finales de noviembre pasado se nos dió la rectoría de gobernanza, que incluye la seguridad cibernética. La nueva estructura –que debe ser aprobada por el Ministerio de Planificación– será la responsable de crear la normativa, políticas y procedimientos.

En materia legal también tenemos algunos vacíos. Una de las tareas es hacer la normativa e implementar un plan estratégico de tecnología de la información nacional, que en este momento no existe.

Algunas instituciones han expuesto información de los usuarios que no son de dominio público. ¿Hay consciencia sobre la protección de los datos?

Con la Comisión de Gobierno Abierto se ha hablado de esto y de cumplir la norma, que es la que indica cómo brindar la información. Hay datos que no son transferibles como en salud o en registro de la propiedad.

El informe del 2012 señalaba que a las instituciones les faltaba monitoreo de consumo de información, planes de continuidad y seguimiento al cumplimiento de los proyectos. ¿Se ha avanzado o seguimos igual?

Se ha avanzado en algunas instituciones. De esas 342 no puedo decir que las 342 lo tienen. Sí hemos hecho un esfuerzo para que las grandes tengan planes de continuidad. La idea es trabajar con la Contraloría para generar la normativa y mejorar los procesos de cara al público.

Si pudiéramos calificar la situación de seguridad informática del Estado, de 1 a 10, ¿cómo estamos?

Como un 8,5 en promedio. Hay algunas que están alejados del ranking.

¿Qué porcentaje de instituciones están por debajo del 7?

Podemos decir que un 25%. Sobre todo las pequeñas. Hay que recordar que hay instituciones adscritas a Ministerios, semiautónomas, autónomas y otras incluyendo, organizaciones no gubernamentales ligadas a instituciones. También municipalidades, algunas que están muy alejadas.