Plataforma Bono Proteger: Convenio, Acuerdos de nivel de servicio, roles y funciones

El objetivo de la auditoría es determinar si la gestión de los controles aplicados en la plataforma tecnológica y la seguridad sobre la información almacenada, utilizada para la puesta en marcha del Bono Proteger impulsado por el Ministerio de Trabajo y Seguridad Social (MTSS) y el Instituto Mixto de Ayuda Social (IMAS), se ajusta al marco normativo jurídico y técnico aplicable.

Asimismo, el objetivo de este reporte es determinar si los acuerdos de niveles de servicio y confidencialidad de la plataforma tecnológica implementada para la gestión del Bono Proteger; y la asignación de roles y funciones para la correcta incorporación del personal en el uso de dicha plataforma; se ajusta al marco normativo jurídico y técnico aplicable.

El presente reporte abarca los aspectos relacionados con la gestión administrativa del MTSS en cuanto a la asignación de roles y definición de acuerdos de nivel de servicio de la plataforma que soporta el Bono Proteger. Se evaluó la información obtenida a través de entrevistas y solicitudes de información escritas al MTSS y a la Comisión Nacional de Emergencia, en el período comprendido entre el 15 de marzo y el 17 de julio de 2020. Este es el primer reporte de la auditoría en ejecución; durante el proceso de fiscalización se emitirán productos similares y un informe final.

Mediante Decreto Ejecutivo N° 42227-MP-S del 16 de marzo de 2020, se declaró estado de emergencia en todo el territorio de la República de Costa Rica, debido a la situación de alerta sanitaria provocada por la enfermedad COVID-19. Ello implicó el establecimiento de medidas para contener la propagación del virus y salvaguardar la vida de las personas. Esto ha provocado un cambio en los hábitos de consumo de los habitantes y una disminución de la actividad económica y, a su vez, de los ingresos de gran cantidad de personas trabajadoras. Ante ello, el Gobierno diseñó un programa de ayudas económicas denominado Bono Proteger^[1] , el cual consiste en la entrega temporal de un subsidio económico, según el cambio en la condición laboral o reducción de ingresos a raíz de la emergencia nacional.

La plataforma tecnológica está conformada por la página web a través de la cual las personas solicitan este subsidio y también facilita la herramienta que permite a las autoridades responsables determinar el cumplimiento de las condiciones de los solicitantes y asignar la prioridad con la que deben entregarse los bonos. El desarrollo e implementación de dicha plataforma fue realizado por una empresa privada, en el marco de una donación ofrecida a la administración pública^[2]. La plataforma fue lanzada el 9 de abril de 2020 y al 8 de julio ha recibido alrededor de 963 mil solicitudes y por medio de ella la administración ha informado sobre el otorgamiento del Bono a más 533 mil personas^[3].

Este reporte constituye un insumo para la identificación e implementación oportuna de mejoras, en aspectos administrativos y técnicos de la plataforma tecnológica para la gestión del Bono Proteger, con el fin de contribuir al aseguramiento de la confidencialidad de la información, el establecimiento de criterios para medir los niveles de servicio y el establecimiento pertinente de roles y funciones, en un contexto de emergencia.

Una gestión administrativa apegada a buenas prácticas de control interno promueve que las fases de autorización, aprobación, ejecución y registro de una transacción, así como la custodia de activos, estén distribuidas entre las unidades de la institución, de modo tal que una sola persona o unidad no tenga el control de la totalidad de ese conjunto de labores, o bien en situaciones excepcionales se debe fundamentar la causa del impedimento y deben implantarse los controles alternativos que aseguren razonablemente el adecuado desempeño de los responsables^[4].

Cuando los procesos y transacciones son realizados por medios tecnológicos, las decisiones deben contar con asesoría, tanto de las áreas de negocio como del área técnica^[5], de manera que se mantenga la coordinación y comunicación con áreas internas y externas^[6].

En el caso de la plataforma tecnológica en la cual se gestiona el Bono Proteger, se desarrolla e implementa en coordinación de la Dirección Nacional de Empleo (DNE) y una empresa privada, como se estableció en el Decreto Ejecutivo N° 42305- MTSS - MDHIS. El director de la DNE es el responsable de la administración de la base de datos generada para el Bono Proteger. Asimismo, dicha Dirección ha mantenido el contacto directo con la empresa, se ha encargado de la supervisión del proceso de desarrollo y validación del proceso ejecutado por el sistema.

No obstante, a pesar de tratarse de asuntos altamente relacionados con tecnologías de información, a la fecha no se ha incorporado al Departamento de Tecnologías de Información y Comunicaciones (DTIC) del MTSS como contraparte técnica, de manera que no ha participado en el desarrollo, pruebas y puesta en marcha de la plataforma. Asimismo, dicho Departamento no ha participado en el desarrollo y aprobación de pruebas de calidad en la solución tecnológica, ni otorgó criterio técnico para la administración de la base de datos que soporta el sistema y aún no participa en su administración.

Dicha situación limita la capacidad del Ministerio para validar que el manejo de la base de datos se realice conforme al Protocolo de Manejo Responsable de Datos del MTSS^[7] y a la Ley Nº 8968 de Protección de la Persona frente al tratamiento de sus datos personales^[8].

Es importante mencionar que la Auditoría Interna del MTSS, por medio del informe N°DGA-AMTSS-IESP-3-2020^[9], emitió recomendaciones para que la administración involucre al DTIC en los procesos tecnológicos relacionados con el Bono Proteger y se establezcan los niveles de autorización, aprobación, ejecución y registro de todas las transacciones que garanticen la segregación de funciones incompatibles en torno a ese proyecto. Dichas recomendaciones están en proceso de atención^[10].

Adicional a los resultados obtenidos por la Auditoría Interna del MTSS, están pendientes de definir las condiciones requeridas para el alojamiento de la plataforma, una vez finalizado el alcance de los recursos destinados para el otorgamiento de los Bonos Proteger, así como el eventual uso que se le daría^[11], dado que el fin para el que fue creada está sujeto a que se mantengan las circunstancias que motivaron el otorgamiento del subsidio y a la disponibilidad de recursos^[12]. En este marco, el DTIC ha informado de gestiones realizadas desde mayo del presente año, para la conformación de una comisión integrada por personal de dicho Departamento, para la transición de la plataforma al finalizar la gestión del Bono Proteger. No obstante, dichas gestiones no han fructificado, ya que no se ha definido el detalle de las necesidades de recurso humano y de infraestructura (hardware, software y comunicaciones) para alojar, mantener en operación, dar soporte y seguimiento a la plataforma una vez sea entregada la herramienta y las bases de datos al MTSS^[13].

La custodia de toda la información y datos generados relacionados con el trámite del Bono Proteger, es responsabilidad del MTSS, lo cual reafirma la necesidad del DTIC^[14] de conocer los requerimientos técnicos utilizados actualmente que le permitan prepararse y desarrollar un ambiente seguro, tanto de infraestructura como de recurso humano, para albergar la plataforma y la información que reciba por parte de la empresa privada^[15].