DFOE-CAP-OS-00001-2023
Opiniones y sugestiones: Emergencia Cibernética: obstáculo para la transformación digital y el bienestar social; retroceso para la transparencia y la rendición de cuentas
« Los efectos de los ciberataques trascienden la barrera del mundo cibernético y tienen afectaciones palpables para el personal de las instituciones, el sector productivo, la ciudadanía, y en general para el país. »
Entérese rápidamente
Señora Marta Acosta Zúñiga, Contralora General de la República sobre DFOE-CAP-OS-00001-2023. Emergencia Cibernética: obstáculo para la transformación digital y el bienestar social; retroceso para la transparencia y la rendición de cuentas.
En un complejo contexto de emergencia por ataques cibernéticos, la Contraloría General presenta un documento de Opiniones y Sugestiones como aporte para la reflexión sobre los costos y efectos para la Hacienda Pública y para la ciudadanía de este fenómeno, además de ser insumo técnico para la valoración de riesgos. La gestión adecuada de la ciberseguridad es un proceso fundamental en la transformación digital, así como para el desarrollo y fortalecimiento de una cultura de información, el rol de las personas en el resguardo de la información, el reconocimiento de la información como un activo necesario para la transparencia y la rendición de cuentas en el sector público.
En este sentido, es fundamental que la operación del Estado se organice en torno a un enfoque preventivo en ciberseguridad, que promueva la cultura de la información y la gestión de riesgos, considerando las asimetrías existentes entre los diferentes sectores. Además, es importante que se cuente con un modelo de gobernanza moderno y un marco normativo adaptado a la realidad actual, superando los enfoques obsoletos que consideran la gestión de la información como una actividad meramente transaccional o exclusiva de la gestión documental. De esta manera, se logrará fortalecer la seguridad de la información de forma más integrada y orientada a largo plazo, en consonancia con las necesidades de la ciudadanía y de la planificación estratégica.
Relevancia
La transformación digital constituye una oportunidad para promover mejoras en el bienestar de la ciudadanía, la experiencia de las personas usuarias de los servicios públicos, la innovación en los mecanismos de rendición de cuentas y la transparencia de las organizaciones; sin embargo, este proceso de cambio implica nuevos riesgos en términos de la seguridad cibernética. Es por ello que la ciberseguridad se ha convertido en una condición imprescindible para una transformación digital exitosa.
Principales resultados
Las amenazas cibernéticas se han incrementado considerablemente en los últimos años. Particularmente, durante el año 2022, el sector público costarricense sufrió una serie de ciberataques masivos que causaron graves daños a la Hacienda Pública y a la ciudadanía en general.
Dentro de los costos asociados a estas situaciones se reconocen tres tipos: los costos de anticipación a un ciberataque, los costos de respuesta ante el evento y los costos relativos a las consecuencias que provocan. En esta línea, los costos de respuesta se estiman en ₡15.949 millones, sin embargo, las consecuencias negativas se extendieron mucho más allá del ámbito financiero.
Por su parte, los costos asociados a consecuencias corresponden a pérdidas de eficiencia interna en las instituciones, pues la interrupción de los sistemas informáticos afectó las labores ordinarias de al menos 45.535 personas funcionarias, además, afectó 49 tipos de trámites y servicios; provocó pérdida de ingresos institucionales; así como la pérdida de información, o bien, su calidad o disponibilidad, lo cual incidió en la toma de decisiones, la transparencia y la rendición de cuentas.
Los efectos negativos también alcanzaron a la ciudadanía, en primera instancia, por la interrupción de trámites y servicios, tiempos de respuesta más largos, alternativas más costosas, así como la pérdida de confianza hacia la institucionalidad y hacia el uso de la tecnología.
En cuanto a los costos de anticipación, es preciso transformarlos en una inversión eficaz para evitar la materialización de futuros ciberataques, lo que reduciría los costos financieros y protegería la integridad y el buen funcionamiento de las instituciones públicas y de los servicios que prestan. Esto es relevante considerando que dichos costos pueden ser una fracción del costo de recuperación.
Por otra parte, el sector público se enfrenta a niveles considerables de riesgo en materia de ciberseguridad. Según un análisis realizado por la Contraloría General, el 68,5% de las instituciones públicas cuentan con niveles medio o alto de riesgo en ciberseguridad. Esta situación se ve agravada por la presencia de marcadas asimetrías sectoriales, tanto en lo que se refiere a la amenaza potencial de los ciberataques como a los factores que inciden en la vulnerabilidad institucional.
Finalmente, otros aprendizajes identificados comprenden: considerar la ciberseguridad como proceso fundamental en la transformación digital, desarrollar y fortalecer una cultura de información, el rol de las personas en el resguardo de la información, el reconocimiento de la información como un activo y la adopción de un enfoque colaborativo para crear espacios de aprendizaje.
Recomendaciones
Se dirigen recomendaciones a la Asamblea Legislativa en atención a sus competencias de formación de leyes, control político y aprobación presupuestaria:
Se recomienda a las comisiones legislativas que analizan temas vinculados a esta materia que el análisis de iniciativas de ley se haga tomando en consideración los roles de la ciberseguridad en el marco de la transformación digital; para la transparencia y rendición de cuentas, reconociendo su papel en el fortalecimiento de las bases democráticas del Estado; la protección de derechos de las personas y la provisión segura de servicios públicos.
Se recomienda la revisión y modernización del marco normativo, particularmente en el campo de control interno, para superar esquemas obsoletos que posicionan la gestión de la información como una actividad meramente transaccional o exclusiva de la gestión documental.
Se recomienda al Plenario Legislativo, particularmente a la Comisión de Asuntos Hacendarios, no eliminar o disminuir las inversiones en ciberseguridad que se realizan desde el Presupuesto de la República, en la medida de lo posible, y procurar la habilitación de recursos financieros de contingencia que permitan dar una respuesta efectiva ante posibles ataques cibernéticos que se materialicen en el futuro.
Sumado a lo anterior, se dirigen recomendaciones a la administración activa para modernizar el modelo de gobernanza en ciberseguridad, incorporar las amenazas cibernéticas en la gestión de riesgos, fortalecer la cultura y el liderazgo hacia la toma de decisiones basada en información y priorizar la seguridad de la infraestructura crítica.
Abreviaturas / Siglas de la sección
CCSS Caja Costarricense del Seguro Social
CGR Contraloría General de la República
CNE Comisión Nacional de Prevención de Riesgos y Atención de Emergencias
CSIRT-CR Centro de Respuesta de Incidentes de Seguridad Informática
ENPSP Encuesta Nacional de Percepción de los Servicios Públicos
FNE Fondo Nacional de Emergencias
JASEC Junta Administradora del Servicio Eléctrico de Cartago
OCDE Organización para la Cooperación y Desarrollo Económicos
ONU Organización de las Naciones Unidas
MICITT Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones
MTSS Ministerio de Trabajo y Seguridad Social
Contenido de la sección
