Al igual que toda transformación social, la digitalización implica riesgos, en este caso, riesgos cibernéticos. En tanto una institución tenga una mínima parte de su información y de sus procesos en el ciberespacio, tendrá algún grado de exposición; si además, no realiza un ejercicio consciente y proactivo de aplicación de prácticas de seguridad de la información, también será más vulnerable ante una amenaza que ha demostrado ser muy lesiva y cada vez más frecuente en el contexto actual.

Ahora bien, ¿es el mismo riesgo para todas las instituciones y sectores?, ¿cuáles factores inciden con mayor intensidad para valorar el riesgo cibernético? Estas preguntas son de gran relevancia de cara a desarrollar una estrategia país que permita el abordaje de la ciberseguridad como un elemento indispensable para la transformación digital.

Sobre este particular, la Contraloría General de la República realizó un análisis de cuantificación del riesgo cibernético para el sector público, con el fin de identificar algunos elementos que determinan -en mayor o menor grado- el nivel de riesgo. Dicho análisis se realizó a partir de la consideración de prácticas básicas de ciberseguridad, la exposición ante este tipo de riesgos y las características de la amenaza[1], mediante un marco metodológico que consideró los siguientes elementos:

Los resultados muestran que el sector público costarricense presenta una alta variabilidad en cuanto a los niveles de riesgos institucionales. En particular, el 28,3% de 251 instituciones evaluadas se sitúan en un nivel de riesgo alto; el 40,2% en riesgo medio y el restante 31,5% en riesgo bajo. Tal y como se muestra a continuación:

Al visualizar el riesgo de ciberseguridad en función de los niveles de vulnerabilidad y amenaza, es posible distinguir distintos panoramas. En primer lugar, existe una concentración de entidades que presentan una alta vulnerabilidad, pero niveles bajos y medios de amenaza, por ejemplo, al no administrar grandes cantidades de recursos presupuestarios o custodiar información menos sensible, en relación con otras (ver grupo 4 del gráfico).

Por otra parte, algunas instituciones resultan prioritarias para implementar acciones orientadas a mitigar los riesgos, dado que presentan niveles altos de vulnerabilidad y de amenaza, ello debido a una escasa aplicación de prácticas de ciberseguridad, mayores niveles de exposición por la cantidad de recursos presupuestarios que gestionan, la criticidad del servicio que brindan y la naturaleza de la información que custodian (ver grupo 2 en el gráfico anterior).

En cuanto a los factores que explican la fragilidad de las instituciones ante las amenazas cibernéticas[2], destacan la gestión de riesgos y de la información, la capacidad tecnológica y la cultura institucional. En particular, solo el 48,7% de las instituciones consideran la seguridad de la información como parte de su gestión de riesgos. Es decir, aunque la digitalización ha implicado cambios en la forma de realizar los procesos, procedimientos y resguardo de la información, más de la mitad de las instituciones no ha incorporado esta realidad en su gestión de riesgos. Esto ejemplifica la poca concientización sobre la relevancia de la ciberseguridad en la Administración Pública; al respecto, solo el 12,4% de las instituciones indicó tener programas de concientización sobre este tema.

Es pertinente acotar que a nivel normativo la Ley General de Control Interno establece la valoración del riesgo como parte de las actividades propias del control interno. Concretamente, la define como la identificación y análisis de los riesgos relevantes para la consecución de los objetivos institucionales, con el fin de determinar cómo deben administrarse. Un riesgo que no se identifica, no puede ser administrado, en este sentido, uno de los principales aprendizajes de esta emergencia es la necesidad de posicionar la ciberseguridad como un pilar en la gestión institucional en un contexto de transformación digital de las organizaciones.

Según el Índice de Transformación Digital del Sector Público (ITD) elaborado por la CGR, el 79,4% de las instituciones presentan procesos parciales o totalmente digitalizados. A pesar de los beneficios que se obtienen con la digitalización, los procesos se vuelven más vulnerables ante un ciberataque, pues la información se encuentra expuesta al ciberespacio y la operatividad de los procesos depende en gran medida de la tecnología.

Como se aprecia en el gráfico siguiente, existen organizaciones con un mayor índice de transformación digital y altos niveles de vulnerabilidad (ver grupo 2). Estas instituciones han comenzado a incorporar la tecnología para transformar sus operaciones, sin embargo, no aplican suficientes prácticas de ciberseguridad, lo que las hace frágiles, con poca capacidad de adaptación y con una alta exposición al almacenar información crítica en sus sistemas de información.

Además, a nivel internacional Costa Rica se vislumbra como un sector público en una posición frágil y un desarrollo muy básico en materia de prevención. De acuerdo con la Unión Internacional de Telecomunicaciones[3] (ITU, por sus siglas en inglés), el país ocupó el puesto 76 en el Índice Global de Ciberseguridad 2020, con brechas importantes en el establecimiento de medidas técnicas como la definición de estándares mínimos; medidas organizativas sobre la consolidación de instancias de coordinación, políticas y estrategias; y el desarrollo de capacidad en términos de investigación, educación y capacitación en el sector público.

Otro elemento que influye en la gestión del riesgo cibernético tiene que ver con la definición de los límites de tolerancia al riesgo que son aceptables para la institución y la implementación de mecanismos para identificar desviaciones conforme dichos niveles. Sobre este particular, durante la revisión efectuada sobre la aplicación de prácticas de seguridad de la información en 2022, la Contraloría General determinó que únicamente el 22,6% de las instituciones evaluadas habían definido límites de tolerancia al riesgo[4].

Para el fortalecimiento de los esquemas de respuesta cuando se materializan las amenazas, es indispensable tener claridad sobre la “hoja de ruta”, por ejemplo, mediante el desarrollo de planes de contingencia. A pesar de esto, acorde con las citadas prácticas de seguridad de la información, sólo el 38,9% de las instituciones contaban con planes de contingencia de TI; el 29,2% mencionó tener planes de continuidad del negocio para los servicios críticos; y sólo el 26,2% contaba con planes para el manejo de incidentes de ciberseguridad.

Aunado a lo anterior, sólo el 30% de las instituciones había realizado pruebas de vulnerabilidades. Esto es relevante pues mejorar la capacidad de respuesta ante un ciberataque requiere realizar simulacros o pruebas de manejo de incidentes que permitan imitar las consecuencias de un suceso real, con el fin de tomar las precauciones necesarias para minimizar la probabilidad de ocurrencia, diseñar protocolos para gestionar eventuales crisis y obtener una mayor comprensión de los roles que se deben ejecutar.

En general, las instituciones públicas no reconocen el riesgo cibernético, no saben qué tanto pueden tolerarlo y no realizan pruebas para identificar dónde se encuentran las posibles “puertas de entrada” para los ciberdelincuentes. Todo esto inhibe su capacidad para actuar de manera preventiva, al tiempo que limita la capacidad de respuesta ante un ciberataque.

A este panorama se adiciona un nivel bajo de gestión de la información. Por ejemplo, en lo que respecta al tipo de información que resguardan las instituciones, es claro que para los grupos cibercriminales la información resulta más atractiva cuando tenga mayor valor desde la perspectiva de seguridad nacional, mercados en competencia, seguridad jurídica, o si se trata de información confidencial, financiera o personal, entre otros.

No obstante, solamente el 10,7% de las instituciones había identificado y clasificado la información sensible o crítica que custodia, y de este porcentaje, únicamente el 15,2% indicó que la encriptaba; en consecuencia, estas instituciones carecen de mecanismos para identificar cuáles son los sistemas y datos más sensibles y necesarios de respaldar y de qué manera. Asimismo, podría haber instituciones muy vulnerables que desconocen su condición.

Desde un enfoque de derechos, este desconocimiento también puede incidir sobre la protección de la información sensible y/o personal de la ciudadanía. En ese sentido, la Ley de Protección de la Persona frente al tratamiento de sus datos personales, Nº 8968, establece que toda entidad responsable de bases de datos deberá adoptar las medidas de índole técnica y de organización necesarias para garantizar la seguridad de los datos de carácter personal y evitar su alteración, destrucción accidental o ilícita, pérdida, tratamiento o acceso no autorizado.

Por otra parte, se evidenció una escasa capacidad tecnológica, asociada a la implementación de mecanismos de protección ante amenazas, pues solo el 18,7% de las instituciones lo realizaba; además, el 53% no aplicaba métodos de seguridad en la web. Aunque estos son elementos mínimos de protección en un entorno digital, a la fecha de realización de la consulta no se evidenció un nivel de aplicación coherente con la digitalización de los procesos y los cambios en las líneas de negocio del sector público.

Sumado a lo anterior, la cultura también incide en la vulnerabilidad de las instituciones. Desde la óptica de control interno, esta forma parte intrínseca del ambiente de control, como un elemento que propicia una actitud positiva a una gestión orientada a resultados, de acuerdo con las Normas de Control Interno del Sector Público. Por consiguiente, es fundamental que la cultura institucional fomente una conciencia integral de la importancia de la ciberseguridad, de manera tal que moldee comportamientos consistentes en todos los niveles de las organizaciones.

En virtud de lo anterior, del análisis realizado se identificó que existe una relación inversa entre los factores de liderazgo y toma de decisiones con el riesgo cibernético (correlación de -0,478). Es decir, algunas instituciones presentan niveles altos de riesgo cibernético, pero niveles bajos en el uso de datos para la toma de decisiones y una baja percepción de la información como un activo clave para el logro de las metas institucionales.

La no utilización de los datos como un elemento esencial en los tomadores de decisiones propicia que la seguridad de la información se conceptualice como un aspecto meramente técnico, en lugar de posicionarse como una inversión que anticipa riesgos y asegura la operación institucional.

Otra práctica asociada a la cultura tiene que ver con la capacitación, no obstante, sólo el 12,2% de las instituciones disponían de planes de capacitación sobre ciberseguridad para el personal. La ENPSP 2023 aplicada a personal de las instituciones también reflejó esta realidad, pues el 71,3% de las personas consultadas manifestó que no ha recibido capacitaciones sobre ciberseguridad durante el último año; mientras que el 62,0% señaló que no se le ha informado sobre los tipos de ciberataques que pueden ocurrir en las instituciones públicas y el 69,7% indicó no conocer políticas institucionales relacionadas a ciberseguridad.

Todas estas situaciones se traducen en un desconocimiento del personal sobre las amenazas cibernéticas y de cómo estas son abordadas por las instituciones, lo que a su vez incide en que el personal se constituya en un vector o un medio para los ciberatacantes. De acuerdo con un informe de la empresa Verizon[5], el 82% de los incidentes de ciberseguridad a nivel mundial se asocian a errores humanos, sea mediante robo de credenciales, phishing u otros métodos.

En lo que respecta al personal experto en ciberseguridad, un estudio de la CGR[6] reveló que para el año 2021 se contaba únicamente con 61 personas para 161 instituciones públicas. Además, sólo el 28,1% de las instituciones contaba con requisitos técnicos para valorar la idoneidad del perfil. En cuanto a actualización, apenas el 22,8% señaló que el personal experto recibe capacitaciones y actualizaciones sobre las ciberamenazas y la transmisión de conocimientos de estos al resto de la institución es casi nula.

Por otra parte, los resultados a nivel sectorial (ver gráfico siguiente) muestran que la gran mayoría de los sectores presentan altos niveles de vulnerabilidad que reflejan la existencia de asimetrías, tanto por la potencial amenaza derivada de un ciberataque como de aquellos factores que inciden en su vulnerabilidad.

El sector financiero destaca, pues a pesar de que la amenaza cibernética es alta, muestra un nivel bajo de vulnerabilidad, esto se asocia a que dicho sector cuenta con mecanismos para la protección de la información, derivados de distinta normativa y prácticas internacionales, lo que ha incidido en el nivel de madurez que disponen acerca de la gestión de la seguridad de la información.

El contexto de alto grado de exposición y nivel de competencia internacional que exige altos estándares de calidad en este sector, implica mayores niveles de control y supervisión de la seguridad de la información y la protección de datos. Por ejemplo, el Consejo Nacional de Supervisión del Sistema Financiero (CONASSIF) cuenta con el Reglamento General de Gestión de la Tecnología de Información (Acuerdo SUGEF 14-17).

En contraste, el sector salud presenta un nivel elevado de amenaza que lo hace propenso a recibir ataques cibernéticos debido a la importancia de los servicios y el valor de la información que resguardan, pero aún así el grado de preparación que tienen las instituciones de este sector es bajo, situación que lo posiciona en un nivel de alta vulnerabilidad. Estos resultados son congruentes con la situación de emergencia por ciberataques, en la cual las dos principales instituciones de este sector fueron víctimas de incidentes de gran relevancia.

La naturaleza del servicio también está relacionada al nivel de vulnerabilidad, donde las instituciones que prestan servicios más críticos tienden a estar más expuestas y por ende a ser más vulnerables. Por ejemplo, algunos de estos servicios ampliamente reconocidos son la educación y capacitación técnica, infraestructura y transporte, así como comercialización y regulación de recursos (agua y energía).

Del mismo modo, estos servicios se asocian al concepto de infraestructura crítica, entendida como los sistemas y activos físicos o virtuales, cuya incapacidad o destrucción tendría un impacto de gran magnitud en sectores o servicios esenciales para la sociedad[7]. A nivel internacional, se ha evidenciado un aumento en la frecuencia y complejidad de los ciberataques hacia la infraestructura crítica, ya sea para afectar la continuidad de los servicios o bien comprometer su información vital[8]. (Ver figura 5).

Cabe destacar que no existe un tipo de servicio preestablecido que conforme la infraestructura crítica, sino que esta depende de las condiciones particulares de cada país, por lo que es preciso definir cuáles instituciones y organizaciones públicas y privadas la conforman.

 A nivel mundial, los sectores más amenazados también son el financiero y salud, ello en razón del creciente avance en transformación digital y el valor de la información que disponen, condiciones que los vuelven más atractivos para el cibercrimen. Además, en los sectores Orden Público, Seguridad y Justicia, se destaca el desarrollo de la ciberdefensa[9] dado el avance de la sociedad de la información y las amenazas ante inminentes guerras modernas que replantean la conducción político-estratégica de la defensa de las naciones[10]. Asimismo, el sector de Energía[11] e Infraestructura y Transporte[12] también se encuentran altamente amenazados, ello al ser parte de la infraestructura crítica y cuyos daños potenciales causaría parálisis operativas en diversos sectores públicos y privados.

Si bien es evidente que existen claras diferencias del abordaje de la ciberseguridad en las instituciones y sectores, existen aspectos que deben abordarse de manera transversal, como el desarrollo de la concientización, la cultura organizacional y la transmisión del conocimiento. A modo de ejemplo, sólo el 19% (51) de las instituciones públicas habían ejecutado actividades intersectoriales asociadas a ciberseguridad para promover el intercambio de aprendizajes entre organizaciones y sectores. 

De acuerdo a la situación expuesta, se deduce que el riesgo cibernético no es igual para todas las instituciones o todos los sectores, lo que permite ilustrar un aspecto básico de la prevención como es la focalización. En materia de ciberseguridad, la prevención mínima necesaria varía para cada institución, por lo que para el desarrollo de un esquema costo-efectivo es pertinente considerar la magnitud del daño potencial, la probabilidad de ocurrencia, la vulnerabilidad, las infraestructuras críticas, la disponibilidad de recursos, entre otros aspectos. Además, esto es relevante de cara a los limitados espacios fiscales y el frágil estado de las finanzas públicas.

A modo de cierre, esta emergencia ha puesto a prueba la capacidad de respuesta del sector público -y del país en general- ante un ciberataque. En opinión de la Contraloría General, desde una mirada prospectiva corresponde ahora realizar un esfuerzo para capitalizar los aprendizajes que se desprenden de esta situación, con el fin de desarrollar esquemas preventivos, resilientes, que respondan a un entorno en constante transformación.