Emergencia Cibernética: obstáculo para la transformación digital y el bienestar social; retroceso para la transparencia y la rendición de cuentas

Inicio > Memoria Anual 2022 > Opiniones y sugestiones - Emergencia Cibernética > 4. Consideraciones finales y recomendaciones

4. Consideraciones finales y recomendaciones

Las secciones precedentes han mostrado un balance preliminar de los costos identificados de los ciberataques que sufrió el país, además, un análisis del riesgo cibernético que enfrentan las instituciones. A partir de lo anterior, es posible extraer aprendizajes valiosos que es necesario capitalizar para una mejor preparación de cara a futuros eventos en el campo de ciberseguridad.

En particular, el panorama que se presentó a lo largo del informe ha dado cuenta de la diversidad de los costos, la estimación de algunos de ellos y la carencia de información sobre otros. Aunado a lo anterior, es claro que los efectos de los ciberataques trascienden la barrera del mundo cibernético y tienen afectaciones palpables para el personal de las instituciones, el sector productivo, la ciudadanía, y en general para el país.

La falta de información clara, completa y oportuna dificulta la toma de decisiones, ya sea para cuestiones operativas a corto plazo o para decisiones estratégicas de largo plazo. En ausencia de una brújula clara que guíe la toma de decisiones, el sector público se enfrenta al desafío de no disponer de una dirección coherente que permita garantizar la continuidad en las operaciones, así como una efectiva transparencia y rendición de cuentas.

Los ciberataques han impactado negativamente el bienestar de la ciudadanía y han dificultado la toma de decisiones, la transparencia y la rendición de cuentas, aspectos que socavan las bases democráticas del Estado costarricense. Dado lo anterior, esta emergencia representa una oportunidad para comprender el rol de la ciberseguridad en una sociedad digital y como un mecanismo que favorece la generación de valor público enfocado a la ciudadanía.

4.1 Recapitulando los aprendizajes

En primera instancia, uno de los principales aprendizajes es que la transformación digital necesariamente requiere considerar la ciberseguridad desde el inicio, y no como un proceso posterior a la digitalización, es decir, son elementos que deben diseñarse en paralelo. Tal como indica la revista Forbes[1], “las organizaciones no pueden darse el lujo de dejar la ciberseguridad como una idea de último momento en el proceso de transformación digital. Invertir en digitalización sin reforzar las prácticas de ciberseguridad es tan erróneo como construir una casa sin cimientos.” Además, considerando que la transformación digital no es un fin en sí mismo, sino que es un proceso por y para las personas, para el mayor desarrollo de las capacidades humanas.

Como segundo punto, del mismo modo que existe consenso sobre los réditos a futuro del gasto en educación, llegando a conceptualizarse como una inversión que fortalece la capacidad productiva del país, los gastos preventivos en ciberseguridad también son una inversión, pues se orientan a proteger activos e infraestructuras críticas necesarias para el adecuado desempeño económico y social del país, y principalmente, para custodiar el bienestar de las personas.

Si bien no existen medidas o mecanismos que garanticen la protección total ante un ciberataque, resulta mucho más eficiente invertir estratégicamente en prevención, en lugar de asumir los costos totales de responder a un evento de este tipo. Asimismo, la inversión en prevención permite minimizar la probabilidad de que los ataques sean efectivos, o bien, reducir los impactos negativos que se generen por su causa, además, contribuye a la continuidad de los servicios ofrecidos a la ciudadanía.

La atención de esta emergencia también evidencia la importancia de desarrollar y fortalecer una cultura de información. En términos generales, a la fecha no se conoce con el nivel de detalle necesario la magnitud de los daños ocasionados por el ciberataque en todos sus extremos; además, se afectó la disponibilidad de información básica para el direccionamiento y conducción de la Hacienda Pública y no existe certeza sobre las condiciones básicas de seguridad y calidad de la información.

Al respecto, es necesario avanzar hacia una cultura que se apoye en la información para la toma de decisiones, transparencia y la rendición de cuentas, de manera tal que aún ante situaciones que afectan su disponibilidad, integridad y confidencialidad, se priorice no solo la respuesta ante un ataque, sino también en documentar los daños y proveer la mayor trazabilidad posible a las actuaciones de cara a la ocurrencia de posibles incidentes.

Ahora bien, esta cultura debe permear también hacia las personas, reconociendo el rol que tienen en el resguardo de la información, para que no se constituyan en medios para que los ciberdelincuentes puedan penetrar en las organizaciones. En vista de lo anterior, para lograr mejoras significativas en la gestión de la ciberseguridad, las medidas básicas de prevención deben venir acompañadas de una adecuada concientización, formación y capacitación del personal.

Finalmente, el desarrollo de esta cultura parte del reconocimiento de que la información tiene valor por sí misma (es un activo). Esto implica comprender el entorno actual, en el que a cada segundo se genera una cantidad masiva de datos (big data) que se traducen en información valiosa para la toma de decisiones informadas y efectivas. En este sentido, la formulación de políticas públicas basadas en datos implica el uso de datos y análisis para identificar y comprender los problemas, evaluar las opciones de políticas y diseñar estrategias efectivas, dar seguimiento a su ejecución y evaluar los resultados obtenidos.

La información también representa una herramienta esencial para la innovación y la mejora continua. Además, también constituye el insumo básico para la transparencia y la rendición de cuentas sobre las actuaciones y decisiones tomadas; tal como se mencionó, estos elementos inciden en la confianza hacia la institucionalidad, aspecto de gran relevancia en una democracia.

En otro orden de ideas, la gestión de riesgos constituye una herramienta clave para evaluar y priorizar las medidas preventivas necesarias para el mejoramiento de la ciberseguridad. Si la forma en la que operan las instituciones públicas ha cambiado a raíz de la digitalización, es imprescindible que la gestión de riesgos refleje y responda a esta realidad. Por ejemplo, una adecuada gestión de riesgos permite identificar y priorizar los activos críticos, la infraestructura crítica, la valoración periódica del riesgo cibernético, para asignar recursos y esfuerzos en la protección de aquellos que presenten un mayor nivel riesgo, maximizando así el retorno de la inversión en términos de beneficios económicos y sociales.

Otro aprendizaje destacado en la atención de esta emergencia se asocia a las asimetrías que presenta el sector público costarricense, vinculadas a las condiciones que enfrentan las instituciones y los sectores al que pertenecen, en vista de sus niveles de madurez, de las diferencias en marcos normativos y regulatorios, la aplicación de buenas prácticas de seguridad de la información, entre otros.

Un mecanismo para abordar dichas asimetrías es la adopción de un enfoque colaborativo, en el cual se creen espacios para el aprendizaje conjunto, la socialización de buenas prácticas, compartir experiencias exitosas y el desarrollo de un ecosistema articulado acorde con las necesidades de la institucionalidad. Lo anterior bajo la premisa de que el compartir conocimientos se constituye en una capacidad colectiva.

En aras de reducir las citadas asimetrías, resulta relevante adaptar el marco normativo. Desde la normativa vigente de control interno, es posible la inclusión de roles y responsabilidades de jerarcas y titulares subordinados, que les oriente a gestionar los riesgos asociados a la seguridad de la información considerando la ciberseguridad y la definición de estándares mínimos de prácticas para las instituciones públicas.

A nivel país, se destaca la modernización del modelo de gobernanza de la ciberseguridad, lo que implica el desarrollo de una capacidad colectiva que involucra a las instituciones públicas, la sociedad civil, el sector privado, los organismos internacionales y otras partes interesadas, con el fin de generar soluciones participativas y obtener mejores resultados que los que se tendrían con actuaciones aisladas.

4.2 Recomendaciones

A la Asamblea Legislativa

A la luz de los principales aprendizajes que derivan de esta emergencia, la Contraloría General de la República extiende las siguientes recomendaciones para la Asamblea Legislativa, en atención a sus competencias de formación de leyes incluyendo la aprobación presupuestaria y el control político. Asimismo, en atención a las competencias de fiscalización superior de la Hacienda Pública y en calidad de órgano auxiliar del Poder Legislativo, con el propósito de contribuir a la toma de decisiones y la mejora en la gestión de la Hacienda Pública.

En primera instancia, se recomienda a las comisiones legislativas que analizan temas vinculados a esta materia, que el análisis de iniciativas de ley se haga tomando en consideración de la importancia de la ciberseguridad en el marco de la transformación digital; para la transparencia y rendición de cuentas, reconociendo su papel en el fortalecimiento de las bases democráticas del Estado; la protección de derechos de las personas y la provisión segura de servicios públicos.

Sobre este particular, el Órgano Contralor reconoce que existen iniciativas en corriente legislativa[2] que buscan establecer un marco jurídico para fortalecer la gobernanza en este campo; no obstante, reitera las observaciones realizadas en su oportunidad[3], en relación con la importancia de reforzar la estructura actual y evitar la duplicidad de funciones respecto a las potestades que ostentan las distintas instancias pertenecientes al MICITT, el uso de recursos ya existentes que no impliquen riesgos de sostenibilidad financiera y fiscal, la proporcionalidad entre las nuevas funciones y los actores involucrados y el análisis integral de propuestas que persiguen fines similares.

En segunda instancia, se recomienda la revisión y modernización del marco normativo, particularmente en el campo de control interno. En general, se identifican dos marcos de rango legal que proveen sustento para las actuaciones en el campo de ciberseguridad[4]. En primer lugar, la ciberseguridad puede enmarcarse como parte de los propósitos fundamentales del sistema de control interno que define la Ley N° 8292; es evidente que forma parte intrínseca del ambiente de control y que debe considerarse en las valoraciones de riesgo que dispone esta ley. En segundo lugar, los gastos para ciberseguridad, por su naturaleza preventiva, pueden considerarse como parte de la fase de prevención del ciclo de atención de emergencias que se desprende de la Ley Nacional de Emergencias y Prevención del Riesgo N° 8488.

No obstante, se requiere modernización en el enfoque de control interno para superar esquemas obsoletos que posicionan la gestión de la información como una actividad meramente transaccional o exclusiva de la gestión documental[5], en lugar de posicionarla como un proceso que permea transversalmente las organizaciones y que ha llegado a formar parte de los aportes de valor que realizan[6] las instituciones. Al respecto, es indispensable considerar la información como un insumo clave e imprescindible para orientar la toma de decisiones, de lo contrario es como navegar sin brújula, bajo el riesgo de perder el rumbo y afectar el bienestar de las personas.

En esa línea, las necesidades actuales de control interno requieren la conformación de una cultura que desarrolle el liderazgo hacia la toma de decisiones basada en información oportuna y completa, en procura de generar mayor valor público. Desde esta perspectiva, el control político que ejerce la Asamblea Legislativa permite coadyuvar en la creación de esta cultura. A modo de ejemplo, desde ese control se pueden propiciar espacios para la rendición de cuentas e incrementar la transparencia respecto a los daños ocasionados por los ciberataques y las acciones realizadas por parte de las administraciones para minimizar sus efectos negativos.

La adaptación del marco normativo en control interno también contribuye a abordar con mayor claridad las diferencias en naturalezas jurídicas de las instituciones, estableciendo marcos comunes y requerimientos mínimos en el campo de seguridad de la información y la ciberseguridad. En este proceso, también es importante fomentar el involucramiento y fortalecimiento en el rol que desempeñan diversos actores de supervisión, regulación y control, de modo que contribuyan a la definición e implementación de prácticas para el mejoramiento de la ciberseguridad de acuerdo con el giro del negocio.

Como parte de las actividades que efectúa la Asamblea Legislativa, y en particular la Comisión de Ciencia, Tecnología y Educación, se recomienda que este informe pueda constituir un insumo técnico para enriquecer el proceso de discusión acerca de las reformas legales sujetas a revisión y permitan ejercer un control político más cercano, oportuno y pertinente.

Finalmente, en lo que atañe a la competencia de aprobación presupuestaria, se recomienda al Plenario Legislativo, en la medida de lo posible, no eliminar o reducir las inversiones en ciberseguridad que se realizan desde el Presupuesto de la República y procurar la habilitación de recursos financieros de contingencia que permitan dar una respuesta efectiva ante posibles ataques cibernéticos que se materialicen en el futuro.

Con el objeto de tener mayor claridad sobre las posibles inversiones y gastos asociados a ciberseguridad, el artículo 40 de la Ley de Administración Financiera de la República y Presupuestos Públicos, N° 8131, establece la facultad de la Asamblea Legislativa de solicitar información razonable para ser incluida en el Proyecto de Ley de Presupuesto de la República, y así facilitar el análisis y toma de decisiones en su proceso de discusión y aprobación.

En relación con la habilitación de recursos financieros, durante la activación del estado de emergencia, se dispuso de los recursos del Fondo Nacional de Emergencias; sin embargo, ésta corresponde a una solución de carácter temporal y persiste la necesidad de buscar alternativas sostenibles en el tiempo. En esta línea, el fortalecimiento desde una perspectiva financiera de fondos de contingencias podría ser clave para mejorar la respuesta y la recuperación ante incidentes de ciberseguridad u otras emergencias cada vez más comunes en un entorno disruptivo; sobre el particular, algunos organismos internacionales[7] han destacado la importancia de crear una línea de reserva a nivel presupuestario para contingencias, dentro de los límites generales de gastos.

Finalmente, es pertinente señalar que el ejercicio de transparencia a nivel presupuestario trasciende el momento de aprobación y es importante que sea continuo a lo largo de las diferentes etapas del ciclo presupuestario, de manera tal que en las etapas de rendición de cuentas y evaluación se pueda estimar los resultados obtenidos a partir de dicho gasto.

A la administración activa

En cuanto a las recomendaciones para la administración activa, la CGR señala los siguientes elementos:

Modernización del modelo de gobernanza. Los desarrollos y prácticas internacionales reconocen la necesidad de consolidar una instancia coordinadora que supervise y gestione de manera efectiva las medidas y prácticas de seguridad de la información. De esta manera dicha modernización podría implicar el replanteamiento y alcance de las acciones que una instancia como el MICITT puede ejercer sobre las instituciones públicas en su rol de coordinador nacional.
Además, la participación activa de las instituciones, en un esquema de comunicación, coordinación y transmisión del conocimiento que permitan una implementación y mejora continua del modelo, así como la consolidación de protocolos y criterios de actuación para responder a ciberataques.
Gestión de riesgos que reconozca las amenazas cibernéticas. Tal como se indicó, uno de los principales aprendizajes de esta emergencia es que la gestión de riesgo debe reflejar los cambios en la forma en que operan las instituciones, incluyendo el abordaje de las amenazas cibernéticas. En este sentido, se insta a las administraciones a revisar sus ejercicios de valoración del riesgo institucional para garantizar que se esté considerando esta amenaza y que se incluyan acciones para su gestión, de acuerdo con las realidades institucionales y los factores que inciden sobre los niveles de vulnerabilidad y amenaza.
Fortalecimiento de la cultura y el liderazgo hacia la toma de decisiones basada en información. Es necesario que desde las administraciones, y en particular, desde los liderazgos institucionales, se concientice sobre el valor de la información como activo que fundamenta la toma de decisiones (para la propia institución y otras partes interesadas, entendiendo que el uso de la información no es excluyente) y promueve la transparencia y rendición de cuentas. Además, en atención a que la cultura forma parte intrínseca del ambiente de control de las organizaciones y permite propiciar una actitud positiva hacía una gestión orientada a resultados.
Aunado a esto, se requiere el desarrollo de la concientización del personal acerca de la relevancia de la ciberseguridad en el manejo y custodia de la información y la continuidad de los servicios.
Priorización de la seguridad de la infraestructura crítica. Es preciso definir en forma precisa cuál es la infraestructura crítica nacional, tanto a nivel del sector público como privado, asimismo, los mecanismos de protección indispensables que se requieren, para que las instituciones involucradas establezcan la hoja de ruta correspondiente.

Como reflexión final, la Contraloría General de la República reitera el llamado a capitalizar los aprendizajes generados a partir de esta emergencia cibernética, comprendiendo que el fin último de las actuaciones públicas es la creación de valor para las personas.

Notas al pie:

1 Forbes (2022), Why Cybersecurity Is The Springboard For Successful Digital Transformation2 Expedientes N° 23.097, Proyecto de Ley de Protección de Datos Personales; y N° 23.292, Proyecto de Ley de Ciberseguridad de Costa Rica.3 Oficio DFOE-CAP-2845 (18037) del 26 de octubre de 2022, Opinión sobre el proyecto de ley denominado “Ley de Ciberseguridad de Costa Rica”. Expediente N° 23.292.4 A nivel de Decreto, la propia creación del CSIRT implica un reconocimiento explícito de la ciberseguridad en el marco normativo, pero en una norma de menor rango.5 Como referencia, el artículo 16 de la Ley General de Control Interno, establece que deberá contarse con sistemas de información que permitan a la administración activa tener una gestión documental institucional.6 Por ejemplo, la producción estadística de cada organización genera un valor que trasciende dicha organización dado el uso que personas externas pueden dar a dicha información en actividades como investigación, educación u otras.7 FMI (2022). Costa Rica, Upgrading the Rule-Based Fiscal Framework

Ir a la siguiente sección >

Contenido de la sección

Ver página denominada: una emergencia nueva, un riesgo permanente y costos asociados

Ver página denominada: riesgo cibernético en el sector público y la urgencia de pensar en ciberseguridad