Una estrategia nacional de ciberseguridad quedaría lista para que la implementen las nuevas autoridades de gobierno, de acuerdo con las manifestaciones que dio este jueves Paola Vega, jerarca del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt).
Ante una consulta de este medio, la ministra aseguró que la próxima semana quedará listo el plan desarrollado en conjunto por varias instituciones públicas y con cooperación del sector privado. Vega, rechazó así, aseveraciones realizadas por exfuncionarios de esa cartera, según las cuales, la estrategia en esa materia, iniciada en 2017, quedó únicamente en el papel.
Jorge Mora, director de Gobernanza Digital del Micitt, precisó que esta nueva política está en un 95%, por lo que estaría lista para que el gobierno de Rodrigo Chaves la ponga en marcha a partir del 8 de mayo, si así lo desea, o bien le realice ajustes. Este documento, dijo, es resultado de un trabajo fuerte durante los últimos cuatro años.
LEA MÁS: Claves débiles, ‘phishing’ y sistemas desactualizados permitieron ataque de Conti
Debe ser divulgada
Un reciente informe elaborado por el Programa de Ciberseguridad del Comité Interamericano contra el Terrorismo de la Organización de los Estados Americanos (OEA), al que tuvo acceso La Nación, incluyó observaciones sobre el manejo que se le dio al plan anterior, al considerar que no fue debidamente divulgado.
“Es posible que la Estrategia Nacional de Ciberseguridad no haya sido comunicada y sensibilizada de manera estratégica y suficiente entre los actores clave dentro de Costa Rica. Esto incluye las entidades y agencias gubernamentales que pueden haber tenido alguna utilidad en la etapa de implementación.
“Por lo tanto, se recomienda que la próxima iteración incluya una estrategia de comunicación integral y un plan de acción/implementación, con el fin de comprender cuáles de las iniciativas propuestas en la estrategia disponían de un implementador líder, cuáles fueron efectivamente implementadas y en qué medida tuvieron éxito en lograr su propósito previsto”, dice el documento.
LEA MÁS: Este es Conti, el nuevo enemigo ‘hacker’ de Costa Rica
La OEA le indicó al Gobierno que para desarrollar bien su estrategia debe realizar un mapeo de las instituciones que desempeñan un papel clave en su implementación en conjunto con el Micitt, ya que el plan construido desde 2017 “no definía claramente un rol para cada entidad” y no dejaba claro el alcance de sus herramientas.
“Por lo tanto, se recomienda desarrollar un mecanismo y una metodología que permita establecer un nivel de rendición de cuentas a los objetivos que se proponen y comprometen a efectuar en la próxima estrategia. Esto podría contribuir a asegurar que las iniciativas se monitoreen adecuadamente y se actúe con prontitud, a fin de generar confianza en el cumplimiento de los objetivos estratégicos propuestos”, agrega el informe.
En este sentido, el exministro de Ciencia y Tecnología, Luis Adrián Salazar, había expresado a este diario que aunque el país ha visto la ciberseguridad como importante, nunca se le ha dado el rol protagónico que necesita.
“Para pasar algo de importante a prioridad, debe dejar de estar en el papel, los equipos deben tener recursos, herramientas y personal calificado”, señaló el exjerarca, quien estuvo en ese cargo hasta el 28 de mayo del 2020.
LEA MÁS: Plan contra ataques cibernéticos lleva cinco años en papel
Más ataques
Entretanto, la Agencia de Protección de Datos de los Habitantes (Prodhab) emitió un comunicado este jueves en el que advirtió que los ataques sufridos recientemente en el país podrían volverse parte de la cotidianidad, debido a un aumento de riesgos digitales producto de la emergencia sanitaria por el nuevo coronavirus.
“La pandemia por la covid-19 provocó un uso explosivo de nuevas tecnologías y plataformas de comunicación, lo que ha conllevado a la aparición de nuevos riesgos en el tratamiento de los datos personales y un aumento considerable de ciberataques”, declaró Elizabeth Mora, directora nacional de Prodhab.
En su comunicado, la Agencia le recordó al Gobierno que todo funcionario responsable de una base de datos personales debe garantizar el derecho a la autodeterminación informativa de los titulares de dicha información y que el trabajador debe informar a la Prodhab y a cada titular afectado sobre cualquier irregularidad en el tratamiento o almacenamiento de sus datos, en un plazo de cinco días hábiles a partir de la vulnerabilidad.
LEA MÁS: ¿Qué es ransomware? 25 palabras para entender el ataque a Costa Rica
“El objetivo que persigue la norma no es evitar en sí la fuga de datos personales, porque se sabe que no existe un sistema 100% seguro, sino tiene como finalidad que, con la notificación a la Prodhab, esta pueda verificar que el responsable de la base ya está tomando las medidas correspondientes para evitar un impacto mayor y que se repita a futuro.
“Además, que los titulares de los datos también tengan oportunidad de tomar las acciones que consideren necesarias, según los datos e información de carácter personal que haya sido comprometida, lo cual podría ir desde la eliminación de datos de tarjetas asociadas a determinada plataforma, hasta la eliminación de aplicaciones móviles en sus dispositivos celulares”, agregó Mora.
LEA MÁS: Empresarios urgen al Gobierno acciones para evitar más ciberataques
En las últimas dos semanas, ocho instituciones públicas han sido blanco de ataques de ciberdelincuentes. Las consecuencias más graves fueron para el Ministerio de Hacienda que a la fecha no ha podido normalizar el funcionamiento de sus plataformas.