Nace centro tico para prevenir y atender ataques informáticos

Costa Rica ya cuenta formalmente con un organismo que ayudará a prevenir y atender ataques informáticos contra sus instituciones gubernamentales.

El viernes de la semana pasada se publicó en La Gaceta el decreto ejecutivo que crea el Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT-CR).

Este centro, cuyo coordinación será responsabilidad del Ministerio de Ciencia y Tecnología (Micit), también tendrá como objetivos complementarios recomendar una política pública a la Presidencia de la República en el tema de seguridad informática, lo cual puede incluir leyes, decretos y directrices.

Primeras reuniones. Santiago Núñez, director de Tecnologías Digitales del Micit, explicó que el Consejo Director del CSIRT-CR se debería reunir por primera vez en los próximos dos meses.

Este consejo está formado por el jerarca o un representante de los ministerios de Ciencia y Tecnología (quien lo presidirá), Presidencia, Seguridad Pública, Relaciones Exteriores y Justicia y Paz, así como por el fiscal general, o su representante, y el presidente de la Academia Nacional de Ciencias, o bien su representante.

Antes de finalizar este año, debería existir un plan de trabajo con las prioridades y actividades por desarrollar en las instituciones estatales en esta materia, manifestó el funcionario.

El CSIRT-CR nace cuatro años después de que se anunciara su creación por primera vez, en medio de una crisis fiscal que no le permite tener todos los recursos con los que podría contar en otras condiciones económicas.

Núñez explicó que el presupuesto de Tecnologías Digitales del Micit pasó de ¢650 millones el año pasado a ¢250 millones para este año.

De ese monto, ¢30 millones se están destinando al CSIRT-CR, especialmente para equipo técnico.

Además, se está a la espera de la aprobación de seis plazas para funcionarios. En la actualidad, Núñez y otro profesional son los que han asumido las funciones referentes a coordinación.

Con protocolos. A pesar de que, formalmente, el CSIRT-CR no se ha reunido en una sola ocasión, Núñez afirmó que ya se tienen dos protocolos para que las instituciones estatales trabajen en temas de seguridad informática. Por la naturaleza del tema, el contenido de estos protocolos es confidencial.

Su meta, dice Núñez, es que en un año todas las instituciones del Estado, especialmente las que manejan información sensible como bancos, los operadores telefónicos, la Caja Costarricense de Seguro Social y el Instituto Nacional de Seguros, tengan implementadas las políticas que ya ha recomendado la Contraloría General de la República, así como claridad en el monitoreo de sus redes y el ejercicio de los protocolos para información y respuesta de cualquier incidente.

“Simularemos un ataque con autorización para comprobar que todo funcione bien”, dijo Núñez.

El funcionario espera que, a medio plazo, se dote de más recursos al CSIRT-CR y, además, se logre crear una unidad especializada, por ejemplo, para el sector bancario y el médico.