Costa Rica carece de protocolo para responder a ataques informáticos
Si mañana un grupo de delincuentes cibernéticos comienza a atacar las redes y sitios web de las instituciones públicas, no existe claridad sobre con quién y cómo comunicarse para compartir información y dar una respuesta coordinada.
Costa Rica carece de un protocolo oficial de respuesta a ataques informáticos de cualquier escala que defina cómo se procede ante estas situaciones, cada día más comunes.
La víctima más reciente de un ataque de este tipo fue la Caja Costarricense del Seguro Social (CCSS), la cual recibió –la semana anterior– lo que se conoce como un ataque de denegación de servicio. En este tipo de ataques se generan tantas visitas a un sitio web que este termina por hacerse sumamente lento e impide realizar trámites o tener acceso a información, por ejemplo.
Laura Morales, subgerente de Tecnologías de Información y Comunicaciones de la CCSS, afirmó que el suceso no puso el peligro la información.
“Por sentido común, avisamos primero a los usuarios internos y compartimos información con colegas de otras instituciones, pero no existe un protocolo ni un mandato que nos obligue a informar sobre el hecho en el momento en que sucede”, dijo Morales.
Roxana Murillo, encargada de redes de la Asamblea Legislativa, también admitió que se carece de una directriz sobre a quién informar sobre ataques, cómo y para qué. La página web del Congreso fue alterada en marzo por un grupo no identificado.
“Por supuesto que sería muy valioso tener comunicación sobre estos temas, saber qué sucedió en una institución y cómo respondieron a ese ataque. Es conocimiento valioso”, expresó Murillo.
Cilliam Cuadra, de la Unidad de Seguridad Informática del Banco Nacional de Costa Rica (cuya web es una de las más visitadas del país), recalcó lo señalado por su contraparte del Congreso.
Sin informes del Consejo. Hace tres años, el Ministerio de Ciencia y tecnología (Micit) había anunciado la creación del Consejo Nacional de Respuesta a Incidentes de la Seguridad Informática (Crisec-cr), que sería la organización “orientada a la implementación de medidas preventivas contra la amenaza a la seguridad cibernética que pueden afectar las tecnologías de información y comunicación del país”, en palabras de la entonces ministra del ramo, Eugenia Flores.
Según se había dispuesto, el organismo sería el responsable de “recibir, analizar y responder a informes de incidentes de casos donde se viole la seguridad cibernética”, decía el comunicado oficial.
El Consejo estaría integrado por los ministros de la Presidencia, Seguridad y Micit.
Desde hace mes y medio, La Nación solicitó al Micit un informe sobre qué trabajo ha realizado este Consejo desde su creación. Hasta este momento no se ha recibido el informe ni se ha otorgado la entrevista pedida sobre el asunto.
Kéilor Rodríguez, viceministro del Micit, expresó –mediante un correo electrónico– que “el ministerio en estos momentos está reorientando el proyecto original para involucrar a otras instituciones del Estado que también tienen que ver con el tema”.
“También estamos en un proceso de capacitación sobre el tema y en la conformación de un consejo interministerial e interinstitucional que acuerpe e interiorice la iniciativa, no por mandato de un decreto, sino porque verdaderamente están convencidos de su importancia”, añadió Rodríguez.
No hay comentarios:
Publicar un comentario