Obra pública, RECIENTE, Seguridad

Inacción del AyA pone en riesgo información de los sistemas más criticos

17 de octubre de 202317 de octubre de 2023By Geovanny Debrús Jiménez
0
Inacción del AyA pone en riesgo información de los sistemas más criticos
Haga clic para compartir en su red preferida:

Una auditoría de la Contraloría General de la República acusa de inacción del AyA que pone en riesgo información de los sistemas más críticos que maneja esa institución.

El reporte contralor no escatima al afirmar que la institución “presenta muy bajo cumplimiento del marco normativo y buenas prácticas aplicables en materia de seguridad de la información (negrilla del original)”.

Además, deja claro que Acueductos y Alcantarillados tiene “débiles controles en materia de ciberseguridad (que ponen en riesgo) sistemas críticos”.

Según la Contraloría los sistemas del AyA presentan “vulnerabilidades en cuanto a componentes externos y configuraciones del sitio web”.

BOLETÍN GRATUITO DE CULTURACR:


“El AyA tiene a cargo los servicios públicos de abastecimiento de agua potable y saneamiento de aguas residuales para gran parte de la población y, en la prestación de sus servicios, requiere una infraestructura tecnológica que soporte y garantice la seguridad de la información en los sistemas más críticos, dado el alto volumen de información que procesan y la relevancia para el país”, informa la CGR.

“Lo evidenciado obedece al escaso direccionamiento y monitoreo del jerarca y titulares subordinados para conciliar la seguridad de la información como parte esencial del giro de negocio y la falta de seguimiento en la implementación de las políticas y controles de seguridad de la información… Las situaciones encontradas exponen a la institución a un riesgo de pérdida de confidencialidad, disponibilidad e integridad de la información que se almacena en sus sistemas de misión crítica, así como a una posible interrupción de servicios y tiempo excesivo de recuperación ante un evento (…)”, dice en la página 4 del resumen ejecutivo del informe de la auditoría realizada.

Carencias más relevantes:

1. Cláusulas de confidencialidad de información y garantía de continuidad del servicio en documentos contractuales para servicios TI.
2. Gestión de cuentas de usuario pese a que el acceso a sistemas está restringido y existe una política de contraseñas.
3. Estrategia de gestión de continuidad del negocio que asegure la provisión de servicios ante eventos que afecten la disponibilidad.
4. Análisis de Impacto del Negocio, ni plan para la Contingencia Tecnológica, sumado a que la programación de respaldos no contempla las pruebas que garanticen su efectividad.
5. Doble autenticación o superior configuración, en controles de autenticación de usuarios y de entrada de datos para los sistemas críticos.


Haga clic para compartir en su red preferida:

Leave a Reply

Your email address will not be published.