Municipalidades de Cartago y Escazú sin protección de datos de contribuyentes: CGR

Por ello, urgió mejorar la seguridad de esta información contra uso fraudulento, acceso no autorizado, pérdida, alteración o difusión de datos críticos.

Tras la auditoría, se detectó que esto "no responde razonablemente al marco regulatorio y buenas prácticas aplicables, lo cual genera que estas instituciones se expongan a diferentes riesgos".

Pero, ¿qué fue exactamente lo que ubicaron en cada municipio?

En la Municipalidad de Cartago, se encontraron:

-No cuenta con un área o persona encargada formalmente de la seguridad de la información y tampoco ha gestionado capacitación en la materia.

-Carece de instrumentos de planificación en gestión de seguridad de la información. No existen protocolos o procedimientos de atención de incidentes de seguridad.

-No se cuenta con una categoría específica para catalogar incidentes de seguridad.

-Se identificaron 269 vulnerabilidades en pruebas internas (91 críticas, 167 altas) y 9 en pruebas externas. Tanto en la red interna como en los servicios expuestos a Internet. 

En la Municipalidad de Escazú:

-No cuenta con un área o persona encargada formalmente de la seguridad de la información y tampoco ha gestionado capacitación en la materia.

-Ausencia de capacitación sobre las políticas de seguridad de la información, así como a la falta de suscripción de acuerdos de confidencialidad con el personal, sobre el uso de información y plataformas tecnológicas  

-Carece de instrumentos de planificación en gestión de seguridad de la información. No existen protocolos o procedimientos de atención de incidentes de seguridad.

-No se efectúan pruebas para corroborar que los respaldos de información permitan recuperar la información.

-Se identificaron 80 vulnerabilidades en pruebas internas (38 críticas, 39 altas )  y 8 en pruebas externas.  Tanto en la red interna como en los servicios expuestos a Internet.