Krissia Morris Gray
La obsolescencia del sistema tecnológico del Patronato Nacional de la Infancia (PANI) pone en riesgo la confidencialidad y la disponibilidad de la información que maneja de las personas menores edad.
Esta es una de las fallas detectadas por la Contraloría de la República (CGR) en una auditoría.
Este análisis tuvo como objetivo determinar si la seguridad física y lógica de los sistemas de información sustantivos del PANI aseguran la confidencialidad y disponibilidad de la información contenida en estos sistemas.
Se encontraron debilidades en tres ejes:
- Sistema de Gestión de la Seguridad de la Información
- La Gestión de las Tecnologías de Información
- Obsolescencia tecnológica
A criterio de la entidad fiscalizadora, los hallazgos evidenciaron los aspectos impactan negativamente en la confidencialidad y disponibilidad de la información contenida en los sistemas de la entidad.
OBSERVE MÁS: PANI reclama devolución de ¢386 millones a ONG por irregularidades en atención a menores con covid-19
Ausencia de soportes y salida de explorador
Según se desprende del informe contralor, el PANI atraviesa un “fenómeno de Obsolescencia Tecnológica”, producto de la salida de producción del explorador web que sostiene los sistemas críticos.
Además, se detectó que el soporte de base de datos que tiene el PANI es con versiones antiguas.
Debe sumarse a esto la implementación insuficiente de la política de gestión de contraseñas y las debilidades en controles de entrada de los sistemas principales.
“El PANI no se dispone de estudios técnicos detallados relativos a los sistemas sustantivos. Esto les permita tener un entendimiento de las implicaciones, riesgos en materia de seguridad y operatividad del sistema.
“Lo anterior le acarreará el final del soporte del Internet Explorer 11 y de los motores de base de datos SQL (Lenguaje de Consulta Estructurado)”, se desprende del informe.
OBSERVE MÁS: Millones de colones que PANI transfiere a varias ONG tienen escasa supervisión, advierte Contraloría
Al mismo tiempo, en el documento se añade que debido a la versión tecnológica empleada, existe la posibilidad de pérdida de información valiosa para la Administración, así como la pérdida de disponibilidad de los sistemas en caso de fallo “dada la ausencia de parcheo y mantenimiento”.
Agrega la entidad contralora que la ausencia o fallo en el sistema tiene un impacto significativo sobre las actividades consideradas como críticas; entre las que están: procesos atencionales, alternativas de protección y prevención de niñez y adolescencia en situación de riesgo.
Más problemas
En lo referente al eje de Sistema para la Gestión de la Seguridad de la Información presenta debilidades como:
- El PANI no ha elaborado, comunicado e implementado una política para la clasificación de información (que incluye activos de información)
- Si bien el PANI cuenta con lineamientos para gestionar usuarios desde su reglamento para la gestión de Tecnologías de la Información (TI), carece de una matriz de autorización que defina las líneas de autoridad. Es decir, las personas que aprueban una solicitud o un cambio en roles y perfiles en función de su cargo o nivel de responsabilidad
- En cuanto a la seguridad técnica, se evidenció que no se han implementado controles de cifrado de datos a nivel de servidores (Base de Datos). O a nivel de equipo de usuario final para prevenir el acceso no autorizado
Por su parte, en materia de Gestión de las Tecnologías de Información, se encontraron deficiencias como: gestión de incidentes y problemas, proceso de gestión de cambios, mantenimiento preventivo y correctivo de hardware y software, y gestión de configuraciones, versiones y de licenciamiento de software.
“Dentro de este contexto, en cuanto a gestión de incidentes y problemas, se encontró entre otras cosas que, no existe una clasificación de los incidentes que considere su categorización, impacto, urgencia y prioridad; y la normativa se encuentra desactualizada dado que no ha sido revisada desde su creación en el 2010”, reseña la Contraloría.
OBSERVE MÁS: PANI recibió 17 denuncias de ‘ciberbullying’ en 2019; ¿cómo saber si su hijo es víctima?
Por etapas
Ante consultas efectuadas por El Observador, el PANI indicó que se realiza un proceso de renovación de la Plataforma Tecnológica de manera gradual.
“Se tiene un dimensionamiento (sic) presupuestario de forma integral, que ronda $1.148,487,72 entre el desarrollo por etapas del sistema de información integrado del expediente digital e infraestructura tecnológica para aplicar en los siguientes periodos presupuestarios”.
“El PANI cuenta con una ruta de trabajo en la implementación del Marco de Gestión de las Tecnologías de información emitido por el Micitt.
“Esto en cumplimiento a las directrices de la CGR a partir de enero 2022, mismo que contempla la normativa de acatamiento para las Instituciones Públicas en el desarrollo e implementación de políticas, procedimientos y documentación actualizada en materia tecnológica.
Así como de fortalecer cualquier necesidad que se genere con los criterios indicados por las autoridades gubernamentales”.
Krissia Morris Gray
