San José, 28 feb (elmundo.cr) – La Contraloría General de la República (CGR), emitió un informe de auditoría sobre la seguridad de la información en los sistemas críticos en la Municipalidad de San José.
Respecto de la gestión y administración de los servicios públicos locales y la promoción del desarrollo local del cantón, lo que conlleva el uso de varios sistemas de información, entre ellos: sistema de soporte a los procesos de servicios urbanos, bienes inmuebles, patentes, recaudación, cobro y plataforma de servicios, así como el Sistema Integrado Autorización Patentes (SIAP).
Según detalló el ente contralor «es necesario implementar un plan de remediación de las vulnerabilidades sobre seguridad de la información que permita subsanar las situaciones identificadas y un programa de sensibilización en esta materia».
A partir del informe se determinó que «la gestión de la continuidad de negocio carece de la documentación que respalde la planificación, implementación, seguimiento y mejora de la continuidad de negocio municipal, debido a que no se ha implementado un Sistema de Gestión de la Continuidad del Negocio a nivel institucional, para dar respuesta a incidentes, por lo tanto no es posible alinear los esfuerzos de la Dirección de Tecnologías de Información y demás direcciones municipales en esa misma materia».
Además, «para el plan de recuperación ante desastres de la Dirección de Tecnología de la municipalidad, no se cumplen la totalidad de las premisas establecidas necesarias para la recuperación correspondiente, también carece de los procedimientos necesarios para establecer la declaración de un desastre, así como de los criterios de activación del plan».
De igual forma se «identificó que el 53% de los funcionarios con permisos en el módulo de patentes y el 22% de los funcionarios con permisos en la Sección servicios urbanos y bienes inmuebles ya no deberían contar con dicho acceso, por cuanto no laboran para la Municipalidad y que en el caso de un 5% funcionarios, la Municipalidad no logró establecer su vinculación o desvinculación laboral».
«Adicionalmente, no se han realizado simulacros o pruebas de manejo de incidentes ni se ha actualizado la definición de los tiempos de recuperación (RTO y RPO)», resaltaron.
Según detalló el ente contralor «es necesario implementar un plan de remediación de las vulnerabilidades sobre seguridad de la información que permita subsanar las situaciones identificadas y un programa de sensibilización en esta materia».