Flaquezas de Migración y Extranjería la exponen a ciberdelincuentes, dice Contraloría

El resguardo de la información que maneja la Dirección General de Migración y Extranjería (DGME) podría verse comprometida debido a debilidades en materia de ciberseguridad. Esta fue la alerta que hizo la Contraloría General de la República mediante un informe de auditoría.

Se trata de información vinculada con actividades como control del ingreso y egreso de nacionales y extranjeros al territorio nacional, la regulación de la permanencia y actividades de las personas extranjeras en el país y el control de delitos como trata de personas y tráfico ilícito de migrantes.

El señalamiento emana del informe N° DFOE-GOB-IAD-00014-2023 emitido el 15 de diciembre, según el cual la DGME ya atendió 49% de las vulnerabilidades comunicadas mientras se realizó el análisis, entre enero del 2022 y junio de 2023. Otras persisten.

La CGR concluye que, por los hallazgos señalados, podrían aumentar los riesgos de accesos no autorizados a los activos tecnológicos y a la información de la Dirección.

Entre los problemas por resolver está la falta de normativa interna para gestionar en ciberseguridad medidas como la ejecución de un análisis periódico de riesgos y exposiciones a ataques informáticos, además de planes de remediación a las vulnerabilidades que esas revisiones vayan detectando.

En otros casos, dijo la Contraloría, el cumplimiento es parcial en lo correspondiente al aseguramiento de la información (entidad solo cumple 40% de lo previsto por las normas aplicables) y en protección de los datos (cumple al 50%).

Lo mismo ocurre en el área de gestión de amenazas y vulnerabilidades (50%), configuración de seguridad de sistemas (55%) y seguridad de los programas informáticos y de los sistemas y redes de trasiego de datos que alcanzaron cumplimientos de 60% y 61%, respectivamente.

La Contraloría incluso nota que la DGME posee una guía para identificar y comunicar vulnerabilidades en ciberseguridad pero no establece responsables, periodicidad ni actividades para subsanar los problemas detectados.

“Las situaciones encontradas exponen a la institución a riesgos de pérdida de confidencialidad, integridad y disponibilidad, así como riesgos de accesos no autorizados a los activos tecnológicos y de información de la DGME”, advierte el informe.

Según la Contraloría, las situaciones detectadas obedecen al débil funcionamiento del Comité Gerencial de Informática (CGI) en la toma de decisiones estratégicas acorde con el marco de tecnologías de información adoptado.

Ese Comité fue constituido como una “instancia técnica entre la administración superior y la Gestión de Tecnologías de Información” con la responsabilidad de asesorar en todos estos temas.

De hecho, agrega el informe de auditoría, sus competencias se establecieron para conocer y recomendar a la Dirección General en esta materia.

Entidad promete enmiendas

La Nación consultó este 28 de diciembre a la DGME qué pasos tomará para subsanar las debilidades persistentes y, en general, qué opinión le merecen los hallazgos del informe.

Mediante un correo de su área de prensa, la DGME afirmó que reconoce la importancia crítica de la ciberseguridad en la gestión de la información y la protección de sus activos tecnológicos. Según expresó, se están tomando “en serio” los descubrimientos de la CGR y prometió enmiendas.

“La seguridad de la información es esencial para salvaguardar la confidencialidad, integridad y disponibilidad de los datos, especialmente en un entorno donde la tecnología juega un papel fundamental en nuestras operaciones cotidianas”, agregó.

Como respuesta al informe, la DGME cumplirá las órdenes giradas por la Contraloría empezando por actualizar la reglamentación del Comité Gerencial de Informática para reflejar sus funciones de manera clara y eficiente.

Del mismo modo, revisará y actualizará su normativa de seguridad de la información y ciberseguridad, garantizando su alineación con el marco normativo vigente.

Además, planea lanzar programas de capacitación y concientización para el personal en temas de seguridad de la información y aplicará nuevas disposiciones internas que garanticen la implementación de las medidas recomendadas por la CGR.