{{slide.text | html}}
{{slide.text | html}}
{{slide.text | html}}
3 meses antes de que se produjera el hackeo en los servidores de la Refinadora Costarricense de Petróleo (Recope), la Auditoría Interna advirtió posibles riesgos en las informaciones manejadas a través de la nube.
El órgano auditor enfatizó que la empresa estatal carece de un análisis formal para identificar y evaluar los riesgos mediante la “adopción de tecnologías de información que se apoyan en infraestructura de proveedores de servicios en la nube”.
El detalle se encuentra en el Informe de Auditoría Operativa sobre la Gestión de la Seguridad de la Información en Recope AUI-10-3-24 elaborado el 14 de agosto de 2024.
El documento firmado por el profesional auditor Juan Carlos Mora Castro y la subauditora técnica Gabriela Chaves Sánchez, recalcó la necesidad de implementar y mantener las prácticas de Gestión de Tecnologías de Información definidos, a partir del marco estratégico de la empresa estatal.
“La tecnología de información en la nube es un campo relativamente nuevo y en constante evolución, lo que dificulta la oportunidad con que la Administración destina los recursos necesarios para un análisis exhaustivo que le permita desarrollar los lineamientos estratégicos orientadores.
“Esta condición podría exponer a la empresa a una gestión inadecuada de los riesgos asociados al uso de servicios en la nube y afectar la seguridad de la información crítica”, indicaron los profesionales en la Auditoría Interna de Recope.
Durante la transmisión de los resultados, se le recomendó a la Gerencia General que efectuara un análisis formal para adoptar TI en la nube para identificar y evaluar riesgos para establecer lineamientos que protejan los instrumentos tecnológicos a partir de la aplicación de estándares que garanticen la confidencialidad y la integridad de la información.
El nivel de importancia otorgado por parte de la Auditoría hacia esa recomendación fue “alto”, en el cual incluso se le colocó un semáforo en rojo a su alrededor para determinar la prioridad para atender este escenario.
{{slide.text | html}}
{{slide.text | html}}
{{slide.text | html}}
Mecanismos de formación
Otro elemento señalado en el informe se encuentra que presuntamente la Dirección de Tecnología “no ha establecido mecanismos de formación o comunicación sobre las políticas y procedimientos de seguridad de información”, los cuales deben ser acatados por quienes brindan servicios tecnológicos.
Dicho acatamiento deberá efectuarse antes del arranque de la fase de ejecución contractual, según destacó el informe.
“Esta situación se presenta debido a que la normativa interna no considera como sana práctica ofrecer inducción o comunicar sobre las políticas y procedimientos empresariales en materia de seguridad de información, que los proveedores de servicios de tecnología deben observar en la fase de ejecución contractual.
“Lo anterior, podría implicar incumplimientos en las medidas de seguridad de la información establecidas en Recope y afectar la confidencialidad, disponibilidad e integridad de la información empresarial”, sostuvo el informe de la Auditoría.
El informe aconsejó revisar la normativa interna sobre Seguridad de la Información para servicios tercerizados, y establecer las disposiciones para que en las contrataciones gestionadas se establezcan las acciones que resguarden dichas informaciones.
Con respecto a la clasificación de activos dispuestos por la Dirección de Tecnología para gestionar el Sistema de Gestión de Seguridad de Información, las autoridades recalcaron que “no son suficientes para garantizar la continuidad y vigencia en el tiempo del inventario de activos de información”.
Añadieron durante ese informe que la situación afectaría la capacidad de la empresa para asegurar la confidencialidad, integralidad y disponibilidad de información crítica, y que afecten las operaciones empresariales.
{{slide.text | html}}
{{slide.text | html}}
{{slide.text | html}}
Hackeo institucional
El 27 de noviembre de 2024, la empresa estatal reportó un ataque cibernético en sus sistemas de información, por lo que se iniciaron coordinaciones con el Ministerio de Ciencia, Tecnología y Telecomunicaciones (Micitt) para iniciar las investigaciones respectivas.
A raíz de lo sucedido, debieron reforzar operaciones de forma manual para facilitar el control de los inventarios suficientes para mantener el suministro de los combustibles.
Desde la empresa estatal se extendió el horario hasta las 10:00 p.m. en las terminales de carga, mientras que también se monitorearán las filas de cisternas para determinar la ampliación de los horarios.
De acuerdo con Micitt en una conferencia de prensa el 2 de diciembre, los hackers solicitaron hasta $5 millones para rehabilitar los datos que se encuentran encriptados de la empresa estatal. Eso sí, detallaron que no se pagarán al respecto.
A través de la Oficina de Comunicación, la empresa estatal aseguró que a raíz del informe de Auditoría se generó un plan de acción para atender la recomendación por medio de la integración de un equipo multidisciplinario de profesionales de distintas áreas para analizar las recomendaciones, realizar diagnósticos de las condiciones, validar controles y valorar riesgos asociados.
Según Recope, las advertencias a las que hace referencia el informe “no están relacionadas con el ciberataque ocurrido en noviembre de 2024“, sino que se vinculan “al cumplimiento de normativa relacionada con la política de uso de servicios en la nube, mismas que fueron atendidas”.
Finalmente, en relación con la situación del hackeo, aseguraron que el Departamento de Tecnología se encuentra atendiendo la afectación de los servidores e implementando acciones de restauración, siendo que actualmente los servicios que brinda la empresa se encuentran en funcionamiento.
Source
Greivin Granados
