El 31 de mayo del 2022, los hackers atacaron la seguridad social costarricense y obligaron a cancelar citas y reprogramar operaciones, mientras que los sistemas informáticos para pago de planillas, pensiones y el EDUS dejaron de funcionar. Asimismo, los servicios en todos los centros de salud tuvieron que volver al papel y dejar de lado la era digital.
Diez meses después, la entidad asegura que ya ha recuperado todos los servicios y que aprendió de los errores, o por lo menos así lo afirma Eithel Corea, jefe de la Dirección de Tecnologías de Información de la CCSS.
“El tema del hackeo en la institución CCSS nos permitió derivar una serie de acciones que van en línea con algo que nosotros denominamos como lecciones aprendidas, y por supuesto que no solamente por el sistema EDUS, sino todos los sistemas institucionales, en este momentos nos encontramos con una operación normalizada, o muy cercana a la normalización, entendiendo esto, que siempre después de un ataque hay cosas que actualizar y de reportar, y a partir de eso la CCSS ha venido desarrollando importantes esfuerzos en el fortalecimiento en todo ese esquema de seguridad y ciberseguridad que toca no solamente elementos tecnológicos, sino que también toca negocio, en este caso las unidades organizacionales cuyo nivel de madurez evidentemente se ha fortalecido a partir de los vivido el año pasado”, explicó Corea.
El experto en informática recalca que la entidad ha venido trabajando en fortalecer la ciber seguridad. “Se ha venido diseñando una estrategia de ciberseguridad que es del conocimiento del nivel superior, y que a lo largo y lo ancho de todas las unidades que conforman la institución pues se ha venido fortaleciendo este tema”. señaló.
Corea enumera tres lecciones aprendidas con el ciberataque del año anterior:
- El plan de manejo de crisis: para disponer de una serie de acciones y experiencias que permite consolidar el plan de manejo de crisis.
- Plan de continuidad: para no solo poder trabajar en modo contingencia sino ante cualquier otra situación que de una u otra forma pueda afectar la operación normal y ordinaria de las gestiones que como institución desarrollamos.
- Cultura organizacional más fuerte: disponemos de funcionarios más preparados, más consientes de todo lo que tiene que ver con la seguridad informática, las buenas prácticas, y la importancia de garantizar la seguridad de la información.
El funcionario asegura que las lecciones aprendidas buscan fortalecer el sistema de gestión para evitar que el impacto genere el menor daño posible. Por otro lado, afirma que se está capacitando a todo el personal de la institución para evitar que abran correos engañosos y que puedan resultar se un virus informático.
“Eso se modifica a través de esquemas adecuados de formación, de capacitación, de fortalecimiento de competencias, y por supuesto que debe ir componente bastante fuerte desde el punto de vista de seguimiento, monitoreo y evaluación, (…) se contempla el eje de cultura organizacional como uno de los principales ejes para lograr fortalecer este tema”, detalla.
