¿Está segura su información en la plataforma EDUS de la Caja? Esto dice la Contraloría

  • “La CGR identificó riesgos de seguridad lógica que pueden comprometer la integridad, disponibilidad y confidencialidad del EDUS”, señala informe. 

Robo de datos, hackeos a portales de instituciones públicas, estafas y fraudes a clientes de bancos. Todo lo anterior ha sido noticia en las últimas semanas en Costa Rica. 

Estas situaciones tienen otro factor en común: se tratan de sucesos relacionados a robo de información, de diferentes índoles. 

Ante este panorama, es justo preguntarse, ¿está mi información segura en las bases de datos del Estado? 

Una de las plataformas que contiene muchos aspectos relevantes de los costarricenses, es el Expediente Digital Único en Salud (EDUS) de la Caja Costarricense del Seguro Social (CCSS).  

En esta aplicación, los inscritos pueden consultar su expediente médico, vacunas recibidas o pendientes, radiografías, valoraciones de sus respectivos doctores, citas programadas, datos sobre su futura pensión, entre otros. 

Es decir, el EDUS contiene todo aquello relacionado a la salud de cada uno de los usuarios de la CCSS. 



¿Quiénes pueden acceder a estos datos? 

En principio, la plataforma EDUS es de uso personal y puede habilitarse apersonándose a un centro de salud de la CCSS. De esta manera, ninguna persona no autorizada por el usuario o por la propia institución debería poder tener acceso a los perfiles de los asociados. 

Sin embargo, la Contraloría General de la República (CGR) realizó un informe donde destacó serios problemas en el manejo de la aplicación. 

Según el reporte de la CGR, un total de 14.412 personas vinculadas a la CCSS tienen acceso a los perfiles de la plataforma.  

El problema es que, de acuerdo con la Contraloría, es que 8.966 de estas personas tienen alguna irregularidad que debería de evitarles la visualización y edición de la información contenida en el EDUS. 

Resultados del reporte de la CGR. 

Es decir, un 62% de las personas habilitadas para acceder a la plataforma de la CCSS, lo estarían haciendo de una manera indebida

Estas se dividen de la siguiente manera:  

  • 1.002 externos: la investigación arrojó que 877 de estos funcionarios, corresponden a pensionados de los últimos 3 años, es decir, ya no laboran para la institución. Los restantes 125 son exempleados de la Caja que están fallecidos
  • 1.345 funcionarios de otras áreas: este grupo corresponde a trabajadores de la CCSS que ejercen labores no relacionadas a la atención directa de pacientes. De estos, el 36% es personal financiero contable, 33% de servicios de apoyo, 9% servicios generales, 7% recursos humanos, 6% de tecnologías de información, y 9% a otros puestos. 
  • 6.619 fuera de planilla: este grupo está compuesto por personas que, durante los meses de la investigación, no formaban parte de la planilla de la institución. 

“De esta forma, la situación expuesta no es congruente con lo establecido en la norma 5.8 de las Normas de control interno del Sector Público N.° N-2-2009-CO-DFOE, en lo referente al deber del responsable de la base de datos de adoptar medidas de índole técnica y de organización necesarias para garantizar que no se den accesos no autorizados”,  

señala el informe de la Contraloría.

Además, el reporte también hace hincapié en la responsabilidad del jerarca y los titulares subordinados de establecer controles para que los sistemas de información garanticen una buena seguridad en los niveles de acceso a la información y datos sensibles de las personas. 

¿Qué riesgos puede conllevar esta situación? 

Que un grupo de casi 9.000 personas puedan acceder a las bases de datos del EDUS, sin ser parte del cuerpo médico de la Caja, puede tener una serie de implicaciones negativas, según las conclusiones de la Contraloría luego del estudio. 

“Se potencia el riesgo de seguridad y tratamiento inadecuado de los datos personales y sensibles -de los usuarios de los servicios de salud- almacenados en el EDUS, cuya materialización podría comprometer la imagen de la CCSS y acarrear eventuales sanciones administrativas, legales y financieras. Así como el riesgo de fuga de los datos personales y sensibles administrados en la CCSS a través del EDUS, los cuales podrían ser utilizados con fines distintos para lo cual se recabaron”,

advierte el reporte de la CGR. 

De esta manera, la CCSS se expone a perder información o que esta se vea modificada de manera irregular, así como una “degradación parcial o total de sus servicios”.  

Finalmente, la CGR también mencionó que, de seguir así, se compromete la seguridad del software, así como potenciar la posibilidad de que una persona copie las bases de datos de la institución para fines no autorizados. 

Los resultados de este informe fueron compartidos con las autoridades de la CCSS el pasado mes de marzo para su revisión. 

Total
29
Shares
Nota anterior

¿Qué propone Elon Musk con Twitter tras convertirse en el nuevo dueño de la empresa? 

SIGUIENTE NOTA

Caos aduanero: Industria alimentaria reporta paralización, pese a que Hacienda dice que servicio fluyó durante fin de semana