La Contraloría verificó los mecanismos de control y seguridad aplicados para proteger el software, hardware y la infraestructura que administra la información, con el fin de determinar los niveles de riesgo tecnológico existentes en los organismos y entidades del Estado y municipalidades.
El estudio se realizó mediante cuestionarios que evaluaban aspectos claves como infraestructura, ciberseguridad, respaldo de datos, continuidad operativa y gobernanza digital.
Entre las áreas más críticas se encuentran gobernaciones, municipalidades y entes autónomos porque no cuentan con políticas mínimas de seguridad, respaldo de datos ni planes de contingencia ante fallas o ciberataques.
De las 383 instituciones consultadas, el 65% de las que respondieron que registraron niveles de riesgo alto o potencialmente alto, según la escala aplicada por la Contraloría. Además, 180 entidades públicas no respondieron al cuestionario, lo que automáticamente las ubica en el nivel más alto de riesgo, conforme al protocolo del informe.
En ese apartado se encuentra el Ministerio del Interior, la Agencia Nacional de Evaluación y Acreditación de la Educación Superior (Aneaes), las gobernaciones de Caaguazú, Misiones, Canindeyú, Paraguarí, Cordillera, Alto Paraguay y Concepción. Así también, las universidades de Pilar y Misiones y 169 municipios. Todas estas instituciones no respondieron a los cuestionarios.
Lea más: Más del 60% de las instituciones presentan un alto riesgo de sufrir ciberataques
La Secretaría de Emergencia Nacional, la Secretaría Nacional de Administración de Bienes Incautados y Comisados (Senabico), el Ente Regulador de Servicios Sanitarios (Erssan), la Universidad Politécnica de Taiwán y varias municipalidades, según la evaluación realizada por la Contraloría reunieron muy pocos puntajes por lo que se encuentran con un alto riesgo de sufrir ciberataques.
Un nivel de riesgo alto significa que existe una alta probabilidad de que ocurra un evento adverso con consecuencias graves para la organización y la información que administra. La identificación de un riesgo alto es una señal de alarma crítica que demanda atención inmediata y la ejecución de acciones proactivas. Este nivel de riesgo evidencia vulnerabilidades significativas en los controles y procesos de gestión de TIC, por lo que es imperativo reducir la probabilidad de ocurrencia y minimizar el impacto potencial.
En el segmento potencialmente alto se ubican en la Cámara de Senadores, el Ministerio de la Niñez, Ministerio del Ambiente y Desarrollo Sostenible (Mades).
El nivel de riesgo potencialmente alto representa una alta posibilidad de que se materialicen amenazas que afecten negativamente las operaciones. Esta situación se debe a la falta de aplicación de controles básicos en el entorno de TIC. El riesgo potencialmente alto requiere atención inmediata y la implementación de medidas para mitigar su impacto.
Con un riesgo medio se encuentran el Ministerio de Tecnologías de la Información y Comunicación de Paraguay (Mitic), la Secretaría Nacional Antidrogas, la Cámara de Diputados, entre otros.
El nivel de riesgo medio representa una posibilidad moderada de que se materialicen amenazas que afecten negativamente las operaciones. Esta situación suele deberse a la falta de aplicación de algunos controles básicos en el entorno de TIC. Aunque el riesgo sea calificado como medio, requiere atención y la implementación de medidas para mitigar su impacto potencial.
La Contraloría remitió un cuestionario de control a los organismos del Estado para recopilar datos sobre la gestión de las Tecnologías de Información y Comunicación. Posteriormente, se realizó el análisis basado en la información recibida en los cuestionarios, asignando valor a cada una de las respuestas brindadas para lograr definir el nivel de riesgo tecnológico por área. Luego se realizó el informe, se ejecutaron las conclusiones por cada área y las recomendaciones correspondientes.
