Expertos indicaron a la Comisión de Gobierno de la Cámara que el sistema gubernamental está “exponencialmente” vulnerable a más ciberataques
La ciberseguridad en el gobierno de Puerto Rico fue catalogada como una situación crítica por compañías asesoras que brindaron este jueves sus comentarios y sugerencias a la Comisión de Gobierno de la Cámara de Representantes para mejorar la infraestructura tecnológica en las agencias.
El representante Jesús Manuel Ortiz González, presidente de la Comisión de Gobierno, convocó una segunda vista pública bajo la Resolución de la Cámara 197, con el fin de evaluar este asunto en momentos en que ha sido expuesta la vulnerabilidad de los sistemas del gobierno, tras eventos de ciberataques ocurridos durante el pasado mes en las plataformas de AutoExpreso y la Universidad de Puerto Rico (UPR).
“La ciberseguridad de Puerto Rico se encuentra en una situación crítica. No es tan malo como debe sonar, porque hay recursos y herramientas disponibles”, expresó el socio director de la empresa NYC Cyber Law Group, Paul McCulloch.
En un memorial explicativo, el arquitecto en sistemas de información recopiló algunos titulares de noticias desde los pasados tres años hasta el presente que informan sobre ciberataques ocurridos tanto en agencias, como en bancos y hospitales en Puerto Rico.
Ante estos eventos, aseguró que la infraestructura del gobierno aún está “exponencialmente” vulnerable a más ciberataques que se encuentran en espera.
“Cuando uno lee estos titulares, también debe tener en cuenta que estos son los incidentes que han llegado a las noticias. Hay muchos otros incidentes que no llegan a los periódicos por una serie de razones, incluidos los que se han resuelto tras bastidores, o aquellos en los que el daño es tan grave que es de interés público no revelarlos”, puntualizó McCulloch.
El experto indicó que, para garantizar una base sólida de ciberseguridad en Puerto Rico, el gobierno debe adoptar el marco regulatorio del Instituto Nacional de Estándares y Tecnología (NIST, en inglés) del Departamento de Comercio de Estados Unidos.
Asimismo, detalló que se deben implementar herramientas para compartir información; crear un portal de informes de incidentes de ciberseguridad; establecer mecanismos de consulta; y disponer que los reguladores de ciberseguridad tienen la capacidad de imponer multas u otras sanciones en instancias de negligencia.
“Poder hacer disponible al país un gobierno de futuro; un gobierno con la mayor cantidad de procesos digitales que puedan hacerle los procesos a la gente más fáciles, más económicos y eficientes, no es posible si no tenemos un sistema robusto de seguridad que proteja no solo los sistemas del gobierno, sino toda la información y los datos pertenecientes a los ciudadanos”, manifestó, por su parte, el representante Ortiz González.
Mientras tanto, los fundadores de las compañías Bartizan Security y Sentinel Education enfatizaron que, para prevenir futuros crímenes cibernéticos, es necesario considerar la meritocracia y gobernanza por parte de las personas que ocupan posiciones encargadas de proteger la infraestructura cibernética del gobierno.
El objetivo, según esbozaron en un memorial explicativo, debe estar fundamentado despolitizar la posición de oficial principal de información (CIO, en inglés) y en seleccionar a personas competentes para mantener una infraestructura segura.
“Tenemos que preguntarnos más a menudo a quién vamos a poner en esta posición (funcionario de ciberseguridad). Requiere una persona profesional, y no es alguien que podemos encontrar en LinkedIn fácilmente”, opinó Jorge Andújar, fundador de Sentinel Education y cofundador de Bartizan.
“En el tema de la ciberseguridad, uno de los problemas principales es la gobernanza. ¿Quién está a cargo de qué y cuánto tiempo se le dedica a la gestión para que la misma logre una aceptación adecuada? ¿Cada cuánto cambia de líder esta oficina? ¿Cómo se mide el impacto de quien la corrió?”, agregó.
El fundador de Bartizan, José Arroyo, señaló la falta de dirección en las agencias al criticar que, a 15 meses (1 de febrero de 2021) de la creación por parte del Puerto Rico Innovation and Technology Service (PRITS) de la Oficina de Seguridad Cibernética del Gobierno, se han reportado una diversidad de fallas.
Algunas de ellas son la falta de estandarización, documentación, centralización, inventarios actualizados, gobernanza de controles, monitoreo activo, y que “cada agencia hace lo que entiende que es mejor”. Arroyo abogó por la creación de más alianzas público-privadas en el campo de la ciberseguridad, pues afirmó que organizaciones sin fines de lucro como Obsidis Consortia “llevan muchos años sirviendo al país, y en muchas ocasiones con un impacto económico para la agencia significativamente menor”.
Por otro lado, la cofundadora de Bartizan, Frances Romero, destacó la importancia de establecer mecanismos robustos para permitir a las agencias administrativas o de orden público hacer cumplir las leyes existentes sobre las violaciones de derecho de privacidad en el mundo cibernético; establecer métricas específicas sobre lo que se considera seguridad cibernética; y en la operación gubernamental establecer claros deberes patronales y deberes de su personal con debidas consecuencias cuando no se cumpla con los requisitos de ciberseguridad.
“Es importante destacar que no es posible para ningún gobierno prevenir completamente los ciberataques, y es completamente posible que la entrada de los malos actores no sea debido a las acciones o accidentales de algún usuario. Pero el factor humano es con mayor probabilidad lo que desata o habilita que el mal actor logre acceso a los sistemas de información gubernamentales, por lo que establecer políticas robustas para los usuarios es primario para la ciberseguridad”, aseveró Romero.
“Si se estableciera una agencia dedicada a proteger la infraestructura del Estado, esta agencia podría ser principalmente responsable de establecer programas de educación recurrente y actualizada como requisito de todo empleado gubernamental para saber cómo identificar y responder de manera efectiva a los ataques cibernéticos”, sostuvo.