La medida establece protecciones y obligaciones ante las crecientes amenazas de ciberataques
El gobierno de Puerto Rico sufrió 753.2 millones de amenazas de ataques cibernéticos durante el 2022 en comparación con los 13.7 millones de intentos reportados el año anterior, informó el Puerto Rico Innovation and Technology Services (PRITS) en una vista pública de la Comisión de Gobierno de la Cámara de Representantes para discutir la implementación de una Ley de Seguridad Cibernética.
La designada directora ejecutiva, Nannette Martínez, destacó que, de las amenazas identificadas en el 2022, al menos 600 prosperaron y posteriormente fueron bloqueadas por los sistemas de protección del PRITS. En lo que va del 2023, la agencia ya ha visto un aumento significativo en las amenazas de ciberataques, pero explicó que se debe a una mayor capacidad de detección dentro de las agencias y monitoreo.
“Tiene que ver más bien con nuestra capacidad de detección que con los incidentes, a pesar de que sí los incidentes van en aumento. Es parte de la tendencia”, explicó la Principal Ejecutiva de Innovación e Información del gobierno.
“Este año les puedo asegurar que las detecciones van a ser aún mayores y los números van a ser espantosos, pero lo que quiero decir con esto es que eso no es algo malo. Es bueno que lo podamos identificar… Ahora el reto más grande realmente va a ser poder mitigar todos esos riesgos”, abundó.
Martínez también adjudicó este aumento registrado en enero a que recientemente PRITS comenzó a incorporar los sistemas de protección y monitoreo en la red del Departamento de Educación (DE). Sin embargo, la funcionaria aprovechó su ponencia para solicitar más fondos recurrentes dirigidos al reclutamiento de personal especializado en medio de los recursos limitados con los que cuentan para lograr implementar la legislación.
El Proyecto de la Cámara 1530, de la autoría del representante Jesús Manuel Ortiz, busca crear el cargo de Principal Oficial de Seguridad Cibernética (CISO, en inglés) y establecer la política pública de seguridad a los datos del gobierno de Puerto Rico. Ortiz, quien preside la Comisión de Gobierno, enfatizó durante la audiencia pública que el gobierno no está suficientemente preparado para enfrentar los ataques que se producen en el ciberespacio.
“Este proyecto, que me parece fundamental para lo que va a ser el gobierno del presente y el futuro, a grandes rasgos propone establecer como principio de política pública que proveer la seguridad en los datos gubernamentales sea una función esencial… Lo hemos presentado como un punto de partida que nos parece importante en materia de gobierno y gobernabilidad”, expresó.
De acuerdo con Martínez, el PRITS trazó un plan para identificar las necesidades de seguridad en la base de datos de cada agencia, así como mejorar y proteger los sistemas dentro del gobierno. Por tal razón, reiteró la urgencia de identificar presupuesto adicional para ejecutarlo y aumentar los recursos a la Oficina de Ciberseguridad adscrita a la agencia.
La medida propone que, en colaboración con el Instituto de Estadísticas de Puerto Rico, el PRITS divulgue el listado actualizado de todos los ciberataques reportados en el gobierno, detallando el tipo de ataque y la agencia afectada.
No obstante, la agencia se opuso a proveer esta información de manera pública debido a que expone la debilidad en los controles de seguridad que puedan existir en las instituciones. Martínez confirmó que se han identificado las agencias que son más vulnerables a ciberataques debido, principalmente, a sistemas no actualizados o mal configurados en las políticas de seguridad.
“Buscamos lograr que el gobierno de Puerto Rico cumpla con los más altos estándares de seguridad con una infraestructura de primera. Ciertamente es un reto, pero estamos trabajando arduamente junto al Ejecutivo para crear el andamiaje necesario”, aseguró, mientras abogó que se le brinden “las garras” a PRITS para poder regular en su totalidad los sistemas de ciberseguridad en el gobierno.
Resaltan urgencia de una ley
Expertos y analistas en ciberseguridad reiteraron la necesidad de que se implemente una Ley de Seguridad Cibernética en Puerto Rico con el fin de establecer un marco regulatorio relacionado a la seguridad de la información que gestiona el gobierno, particularmente la que está expuesta al ciberespacio.
El presidente y principal ejecutivo de la empresa Synapsis, Juan Pablo Semidey, compartió la urgencia de reclutar más profesionales de ciberseguridad en Puerto Rico y asegurar que trabajen en el gobierno para lograr que la ley tenga la efectividad que amerita.
Asimismo, defendió que la Legislatura proponga otros proyectos legislativos que atiendan de manera apremiante el tema de la privacidad desde el punto de vista de brindar al ciudadano control sobre los datos que el gobierno recopila, almacena, gestiona, y comparte entre las diferentes agencias o con terceros.
“El Proyecto de la Cámara 1530 es una medida legislativa que necesitamos de manera urgente para proteger la información en manos del gobierno de las múltiples y crecientes amenazas que implica la utilización del ciberespacio para apoyar la gestión pública”, opinó Semidey.
En una ponencia compartida, los fundadores de Bartizan Security y Cyber-LawPR, José Arroyo y Frances Romero, respectivamente, hicieron eco de Semidey y presentaron un listado de enmiendas para perfeccionar la aplicabilidad de la medida.
“Estamos altamente de acuerdo con la necesidad de adoptar en nuestro ordenamiento jurídico las obligaciones propuestas. Para nosotros es de suma importancia y urgencia toda iniciativa que se dirija a la protección de la privacidad tanto gubernamental como ciudadana, y esta medida es un gran paso adelante”, reza el memorial.