Giancarlo González

Punto de vista

Por Giancarlo González
💬 0

Puerto Rico necesita un director de ciberseguridad

Mucho se habla sobre un ciberataque en los sistemas de Retiro que afectó cuentas de la Compañía de Turismo, PRIDCO, la Autoridad de Carreteras y la Compañía de Comercio y Exportación. Esto ocurrió mediante un –“phising attack” según fue identificado, y tuvo que atravesar la seguridad del “firewall cyberoam”, la del AIX (un proceso de “hardening” para robustecer el sistema) y la de Oracle. Me consta que se había realizado una prueba de penetración a mediados del 2017.  Pero uno está tan seguro como su punto más débil - el 66% del “malware” que entra a una organización ocurre mediante un email infectado abierto por algún empleado y se propaga por toda la red de dicha agencia. 

Paradójicamente, poco se habla de la seguridad cibernética hasta que ocurre una situación catastrófica que hace noticia. Apenas cuando iniciaba la administración de Rosselló se registró un “ransomware attack” en Hacienda con un impacto de sobre $50 millones.

Es importante comprender que mantener la seguridad de una red es una función de altos niveles de complejidad. Salvaguardar la misma requiere un compromiso tanto tecnológico como procesal y educativo.  Un estudio del National Association of State CIOs (NASCIO) revela que los 50 estados tienen un CISO en propiedad (“Chief Information Security Officer”) y el 50% de ellos tienen un presupuesto fijo asignado.  Un 40% de los CISO se reúnen mensualmente con su respectivo gobernador sobre temas de seguridad cibernética. Se revisan riesgos y amenazas con el liderato más alto del estado. Como dice Doug Robinson, el director de NASCIO, “you will be breached if you haven’t been already”.  

Las sofisticaciones de los ataques y el nivel de vulnerabilidad son tales que hay que reconocer que nos vamos a exponer a alguna falla en algún momento. La clave está en el nivel de respuesta. Para responder a estas amenazas, es necesario tener personal capacitado, así como presupuesto y recursos tecnológicos asignado para ello. ¿Cómo estamos sobre este particular? Es importante educar en el tema digital. Recientemente anunciamos la llegada del Caribbean School of Data, que tendrá sede en el Centro Criollo de Ciencia y Tecnología en Caguas (C3Tec). Es un paso en la dirección correcta. 

En Puerto Rico no hay un CISO en propiedad, menos aún una oficina central de ciberseguridad capaz de asistir al resto de las agencias. El reclutamiento de personal técnico en la Oficina de Gerencia y Presupuesto ha ido en declive desde mediados del 2014. Se han ido los jefes de Infraestructura y Ciberseguridad y ha habido dos salidas en Data Center (uno de ellos el único especialista en manejo de presupuesto) y dos en Gobierno Electrónico. Para contrarrestar la pérdida de personal se han hecho subcontrataciones, delegando las habilidades críticas en consultoras y proveedores.

La inversión en tecnología tiene que considerarse un servicio esencial para el gobierno. Su estructura y funcionamiento deben financiarse por completo en presupuestos recurrentes para cubrir tanto al personal como la infraestructura mediante subvenciones sujetas a niveles de servicio asequibles. Todos los costos de mantenimiento y soporte deben ser administrados centralmente por esta entidad y proporcionalmente; el monto principal no debería ser licenciamiento a terceros (actualmente pagamos más de $25 millones anuales en licenciamiento a Microsoft). 

En Puerto Rico se legisló la creación de PRITS, entidad que busca transformar los servicios del gobierno para servir a los ciudadanos efectivamente en la era digital. Ahora falta dotarla de los recursos para llevar a cabo su misión. 

La ciberseguridad en nuestra era no es negociable, ni un asunto ligero. Debe tener una partida fija asignada y un director en propiedad.

Otras columnas de Giancarlo González

martes, 10 de marzo de 2020

Hacia la creación de una Comisión Digital

Propongo que la futura legislatura se comprometa a crear una Comisión Digital capaz de evaluar toda legislación relacionada a adaptaciones, desarrollos tecnológicos y digitales, escribe Giancarlo González

💬Ver 0 comentarios