Puerto Rico necesita un director de ciberseguridad en propiedad
Comparto ensayo publicado en El Nuevo Día el 15 de febrero sobre la ciberseguridad en Puerto Rico. Aquí la entrevista a Luis Arocho y este servidor en Jugando Pelota Dura.
Mucho se habla sobre un ciberataque en los sistemas de Retiro que afectó cuentas de la Compañía de Turismo, PRIDCO, la Autoridad de Carreteras y la Compañía de Comercio y Exportación. Esto ocurrió mediante un ‘phising attack’ según fue identificado, y tuvo que atravesar la seguridad del firewall cyberoam, la del AIX (un proceso de “hardening” para robustecer el sistema) y la de Oracle. Me consta que se había realizado una prueba de penetración a mediados del 2017. Pero uno está tan seguro como su punto más débil – el 66% del ‘malware’ que entra a una organización ocurre mediante un email infectado abierto por algún empleado y se propaga por toda la red de dicha agencia.
Paradójicamente, poco se habla de la seguridad cibernética hasta que ocurre una situación catastrófica que hace noticia. Apenas cuando iniciaba la administración de Rosselló se registró un “ransomware attack” en Hacienda con un impacto de sobre $50 millones.
Es importante comprender que mantener la seguridad de una red es una función de altos niveles de complejidad. Salvaguardar la misma requiere un compromiso tanto tecnológico, como procesal y educativo. Un estudio del National Association of State CIO’s (NASCIO) revela que los 50 Estados tienen un CISO en propiedad (Chief Information Security Officer) y el 50% de ellos tienen un presupuesto fijo asignado. Un 40% de los CISO se reúnen mensualmente con su respectivo gobernador sobre temas de seguridad cibernética. Se revisan riesgos y amenazas con el liderato más alto del estado. Como dice Doug Robinson el Director de NASCIO, “you will be breached if you haven’t been already.”
Las sofisticaciones de los ataques y el nivel de vulnerabilidad es tal que hay que reconocer que nos vamos a exponer a alguna falla en algún momento, la clave está en el nivel de respuesta. Para responder a estas amenazas, es necesario tener personal capacitado así como presupuesto y recursos tecnológicos asignado para ello. ¿Cómo estamos sobre este particular? Es importante educar en el tema digital.
En Puerto Rico no hay un CISO en propiedad, menos aún una oficina central de ciberseguridad capaz de asistir al resto de las agencias. El reclutamiento de personal técnico en la Oficina de Gerencia y Presupuesto ha ido en declive desde mediados del 2014. Se han ido los jefes de Infraestructura y Ciberseguridad, dos salidas en Data Center (uno de ellos el único especialista en manejo de presupuesto) y dos en Gobierno Electrónico. Para contrarrestar la pérdida de personal han subcontratado, delegando las habilidades críticas en consultoras y proveedores.
La inversión en tecnología tiene que considerarse un servicio esencial para el Gobierno, su estructura y funcionamiento deben financiarse por completo en presupuestos recurrentes para cubrir tanto al personal como la infraestructura mediante subvenciones sujetas a niveles de servicio asequibles. Todos los costos de mantenimiento y soporte deben ser administrados centralmente por esta entidad y proporcionalmente; el monto principal no debería ser licenciamiento a terceros (actualmente pagamos más de 25 millones anuales en licenciamiento a Microsoft). En Puerto Rico se legisló la creación de PRITS, la misma busca transformar los servicios del gobierno para servir a los ciudadanos efectivamente en la era digital. Ahora falta dotarla de los recursos para llevar a cabo su misión. La ciberseguridad en nuestra era no es negociable, ni un asunto ligero, debe tener una partida fija asignada y un director en propiedad.
6 Comments
A estos artículos les falta incluir la fecha de publicación, lo que es esencial para contextualizar la información. Mientras, lo felicito por la excelente aportación con todo lo que publica.
Gracias por comentar. Estan organizados en orden de fecha pero no está publica. Buscaré hacerlo.
No aprendieron de las anteriores, no aprendieron de esta en febrero. Ahora con una pandemia encima y la mitad de los “threat actors” con una taquilla dorada para el gran show… ¿qué se esta haciendo?
Llegó el lobo tan anunciado, muchos empleados trabajando de forma remota desde cuanto equipo pudieron tener preparado… en la misma red WiFi que medio vecindario puede tener acceso… con una PC al otro lado de la casa operando bajo Windows XP…
Ouch!
Y para agregar mas gasolina al fuego hoy sale esta noticia:
https://www.elnuevodia.com/noticias/locales/nota/yaesleyunamedidaparacrearunprogramadetrabajoadistanciaenelgobierno-2560125/
Aprender a nadar en medio del océano no parece buena idea.
Y para agregar insulto a la herida
https://www.elnuevodia.com/noticias/locales/nota/yaesleyunamedidaparacrearunprogramadetrabajoadistanciaenelgobierno-2560125/
Es como aprender a nadar en medio del océano: puede funcionar, pero no es el mejor método.
Menos del 3% del presupuesto en ciberseguridad se suele orientar al “security awareness”, y más del 70% (según fuentes, más del 90%) de los ataques existosos utilizaron al email, pero sobre todo, a sus usuarios, como vector de ataque.
Hay que invertir en concientización. Es económico, y tiene la mejor relación de beneficio/costo en cualquier plan de gestión de riesgos. Y hay buenas herramientas para ayudar al CISO en eso.